2. Ce qui se passera après le 31 janvier 2020 en cas de « no deal »

2.1.    Les conséquences du scénario de « no deal » en matière de transferts internationaux de données

En cas de « no deal », le Royaume-Uni quittera l’Union européenne à compter du 1er février 2020 et sera à considérer comme un pays tiers au sens du règlement général pour la protection des données.

Par conséquent, à compter du 1er février prochain, le chapitre V du règlement général pour la protection des données, qui concerne les transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales, s’appliquera au transfert de données depuis un Etat membre de l’Union européenne vers le Royaume-Uni.

Ainsi, pour continuer à effectuer légalement des transferts de données personnelles vers le Royaume-Uni, les entités luxembourgeoises concernées devront respecter à compter du 1er février 2020 les dispositions légales du chapitre V du règlement général pour la protection des données.

Afin d’assurer un niveau de protection suffisant et approprié des données transférées du Luxembourg vers le Royaume-Uni, les organismes concernés peuvent recourir, en l’absence ou en l’attente d’une décision d’adéquation formelle prise par la Commission européenne conformément à l’article 45 du règlement général pour la protection des données, à des « garanties appropriées » telles que visées à l’article 46 du règlement général pour la protection des données, à savoir :

  • des clauses contractuelles (clauses types de protection des données adoptées par la Commission européenne ou clauses contractuelles dites « ad hoc »), ou
  • des règles d’entreprise contraignantes (BCR), ou
  • des codes de conduite ou des mécanismes de certification, ou
  • des garanties spécifiques pour le transfert entre autorités ou organismes publics.

Enfin, le transfert peut être réalisé sur base d’une des dérogations pour des situations particulières visées à l’article 49 du règlement général pour la protection des données. Les responsables de traitement doivent toutefois s’efforcer de mettre en place les garanties appropriées visées ci-dessus et ne doivent recourir à ces dérogations qu’en leur absence. En effet, l’article 49 du règlement général pour la protection des données fait l’objet d’une interprétation stricte par les autorités de protection des données, afin que l’exception ne devienne pas la règle.

En l’absence de garanties appropriées ou en l’absence de recours à une de ces dérogations, le transfert vers le Royaume-Uni sera donc interdit.

2.2.    Les prochaines étapes à entreprendre pour les entités luxembourgeoises transférant des données vers le Royaume-Uni en cas de « no deal »

Les entreprises, organismes publics et associations luxembourgeoises qui entendraient poursuivre des transferts de données à caractère personnel vers le Royaume-Uni après le 31 janvier 2020 devront encadrer ces transferts par l’un des mécanismes prévus au chapitre V du règlement général pour la protection des données.

Dans la mesure où il n’est pas certain qu’une décision d’adéquation soit susceptible d’être adoptée par la Commission européenne d’ici la fin janvier 2020, la CNPD recommande aux entités concernées d’évaluer les « garanties appropriées » visées à l’article 46 précité, afin de déterminer laquelle conviendrait le mieux à leur situation et de veiller à ce qu’elle soit en place avant le 31 janvier 2020.

Parmi ces garanties appropriées, la plus couramment utilisée et celle qui pourrait être mise en place le plus rapidement serait la conclusion de clauses types de protection des données entre l’entité luxembourgeoise concernée et son importateur britannique. A ce jour, la Commission européenne a adopté trois modèles de clauses types de protection des données, disponibles sur son site internet.

Dernière mise à jour