2. Les règles applicables en matière de transferts internationaux de données à compter du 1er janvier 2021

Il a été précisé dans la déclaration politique révisée encadrant les relations futures entre l’Union européenne et le Royaume-Uni, adoptée par la Commission européenne le 17 octobre 2019, que la Commission européenne entamera les démarches tendant à l’évaluation du niveau de protection des données à caractère personnel offert par le Royaume-Uni dès son retrait, et s’efforcera d’adopter une décision d’adéquation avant la fin 2020, si les conditions d’une telle adéquation sont remplies.

Or, l’adoption ou non d’une telle décision d’adéquation aura un impact sur les démarches à accomplir par les entreprises, organismes publics et associations luxembourgeoises qui sont amenés à transférer des données à caractère personnel vers le Royaume-Uni à compter du 1er janvier 2021.

Pour en savoir plus :

2.1.    En cas d’adoption d’une décision d’adéquation par la Commission européenne

C’est à la Commission européenne qu’il revient de constater par le biais d'une décision d'adéquation formelle que le Royaume-Uni assure un niveau de protection adéquat en matière de protection des données à caractère personnel, conformément à l’article 45 du règlement général sur la protection des données.

Si une telle décision d’adéquation était adoptée par la Commission européenne avant la fin de la période de transition, le transfert pourrait être effectué comme s’il s’agissait d’un transfert au sein de l’Espace économique européen.

ll faudra néanmoins toujours respecter les principes généraux du règlement général sur la protection des données[CNPD1] , et les garder en tête au moment de transférer des données au Royaume-Uni (respect entre autres du principe de licéité, compatibilité de la communication avec le traitement d’origine, information des personnes concernées).

Pour en savoir plus :

2.2.    En l’absence de décision d’adéquation adoptée par la Commission européenne

En l’absence d’une décision d'adéquation, et à compter du 1er janvier 2021 (ou à une date ultérieure en cas de prolongation de la période de transition), le chapitre V du règlement général sur la protection des données, qui concerne les transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales, s’appliquera au transfert de données depuis un Etat membre de l’Union européenne vers le Royaume-Uni.

Ainsi, pour continuer à effectuer légalement des transferts de données personnelles vers le Royaume-Uni, les entités luxembourgeoises concernées devront respecter à compter du 1er janvier 2021 les dispositions légales du chapitre V du règlement général sur la protection des données.

Afin d’assurer un niveau de protection suffisant et approprié des données transférées du Luxembourg vers le Royaume-Uni, les organismes concernés peuvent recourir, en l’absence ou en l’attente d’une décision d’adéquation formelle prise par la Commission européenne conformément à l’article 45 du règlement général sur la protection des données, à des « garanties appropriées » telles que visées à l’article 46 du règlement général sur la protection des données, à savoir :

  • des clauses contractuelles (clauses types de protection des données adoptées par la Commission européenne ou clauses contractuelles dites « ad hoc »), ou
  • des règles d’entreprise contraignantes (BCR), ou
  • des codes de conduite ou des mécanismes de certification, ou
  • des garanties spécifiques pour le transfert entre autorités ou organismes publics.

Enfin, le transfert peut être réalisé sur base d’une des dérogations pour des situations particulières visées à l’article 49 du règlement général sur la protection des données. Les responsables de traitement doivent toutefois s’efforcer de mettre en place les garanties appropriées visées ci-dessus et ne doivent recourir à ces dérogations qu’en leur absence. En effet, l’article 49 du règlement général sur la protection des données fait l’objet d’une interprétation stricte par les autorités de protection des données, afin que l’exception ne devienne pas la règle.

En l’absence de garanties appropriées ou en l’absence de recours à une de ces dérogations, le transfert vers le Royaume-Uni sera donc interdit.

La CNPD recommande aux entités concernées, dans la mesure où il n’est pas certain qu’une décision d’adéquation sera adoptée par la Commission européenne d’ici la fin de l’année 2020, d’évaluer d’ores et déjà les « garanties appropriées » visées à l’article 46 précité, afin de déterminer laquelle conviendrait le mieux à leur situation et de veiller à ce qu’elle soit en place avant le 1er janvier 2021.

Parmi ces garanties appropriées, la plus couramment utilisée et celle qui pourrait être mise en place le plus rapidement serait la conclusion de clauses types de protection des données entre l’entité luxembourgeoise concernée et son importateur britannique. A ce jour, la Commission européenne a adopté trois modèles de clauses types de protection des données, disponibles sur son site internet.

Pour en savoir plus :

Dernière mise à jour