Note d’information sur les transferts de données dans le cadre du RGPD en cas de Brexit sans accord
introduction
En l’absence d’accord entre l’Union Européenne et le Royaume-Uni (Brexit sans accord), le Royaume-Uni deviendra un pays tiers à partir de 00h00 CET le 1er janvier 2020. Cela signifie que le transfert de données personnelles vers le Royaume-Uni doit être basé sur sur l’un des instruments suivants1 au 1er novembre 2019:
– Clauses standard ou ad hoc de protection des données
– Règles d’entreprise contraignantes
– Codes de conduite et mécanismes de certification
– Dérogations
Cet article fournit des informations aux organisations commerciales et publiques sur ces instruments de transfert dans le cadre du RGPD pour le transfert de données personnelles vers le Royaume-Uni en cas de Brexit sans accord
L’EDPB s’appuie sur les orientations fournies à ce sujet par les autorités de contrôle et par la Commission européenne (CE). Les organisations de l’Union européenne peuvent s’adresser, si nécessaire, aux autorités nationales de surveillance compétentes pour superviser les activités de traitement associées.
I. 5 mesures que les organisations devraient prendre pour se préparer à un Brexit sans accord
Lors du transfert de données vers le Royaume-Uni, vous devez:
1: Identifier quelles activités de traitement impliqueront un transfert de données personnelles vers le Royaume-Uni
2: Déterminez l’instrument de transfert de données approprié à votre situation (voir ci-dessous)
3: Mettre en œuvre l’instrument de transfert de données choisi pour être prêt pour le 1er janvier 2020
4: Indiquez dans votre documentation interne que les transferts seront effectués vers le Royaume-Uni
5: Mettez à jour votre avis de confidentialité en conséquence pour informer les individus
II. Transferts de données de l’Union Européenne vers le Royaume-Uni
1. Instruments de transfert disponibles
En l’absence de décision au moment du Brexit, les instruments de transfert de données disponibles sont les suivants.
une.
- Clauses standard et ad hoc de protection des données
Vous et votre homologue britannique pouvez convenir de l’utilisation des clauses standard de protection des données approuvées par la Commission européenne. Ces contrats offrent les garanties supplémentaires adéquates en matière de protection des données qui sont nécessaires en cas de transfert de données personnelles vers un pays tiers.
Une décision a été adoptée par la Commission européenne sur la base de l’article 45 du RGPD (par exemple, la décision d’adéquation sur le Japon adoptée par la Commission le 23 janvier 2019. Auparavant, la Commission Européenne avait également adopté des décisions d’adéquation sur des pays tiers tels que Argentine, Nouvelle-Zélande et Israël, entre autres). Pour le moment, aucune décision de ce type n’est en place pour le Royaume-Uni.
Trois ensembles de clauses standard de protection des données sont actuellement disponibles:
• Contrôleur EEE vers un contrôleur de pays tiers (par exemple le Royaume-Uni): 2 jeux sont disponibles:
o 2001/497 / CE : https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:32001D0497
o 2004/915 / CE : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32004D0915
• Contrôleur EEE vers un processeur de pays tiers (par exemple le Royaume-Uni)
o 2010/87 / UE : https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087
Il est important de noter que les clauses standard de protection des données ne peuvent pas être modifiées et doivent être signées comme prévu. Cependant, ces contrats peuvent être inclus dans un contrat plus large et des clauses supplémentaires peuvent être ajoutées à condition qu’elles ne contredisent pas, directement ou indirectement, les clauses standard de protection des données adoptées par la Commission européenne. Compte tenu du délai avant le 1er novembre 2020, l’EDPB reconnaît que les clauses standard de protection des données sont un instrument prêt à l’emploi.
Toute autre modification des clauses standard de protection des données impliquera que cela sera considéré comme des clauses contractuelles ad hoc. Cela peut fournir des garanties appropriées en tenant compte de votre situation particulière.
Avant tout transfert, ces clauses contractuelles sur mesure doivent être autorisées par l’autorité de contrôle nationale compétente, après avis de l’EDPB.
b. Règles d’entreprise contraignantes
Les règles d’entreprise contraignantes sont des politiques de protection des données personnelles respectées par un groupe d’entreprises (c’est-à-dire des multinationales) afin de fournir des garanties appropriées pour les transferts de données personnelles au sein du groupe, y compris en dehors de l’Europe.
Vous pouvez déjà avoir mis en place des BCR ou coopérer avec des processeurs qui utilisent des BCR. Les organisations peuvent toujours s’appuyer sur ces BCR autorisés en vertu de l’ancienne directive 95/46 / CE qui restent valables en vertu du RGPD. Ces BCR doivent cependant être mis à jour pour être pleinement conformes aux dispositions du RGPD.
Si vous n’avez pas de BCR en place, ils doivent être approuvés par l’autorité nationale de surveillance compétente, après avis de l’EDPB.
Vous pouvez trouver des explications supplémentaires sur les conditions pour appliquer des règles d’entreprise contraignantes sur le site Web d’EDPB.
c. Codes de conduite et mécanismes de certification
Un code de conduite ou un mécanisme de certification peut offrir des garanties appropriées pour les transferts de données à caractère personnel s’ils contiennent des engagements contraignants et exécutoires de l’organisation dans le pays tiers au profit des individus.
Ces outils sont nouveaux, dans le cadre du RGPD et l’EDPB travaille sur des lignes directrices afin de donner plus d’explications sur les conditions et la procédure harmonisées d’utilisation de ces outils.
2. Dérogations
Il est important de souligner que les dérogations autorisent les transferts de données sous certaines conditions et sont des exceptions à la règle apres avoir mis en place des garanties appropriées (voir les instruments mentionnés ci-dessus comme les BCR, les clauses standard de protection des données …) ou de transférer les données sur base d’une décision d’adéquation. Ils doivent donc être interprétés de manière restrictive et concernent principalement des activités de traitement qui sont occasionnelles et non répétitives.
Ces dérogations comprennent entre autres, conformément à l’article 49 du RGPD:
• lorsqu’un individu a explicitement consenti au transfert proposé après avoir été fourni toutes les informations nécessaires sur les risques liés au transfert;
• lorsque le transfert est nécessaire à l’exécution ou à la conclusion d’un contrat entre le particulier et le responsable du traitement ou que le contrat est conclu dans l’intérêt de l’individu;
• si le transfert de données est nécessaire pour des raisons importantes d’intérêt public;
• si le transfert de données est nécessaire pour faire valoir les intérêts légitimes de l’organisation.
Vous pouvez trouver plus d’explications sur les dérogations disponibles et comment les appliquer dans l’EDPB
Lignes directrices sur l’article 49 du RGPD.
3. Instruments exclusivement accessibles aux autorités ou organismes publics
Les pouvoirs publics peuvent envisager d’utiliser les mécanismes sur le RGPD juge plus appropriés à leur situation.
Une option consiste à utiliser un instrument juridiquement contraignant et exécutoire, tel qu’un accord administratif, un accord international bilatéral ou multilatéral. L’accord doit être contraignant et exécutoire pour les signataires.
La deuxième option consiste à utiliser des dispositions administratives, telles que les protocoles d’accord, qui, bien que non juridiquement contraignants, doivent cependant prévoir des droits exécutoires et effectifs pour les personnes concernées. Les dispositions administratives sont soumises à l’autorisation de l’autorité nationale de surveillance compétente, après avis du EDPB.
En outre, les dérogations susmentionnées peuvent également être transférées par les pouvoirs publics, sous réserve de l’application des conditions applicables. Pour les autorités publiques exerçant des fonctions répressives, des outils de transfert supplémentaires sont disponibles.
III. Transferts de données du Royaume-Uni vers les membres de l’Union Européenne
Selon le gouvernement britannique, la pratique actuelle, qui permet aux données personnelles de circuler librement du Royaume-Uni vers l’UE, se poursuivra en cas de Brexit sans accord.
À cette fin, le site Web du gouvernement britannique et de l’ICO devrait être consulté régulièrement.
