Article

Brexit, No Deal et RGPD

Quelles conséquences pour les entreprises françaises ?

Le Comité européen de la protection des données a publié une note d’information le 12 février 2019 sur les transferts de données en cas de no deal.

En l’absence d’accord, le Royaume-Uni devenant un pays tiers, les transferts de données vers ce pays devront reposer sur les garanties appropriées suivantes :

  • des clauses contractuelles type, ou
  • des règles d'entreprise contraignantes, ou
  • des codes de conduite ou des mécanismes de certification.

A cette liste, il convient également d’ajouter (cf. article 46 du RGPD) :

  • les instruments juridiquement contraignants et exécutoires entre les autorités ou organismes publics, ou
  • les clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle et approuvées par la Commission (en conformité avec la procédure d’examen visée à l’article 93 §2 du RGPD).

Enfin, en l’absence de décision d’adéquation ou de garantie appropriée, les transferts de données pourront avoir lieu dans certains cas dérogatoires visés à l’article 49 du RGPD.

Nos conseils pratiques

Les entreprises françaises doivent au vu de ces éléments, envisager des adaptations pratiques afin d’assurer leur conformité à un niveau de sécurité suffisant. 

Tout d’abord, si votre partenaire contractuel auquel vous transférez des données personnelles est établi au Royaume-Uni, vous devez nécessairement prévoir une modification de vos contrats, y compris vos contrats de sous-traitant (data protection agreement ou DPA).

Cette modification peut se faire par voie d’avenants, ou a minima, dans un premier temps, par une information aux partenaires (circulaires, courriers, etc.).

Dans cette hypothèse, vous devez également prévoir une modification de vos mentions d’informations à destination des personnes concernées, en leur indiquant que leurs données sont transférées vers un pays, désormais « tiers ».

Cette précision est particulièrement importante dans le cas où les traitements de données reposeraient sur le consentement de la personne concernée.

Enfin, en cas de transferts de données intra-groupes avec au moins une entité établie au Royaume-Uni, vous devrez impérativement encadrer ces flux en adoptant des garanties appropriées, telles que décrites précédemment.

Ces recommandations sont à mettre en œuvre, sous réserve de l’adoption éventuelle d’une décision d’adéquation par la Commission européenne ou d’une adaptation législative britannique afin d’intégrer un niveau de protection similaire à celui du RGPD.

*Un article signé Nicolas Remy Néris, en collaboration avec les associés de Grant Thornton France.

Directeur, avocat, DPO
Nicolas Remy Néris Rencontrez Nicolas