2. Les règles applicables en matière de transferts internationaux de données à compter du 1er janvier 2021

La Commission européenne peut décider que le régime de protection des données personnelles au Royaume-Uni offre des garanties « essentiellement équivalentes » à celles de l’Union européenne, par le biais d’une décision formelle, appelée « décision d’adéquation », conformément à l’article 45 du règlement général sur la protection des données.

Comme souligné dans sa déclaration politique, la Commission européenne s’efforcera de finaliser son évaluation du régime britannique de protection des données d’ici la fin de 2020, en vue d’une possible décision d’adéquation si le Royaume-Uni rempli les conditions applicables. La Commission européenne conduit actuellement cette évaluation et a déjà tenu un certain nombre de réunions techniques avec le Royaume-Uni afin de rassembler les informations pertinentes.

Or, l’adoption ou non d’une telle décision d’adéquation aura un impact sur les démarches à accomplir par les entreprises, organismes publics et associations luxembourgeoises qui sont amenés à transférer des données à caractère personnel vers le Royaume-Uni à compter du 1er janvier 2021.

En tout état de cause, ils doivent prendre les mesures nécessaires afin de s’assurer du respect de tout transfert de données personnes vers le Royaume-Uni avec le droit de l’Union européenne, indépendamment d’une éventuelle décision d’adéquation de la Commission européenne. Un tel respect passe par le recours à l’une des garanties appropriées décrites à la section 2.2 ci-dessous.

Pour en savoir plus :

2.1.    En cas d’adoption d’une décision d’adéquation par la Commission européenne

C’est à la Commission européenne qu’il revient de constater par le biais d'une décision d'adéquation formelle que le Royaume-Uni assure un niveau de protection adéquat en matière de protection des données à caractère personnel, conformément à l’article 45 du règlement général sur la protection des données.

Si une telle décision d’adéquation était adoptée par la Commission européenne avant la fin de la période de transition, le transfert pourrait être effectué comme s’il s’agissait d’un transfert au sein de l’Espace économique européen. Toutefois, comme indiqué par la Commission européenne, il n’est pas certain qu’une telle décision d’adéquation puisse être conclue avant le 31 décembre 2020.

En tout état de cause, il faudra toujours respecter les principes généraux du règlement général sur la protection des données, et les garder en tête au moment de transférer des données au Royaume-Uni (respect entre autres du principe de licéité, compatibilité de la communication avec le traitement d’origine, information des personnes concernées).

Pour en savoir plus :

2.2.    En l’absence de décision d’adéquation adoptée par la Commission européenne

En l’absence d’une décision d'adéquation, et à compter du 1er janvier 2021, le chapitre V du règlement général sur la protection des données, qui concerne les transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales, s’appliquera au transfert de données depuis un Etat membre de l’Union européenne vers le Royaume-Uni.

Ainsi, pour continuer à effectuer légalement des transferts de données personnelles vers le Royaume-Uni, les entités luxembourgeoises concernées devront respecter à compter du 1er janvier 2021 les dispositions légales du chapitre V du règlement général sur la protection des données.

Afin d’assurer un niveau de protection suffisant et approprié des données transférées du Luxembourg vers le Royaume-Uni, les organismes concernés peuvent recourir, en l’absence ou en l’attente d’une décision d’adéquation formelle prise par la Commission européenne conformément à l’article 45 du règlement général sur la protection des données, à des « garanties appropriées » telles que visées à l’article 46 du règlement général sur la protection des données, à savoir :

  • des clauses contractuelles (clauses types de protection des données adoptées par la Commission européenne ou clauses contractuelles dites « ad hoc »), ou
  • des règles d’entreprise contraignantes (BCR), ou
  • des codes de conduite ou des mécanismes de certification, ou
  • des garanties spécifiques pour le transfert entre autorités ou organismes publics.

Le recours à de telles “garanties appropriées” doit tenir compte du jugement ‘Schrems II’ de la Cour de Justice de l’Union européenne. Le Comité européen de la protection des données (CEPD ou European Data Protection Board, « EDPB » en anglais) a récemment publié un document visant à présenter des réponses à certaines questions fréquemment posées (« FAQ ») aux autorités de protection des données concernant ce jugement.

Le CEPD a également publié une note d’information sur les BCRs pour les cas spécifiques de groupes d’entreprise dont l’« Information Commissioner’s Office » (autorité de supervision britannique) agit comme autorité de contrôle principale.

Enfin, le transfert peut être réalisé sur base d’une des dérogations pour des situations particulières visées à l’article 49 du règlement général sur la protection des données. Les responsables de traitement doivent toutefois s’efforcer de mettre en place les garanties appropriées visées ci-dessus et ne doivent recourir à ces dérogations qu’en leur absence. En effet, l’article 49 du règlement général sur la protection des données fait l’objet d’une interprétation stricte par les autorités de protection des données, afin que l’exception ne devienne pas la règle.

En l’absence de garanties appropriées ou en l’absence de recours à une de ces dérogations, le transfert vers le Royaume-Uni sera donc interdit.

La CNPD recommande aux entités concernées, dans la mesure où il n’est pas certain qu’une décision d’adéquation sera adoptée par la Commission européenne d’ici la fin de l’année 2020, d’évaluer d’ores et déjà les « garanties appropriées » visées à l’article 46 précité, afin de déterminer laquelle conviendrait le mieux à leur situation et de veiller à ce qu’elle soit en place avant le 1er janvier 2021.

 

Pour en savoir plus :

Dernière mise à jour