1. Ce qui se passera après le 31 janvier 2020 si l’Accord de retrait révisé est ratifié

1.1.    Les conséquences d’une ratification de l’Accord de retrait révisé en matière de transferts internationaux de données

Si l’Accord de retrait révisé est ratifié, les règles européennes en matière de protection des données continueront à s’appliquer dans le et au Royaume-Uni pendant la période de transition, c’est-à-dire depuis le premier jour du mois suivant la date de ratification de l’Accord de retrait révisé jusqu’au 31 décembre 2020 (sauf prolongation de la période de transition conformément à l’article 132 de l’Accord de retrait révisé).

Par ailleurs, l'Accord de retrait révisé prévoit qu'après la fin de la période de transition, le Royaume-Uni continue d'appliquer les règles européennes en matière de protection des données aux données à caractère personnel échangées entre le Royaume-Uni et les Etats membres de l’Espace économique européen avant la fin de la période de transition, jusqu'à ce que l'Union européenne ait établi, par le biais d'une décision d'adéquation formelle conformément à l'article 45 du règlement général pour la protection des données, que le niveau de protection prévu par le régime du Royaume-Uni offre des garanties en matière de protection des données qui sont «essentiellement équivalentes» à celles qui sont garanties par l'Union européenne.

Dans l’hypothèse où une décision d'adéquation est prise par la Commission européenne, elle doit être précédée d'une évaluation du régime de protection des données applicable au Royaume-Uni. Dans le cas où la décision d'adéquation serait annulée ou abrogée, les données reçues par les entités au Royaume-Uni n'en restent pas moins toujours soumises à la même norme de protection « essentiellement équivalente » et ce directement en vertu de l'Accord de retrait révisé.

1.2.    Les prochaines étapes à entreprendre pour les entités luxembourgeoises transférant des données vers le Royaume-Uni en cas de ratification de l’Accord de retrait

Les entreprises, organismes publics et associations luxembourgeoises qui entendraient poursuivre des transferts de données à caractère personnel vers le Royaume-Uni après le 31 janvier 2020 n’auraient pas de démarche supplémentaire à effectuer, au moins jusqu’au 31 décembre 2020.

Par ailleurs, en cas d’adoption d’une décision d’adéquation par la Commission européenne, le transfert pourra être effectué comme s’il s’agissait d’un transfert au sein de l’Espace économique européen.

Ces organismes doivent toutefois toujours respecter les principes généraux du règlement général pour la protection des données, et les garder en tête au moment où ils sont amenés à transférer des données au Royaume-Uni (respect entre autres du principe de licéité, compatibilité de la communication avec le traitement d’origine, information des personnes concernées).

Dernière mise à jour