[Version actualisée de l'article publié le 4 février 2021]
À la suite du Brexit, le Royaume-Uni est un pays tiers à la lumière du RGPD à compter du 1er janvier 2021.
Le « EU-UK Trade and Cooperation Agreement » (« l'accord ») comprend un mécanisme de transition sur l'échange ultérieur de données à caractère personnel entre l'UE et le Royaume-Uni. Ce mécanisme sera d’application durant une période de transition initiale de quatre mois (jusqu'au 30 avril 2021), avec une possibilité de prolongation de deux mois supplémentaires (jusqu'au 30 juin 2021).
Pendant la période de transition, le transfert de données à caractère personnel entre l'UE et le Royaume-Uni ne sera pas considéré comme un transfert vers et depuis un pays tiers, à condition que le Royaume-Uni respecte les conditions énumérées dans l'accord et qu'aucune décision d'adéquation ne soit adoptée pendant la période de transition.
Après la période de transition prévue, la libre circulation des données à caractère personnel vers le Royaume-Uni ne sera plus possible sans (i) une décision d'adéquation de la Commission européenne, ou (ii) la mise en œuvre d'un outil de transfert de données tel qu'indiqué au chapitre V du RGPD :
Décision d'adéquation : Le 19 février 2021, la Commission européenne a lancé le processus devant conduire à l'adoption de deux décisions d'adéquation pour les transferts de données à caractère personnel vers le Royaume-Uni : (i) une décision d'adéquation dans le cadre du règlement général sur la protection des données (RGPD), et (ii) pour la première fois, une décision d'adéquation dans le cadre de la directive en matière de protection des données dans le domaine répressif (LED).
Avant que les décisions puissent être formellement adoptées par la Commission européenne, le Comité européen de la protection des données émettra un avis non contraignant (bien que probablement persuasif). Les décisions seront formellement adoptées après avoir été officiellement approuvées par un comité composé de représentants des États membres de l'UE. Une fois adoptées, les décisions seront valables pour une première période de quatre ans, avec la possibilité de renouveler le constat d'adéquation à condition que le niveau de protection au Royaume-Uni continue à être adéquat après ces quatre années.
Clauses contractuelles types et règles d'entreprise contraignantes : Il reste à voir si une décision d'adéquation sera finalement adoptée. Si aucune décision d'adéquation n'est adoptée par la Commission européenne avant la fin de la période de transition, les données à caractère personnel ne peuvent être transférées que sur la base des garanties et dérogations appropriées énumérées aux articles 46 ou 49 du RGPD, par exemple, en concluant des clauses contractuelles types ou en adoptant des règles d'entreprise contraignantes (nouvelles ou adaptées). Depuis l'arrêt Schrems II de la Cour de Justice, les responsables du traitement (exportateurs de données) doivent se conformer à des mesures supplémentaires pour transférer des données à caractère personnel à un destinataire situé dans un pays tiers (importateur de données). Pour plus d'informations, veuillez consulter notre analyse précédente.
