La CNIL a publié le 20 février 2019 une série de « questions-réponses » afin de préciser les conséquences d’un Brexit sans accord sur le transfert des données personnelles. Cette publication fait suite à la note d’information précédemment adoptée par le Comité européen de la protection des données.

Le principal impact réside dans le fait qu’à l’instant où le Royaume-Uni deviendra un pays tiers, tout flux de données personnelles vers ce pays équivaudra à un transfert de données hors de l’Espace économique européen (EEE), lesquels doivent faire l’objet d’un encadrement par des outils adaptés.

Tous les flux de données personnelles vers un responsable de traitement ou un sous-traitant au Royaume-Uni, y compris ceux effectués par les autorités ou organismes publics seront concernés.

En cas de Brexit sans accord,  la Cnil rappelle que les transferts devront être encadrés par l’un des outils suivants :

  • Des clauses contractuelles types ;
  • Des clauses contractuelles spécifiques (clauses « ad-hoc ») ;
  • Des règles contraignantes d’entreprises ou binding corporate rules ;
  • Des codes de conduites et des mécanismes de certifications.

Ces outils devront théoriquement être effectifs dès l’entrée en vigueur du Brexit.

Des dérogations sont-elles possibles ?

L’article 49 du RGPD prévoit un certain nombre de dérogations à la mise en place de ces outils d’encadrement des transferts hors EEE.

Il est notamment, par exemple, prévu qu’un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale (non encadré par des garanties appropriées) peut avoir lieu si, par exemple :

  1. a) la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées ;
  2. b) le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;

Ces dérogations font cependant l’objet d’une interprétation stricte par les autorités de protection des données et il n’est possible d’y recourir que de manière exceptionnelle.

Quid des données en provenance du Royaume-Uni ?

Concernant les transferts de données personnelles depuis le Royaume-Uni vers le territoire de l’Union européenne, le gouvernement britannique a annoncé que la libre circulation des données vers l’Union Européenne serait autorisée sans besoin de garanties supplémentaires.