Les conséquences du Brexit en matière de tranferts internationaux de données

Questions pratiques pour les citoyens

J’ai acheté des produits sur un site en ligne d’une société établie au Luxembourg. Cette société, transmet mon historique d’achat à une de ses filiales au Royaume-Uni pour des raisons de gestion de ses stocks. Est-ce que la société luxembourgeoise est autorisée à transférer mes données à sa filiale britannique après le retrait du Royaume-Uni de l’UE  ?

“Brexit – deal”

Oui. Jusqu’à la fin de la période de transition, la réglementation européenne en vigueur continuera à s’appliquer. 

Par ailleurs, vous bénéficiez de certains droits en vertu du règlement général pour la protection des données, dont notamment le droit à l’information. Ainsi, quiconque met en œuvre un fichier ou un traitement de données personnelles vous concernant est obligé de vous informer de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits qui vous sont reconnus en vertu du règlement général sur la protection des données, et des éventuels transferts de données vers un pays hors de l’Union européenne. Le responsable de traitement doit vous donner ces éléments dans un langage simple et clair au moment même de la collecte de vos données ou, au plus tard, endéans un mois suivant la collecte, si les données n’ont pas été collectées directement auprès de vous.

Par conséquent, et sous réserve de respecter les principes généraux du règlement général pour la protection des données, dont le droit à l’information détaillé ci-dessus, la société luxembourgeoise pourra continuer à transférer vos données personnelles à sa filiale britannique, au moins jusqu’à la fin de la période de transition.

Pour en savoir plus :

“no deal Brexit”

En l’absence d’un accord de retrait, la réglementation européenne en vigueur cessera de s’appliquer sur le territoire britannique après le retrait du Royaume-Uni de l’UE. Cela signifie que le Royaume-Uni sera à considérer comme un pays tiers au sens du règlement général pour la protection des données. 

A l’égard de la société luxembourgeoise, les droits dont vous bénéficiez en vertu du règlement général pour la protection des données, dont notamment le droit à l’information, sont maintenus. En effet, quiconque met en œuvre un fichier ou un traitement de données personnelles vous concernant est obligé de vous informer de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits qui vous sont reconnus en vertu du règlement général sur la protection des données, et des éventuels transferts de données vers un pays hors de l’Union européenne. Le responsable de traitement doit vous donner ces éléments dans un langage simple et clair au moment même de la collecte de vos données ou, au plus tard, endéans un mois suivant la collecte, si les données n’ont pas été collectées directement auprès de vous.

Ainsi, la société luxembourgeoise devra vous informer du transfert de vos données personnelles vers sa filiale britannique et de la base légale sur laquelle elle se fonde pour les transférer.

Enfin, sous réserve du respect des principes généraux du règlement général sur la protection des données, dont le droit à l’information, la société luxembourgeoise devra pour continuer à effectuer légalement des transferts vers sa filiale britannique, en l’absence de décision d’adéquation formelle prise par la Commission européenne, se baser sur un des mécanismes légaux prévus par le règlement général pour la protection des données. La société luxembourgeoise pourra par exemple avoir recours à des clauses types de protection des données. Il s’agit de modèles de contrats de transferts de données personnelles adoptés par la Commission européenne. Un recours à de tels clauses permet de vous garantir une protection appropriée de vos données lors d’un tel transfert, puisque la filiale britannique de la société luxembourgeoise gérant le site en ligne devra respecter les obligations relatives à la protection des données contenues dans ces clauses.

Pour en savoir plus :

J’ai acheté des produits sur un site en ligne d’une société établie au Royaume-Uni. Est-ce que j’aurais les mêmes droits dont je bénéficie actuellement en vertu du règlement général pour la protection des données, après le retrait du Royaume-Uni de l’UE ?

“Brexit – deal”

Oui. La réglementation européenne en vigueur continuera à s’appliquer jusqu’à la fin de la période de transition, c’est-à-dire que la personne concernée bénéficie , du moins jusqu’à ce moment, des mêmes droits qu’actuellement. 

Par ailleurs, vous bénéficiez de certains droits en vertu du règlement général pour la protection des données, dont notamment le droit à l’information. Ainsi, quiconque met en œuvre un fichier ou un traitement de données personnelles vous concernant est obligé de vous informer de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits qui vous sont reconnus en vertu du règlement général sur la protection des données, et des éventuels transferts de données vers un pays hors de l’Union européenne. Le responsable de traitement doit vous donner ces éléments dans un langage simple et clair au moment même de la collecte de vos données ou, au plus tard, endéans un mois suivant la collecte, si les données n’ont pas été collectées directement auprès de vous.

Pour en savoir plus :

“no deal Brexit”

En l’absence d’un accord de retrait, la réglementation européenne en vigueur cessera de s’appliquer sur le territoire britannique après le retrait du Royaume-Uni de l’UE. La législation nationale du Royaume-Uni deviendra en principe applicable. Par ailleurs, l’autorité de protection des données britannique a précisé que le gouvernement britannique entendait adopter une loi similaire au règlement général sur la protection des données en cas de sortie de « no deal Brexit ».

Par ailleurs, vous pourrez toujours introduire une réclamation auprès de nos services en cas de différends avec le responsable de traitement, que nous transmettrons le cas échéant à nos homologues britanniques.

La CNPD pourrait être, le cas échéant, compétente dans cette hypothèse sur base d’une application indirecte du règlement général sur la protection des données.

Pour en savoir plus :

Je suis un salarié luxembourgeois qui voyage régulièrement au Royaume-Uni pour des raisons professionnelles. Dans ce contexte, mon employeur luxembourgeois envoie systématiquement mes données personnelles (nom, prénom, numéro de téléphone…) à une entité basée au Royaume-Uni, qui est chargée de la gestion de mes déplacements professionnels. Est-ce que mon employeur aura le droit de continuer à transférer mes données retrait du Royaume-Uni de l’UE ?

“Brexit – deal”

Oui. En cas d’accord, la réglementation européenne en vigueur en matière de protection des données continuera à s’appliquer jusqu’à la fin de la période de transition. 

Par ailleurs, vous bénéficiez de certains droits en vertu du règlement général pour la protection des données, dont notamment le droit à l’information. Ainsi, quiconque met en œuvre un fichier ou un traitement de données personnelles vous concernant est obligé de vous informer de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits qui vous sont reconnus en vertu du règlement général sur la protection des données, et des éventuels transferts de données vers un pays hors de l’Union européenne. Le responsable de traitement doit vous donner ces éléments dans un langage simple et clair au moment même de la collecte de vos données ou, au plus tard, endéans un mois suivant la collecte, si les données n’ont pas été collectées directement auprès de vous.

Par conséquent, et sous réserve de respecter les principes généraux du règlement général pour la protection des données, dont le droit à l’information détaillé ci-dessus, votre employeur pourra continuer à transférer vos données personnelles à l’entité britannique, au moins jusqu’à la fin de la période de transition.

Pour en savoir plus :

“no deal Brexit”

En l’absence d’un accord de retrait, le Royaume-Uni sera à considérer comme un pays tiers au sens du règlement général pour la protection des données après le retrait du Royaume-Uni de l’UE. 

A l’égard de votre employeur luxembourgeois, les droits dont vous bénéficiez en vertu du règlement général pour la protection des données, dont notamment le droit à l’information, sont maintenus. En effet, quiconque met en œuvre un fichier ou un traitement de données personnelles vous concernant est obligé de vous informer de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits qui vous sont reconnus en vertu du règlement général sur la protection des données, et des éventuels transferts de données vers un pays hors de l’Union européenne. Le responsable de traitement doit vous donner ces éléments dans un langage simple et clair au moment même de la collecte de vos données ou, au plus tard, endéans un mois suivant la collecte, si les données n’ont pas été collectées directement auprès de vous.

Ainsi, votre employeur luxembourgeois devra vous informer du transfert de vos données personnelles à l’entité établie au Royaume-Uni et de la base légale sur laquelle il se fonde pour les transférer.

Enfin, et sous réserve du respect des principes généraux du règlement général sur la protection des données, dont le droit à l’information, votre employeur devra pour continuer à effectuer légalement des transferts vers l’entité britannique, en l’absence de décision d’adéquation formelle prise par la Commission européenne, se baser sur un des mécanismes légaux prévus par le règlement général pour la protection des données. Votre employeur pourra par exemple avoir recours à des clauses contractuelles types. Il s’agit de modèles de contrats de transferts de données personnelles adoptés par la Commission européenne. Un recours à de tels clauses permet de vous garantir une protection appropriée de vos données lors d’un tel transfert, puisque l’entité britannique chargée de la gestion de vos déplacements professionnels devra respecter les obligations relatives à la protection des données contenues dans ces clauses.

Toutefois et dans l’hypothèse où il s’agirait de voyages professionnels occasionnels effectués dans le cadre de votre contrat de travail, le transfert pourra avoir lieu sur une base juridique différentes, à savoir sur la base d’une des dérogations prévues par la législation applicable en vigueur (par exemple si votre employeur est en mesure de justifier que ce transfert est nécessaire à l’exécution de votre contrat de travail). Néanmoins cela ne dispense pas votre employeur de vous communiquer les éléments d’information précités.

Pour en savoir plus :

Je suis un investisseur personne physique titulaire d’actions dans un fonds d’investissement luxembourgeois. Ce fonds d’investissement créé par une institution financière établie au Royaume-Uni (banque) souhaite avoir notamment la communication de mes données personnelles à des fins statistiques. Est-ce que le fonds d’investissement luxembourgeois est autorisé à transférer mes données à l’institution financière britanniqueaprès le retrait du Royaume-Uni de l’UE?

“Brexit – deal”

Oui. En cas d’accord, la réglementation européenne en vigueur en matière de protection des données continuera à s’appliquer jusqu’à la fin de la période de transition. 

Par ailleurs, vous bénéficiez de certains droits en vertu du règlement général pour la protection des données, dont notamment le droit à l’information. Ainsi, quiconque met en œuvre un fichier ou un traitement de données personnelles vous concernant est obligé de vous informer de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits qui vous sont reconnus en vertu du règlement général sur la protection des données, et des éventuels transferts de données vers un pays hors de l’Union européenne. Le responsable de traitement doit vous donner ces éléments dans un langage simple et clair au moment même de la collecte de vos données ou, au plus tard, endéans un mois suivant la collecte, si les données n’ont pas été collectées directement auprès de vous.

Par conséquent, et sous réserve de respecter les principes généraux du règlement général pour la protection des données, dont le droit à l’information détaillé ci-dessus, le fonds d’investissement pourra continuer à transférer vos données personnelles à l’institution financière, au moins jusqu’à la fin de la période de transition.

Pour en savoir plus :

“no deal Brexit”

En l’absence d’un accord de retrait, le Royaume-Uni sera à considérer comme un pays tiers au sens du règlement général pour la protection des données après le retrait du Royaume-Uni de l’UE.

A l’égard du fonds d’investissement luxembourgeois, les droits dont vous bénéficiez en vertu du règlement général pour la protection des données, dont notamment le droit à l’information, sont maintenus. En effet, quiconque met en œuvre un fichier ou un traitement de données personnelles vous concernant est obligé de vous informer de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits qui vous sont reconnus en vertu du règlement général sur la protection des données, et des éventuels transferts de données vers un pays hors de l’Union européenne. Le responsable de traitement doit vous donner ces éléments dans un langage simple et clair au moment même de la collecte de vos données ou, au plus tard, endéans un mois suivant la collecte, si les données n’ont pas été collectées directement auprès de vous.

Ainsi, le fonds d’investissement luxembourgeois devra vous informer du transfert de vos données personnelles à l’institution financière établie au Royaume-Uni et de la base légale sur laquelle il se fonde pour les transférer.

Enfin, et sous réserve du respect des principes généraux du règlement général sur la protection des données, dont le droit à l’information détaillé ci-dessus, le fonds d’investissement luxembourgeois devra pour continuer à effectuer légalement des transferts vers l’institution financière britannique, en l’absence de décision d’adéquation formelle prise par la Commission européenne, se baser sur un des mécanismes légaux prévus par le règlement général pour la protection des données. Le fonds d’investissement pourra par exemple avoir recours à des clauses types de protection des données. Il s’agit de modèles de contrats de transferts de données personnelles adoptés par la Commission européenne. Un recours à de tels clauses permet de vous garantir une protection appropriée de vos données lors d’un tel transfert, puisque l’institution financière britannique devra respecter les obligations relatives à la protection des données contenues dans ces clauses.

Pour en savoir plus :

Dernière mise à jour