< « Platform-to-Business » : publication du règlement européen imposant de nouvelles règles aux services d’intermédiation en ligne

Brexit : Quels sont les impacts pratiques d’un no-deal ? La FAQ de la CNIL commentée.

Plus le temps passe et plus la possibilité d’un Brexit sans accord se profile pour le 31 octobre prochain. Les responsables de traitement et les sous-traitants, de part et d’autre de la Manche, se voient donc obligés de revoir la légalité de leurs transferts de données personnelles vers le Royaume-Uni.

---

Comme il a été évoqué dans nos articles précédents, un Bréxit sans accord rendrait tout transfert de données à caractère personnel vers le Royaume-Uni illégal immédiatement, à moins que les entreprises concernées ne mettent en place des garanties légales suffisantes. A défaut de mise en place de telles mesures, ces dernières pourraient se voir sanctionnées par les autorités de contrôle et attaquées en justice par les individus concernés. L’urgence de la situation a été mise en lumière par la CNIL dans sa FAQ publiée la semaine dernière. L’autorité de contrôle française conseille les entreprises à se préparer à un scenario sans accord pour le 1er novembre 2019. La CNIL a, dans ce sens, mis au point un guide en cinq étapes, résumé ci-dessous, à suivre par les organismes qui réalisent des transferts de données vers le Royaume-Uni.

Recommandation de la CNIL	Commentaires pratiques Altij
1. Identifier les transferts de données personnelles de votre entreprise vers le Royaume-Uni	Ex : Lister vos prestataires externes, ainsi que les membres de votre groupe, établis au Royaume-Uni et qui sont susceptibles de recevoir des données personnelles. Verifier si vous faites appel à des data center, des solutions d’assistance à distance, des logiciels SAAS, etc., situés au Royaume-Uni.
2. Déterminer le mécanisme juridique approprié pour permettre le transfert	En pratique cela se traduira certainement par la signature de clauses contractuelles types de la Commission européenne.
3. Mettre en application ce mécanisme avant le 1er novembre 2019	Les services juridiques devront donc préparer les clauses types pour chaque type de transfert identifié et les communiquer à l’autre partie concernée à temps pour que les documents soient finalisés et signés avant le début du mois de novembre.
4. Mettre à jour votre documentation interne pour prendre en compte les transferts vers le Royaume-Uni	Cela impliquera notamment une mise à jour du « registre des traitements » de l’organisme, conformément à l’Article 30(1)(c) du RGPD.
5. Mettre à jour les informations communiquées aux individus dont les données personnelles sont transférées vers le Royaume-Uni.	Cela découle de l’obligation, issue du RGPD, d’assurer la transparence sur le traitement des données des individus. En fonction des circonstances, l’entreprise peut notamment procéder à la mise à jour de sa politique de confidentialité, des informations transmises à ses employés ou de ses conditions générales de vente ou d’utilisation.

Bien évidemment et compte tenu des négociations en cours entre le Royaume-Uni et l’UE-27, reste la possibilité qu’un accord de sortie soit conclu avant le 31 octobre 2019. Dans un tel scénario (sur la base des projets de textes déjà négociés) les flux de données pourraient librement se poursuivre durant une période de transition, pendant laquelle l’UE évaluerait la possibilité d’accorder au Royaume-Uni un statut dit « d’adéquation » au plus long terme. Par conséquent, certaines entreprises prennent d’ores et déjà l’initiative de signer des contrats provisoires contenant des clauses contractuelles types, à prendre effet uniquement en cas de Brexit sans accord. Dans toute hypothèse, vu l’ampleur des flux de données entre les deux territoires et l’intégration numérique de leurs économies (une étude de 2017 réalisée par Tech UK constate que 75% des flux transfrontaliers de données concernant le Royaume-Uni se font avec l’UE), tout résultat autre qu’un accord d’adéquation ou un accord bilatéral de transfert de données obligera un très grand nombre d’entreprises à prendre des actions concrètes pour assurer leur « compliance » réglementaire. Nicholas Cullen, Solicitor of England and Wales et Avocat en France, est associé au sein de notre équipe « data ». Pour plus d’informations sur notre offre, merci de nous contacter via notre formulaire. Vous pouvez également contacter Nicholas directement sur ncullen(at)altij.com.An English version of this article is available here.

---