Brexit : le RGPD reste applicable au Royaume-Uni pour une durée maximale de 6 mois

Suite à l’accord entre le Royaume-Uni et la Commission européenne, publié le 25 décembre 2020, la CNPD a mis à jour ses lignes directrices concernant les conséquences du Brexit en matière de transferts internationaux de données. Ces lignes directrices sont destinées à guider les entreprises, organismes publics et associations luxembourgeoises qui sont amenés à transférer des données à caractère personnel vers le Royaume-Uni, et qui entendraient poursuivre de tels transferts en 2021.

Conformément à cet accord, le RGPD restera applicable au Royaume-Uni pour une durée de 6 mois maximum, pendant laquelle les données pourront continuer à y être transférées. Par conséquent, aucune formalité additionnelle ne devra en principe être entreprise par les entités luxembourgeoises jusqu’au 1er juillet 2021[1]. En particulier, il n’est pas requis d’encadrer les flux de données personnelles vers le Royaume-Uni au moyen de garanties appropriées prévues par le RGPD pour les transferts vers les pays tiers. Il peut toutefois être prudent de prévoir d’ores et déjà des mécanismes de transferts alternatifs, afin d’éviter toute interruption, dans le cas où ces transferts auraient vocation à continuer après juillet 2021.

En revanche, le mécanisme du « guichet unique » (ou « one-stop-shop ») ne sera plus applicable au Royaume-Uni à partir du 1er janvier 2021, et donc l’autorité britannique de protection des données (l’« Information Commissioner’s Office ») n’en fera plus partie. Ce mécanisme du guichet unique permet une coopération entre les autorités de contrôle européennes et prévoit que l’autorité de contrôle de l’établissement principal ou unique d’un responsable du traitement ou d’un sous-traitant agit comme autorité chef de file.

 

[1] Sauf si, comme prévu à l’article FINPROV.10A de l’accord, le Royaume-Uni introduit de nouvelles législations, approuve des BCRs, émet de nouvelles clauses contractuelles types, autorise des arrangements administratifs ou codes de conduites sans l’accord préalable de l’Union européenne.

Dernière mise à jour