« No deal Brexit » : quelles conséquences sur les transferts de données à destination du Royaume-Uni ?

18 septembre 2019
Carole BUI, Corinne THIERACHE

Compte tenu des difficultés du Royaume-Uni à trouver un accord à la suite de sa demande de retrait au titre de l’article 50 du traité sur l’Union européenne, la CNIL a rappelé le 10 septembre dernier (accèder à l’article de la CNIL) les conséquences d’un « No deal Brexit » au 31 octobre 2019, date à laquelle le Royaume-Uni sortira de l’Union européenne (sauf nouvelle prorogation du délai ou ratification d’un accord à cette date). Dans une telle hypothèse, la CNIL est catégorique : au 1er novembre 2019, le Royaume-Uni deviendra un pays tiers. Les flux de données seront alors considérés comme des transferts en dehors de l’Union européenne et de l’Espace Economique Européen (EEE). Plus préoccupant, le Royaume-Uni ne sera pas considéré comme un pays assurant un niveau de protection adéquat sur la base d’une décision d’adéquation prise par la Commission européenne. Aussi est-il recommandé aux responsables de traitement de prendre d’ores et déjà les devants et de choisir notamment l’outil encadrant les transferts de données à destination du Royaume-Uni (clauses contractuelles types, BCR,…), outil qui devra être effectif dès le 1er novembre 2019. Il conviendra également de veiller à cette date à la mise à jour de la documentation et de l’information aux personnes. L’équipe RGPD d’Alerion est naturellement à votre disposition pour vous assister dans ce processus de mise en conformité qui vient s’ajouter à l’ensemble des autres mesures à mettre en place à la suite de l’entrée en application du RGPD depuis le 25 mai 2018. Corinne Thiérache, associée et Carole Bui, collaboratrice, Département RGPD d’Alerion