BREXIT : quelles conséquences sur l’application du RGPD ?

Se mettre en conformité
avec le RGPD après le BREXIT

À compter du 31 décembre 2020, le Royaume Unie ne sera plus membre de l’Union européenne et les données personnelles au Royaume-Uni ne seront plus régies par le RGPD.

Par conséquent, au terme d’une période transitoire de six mois, les transferts de données personnelles issus de l’Union européenne vers le Royaume-Uni devront, à partir du 1er juillet 2021, respecter les dispositions du RGPD relatifs aux transferts de données vers les pays tiers.

Quel droit applicable pour le traitement des données personnelles des citoyens européens
transférées vers le Royaume Uni ?

Dans l’attente que la Commission européenne conclu un accord cadre avec le Royaume Uni assurant que la législation britannique respecte un niveau de protection adéquat au RGPD, les flux de données personnelles vers le Royaume-Uni devront être encadrés par les dispositions du RGPD relatives aux transferts de données vers les pays tiers.

Les transferts de données personnelles de citoyens européens vers un responsable du traitement, un co-responsable de traitement ou un sous-traitant situé au Royaume-Uni sont concernées par ce changement. 

Les entreprises liées par des contrats en cours avec des clients, fournisseurs, partenaires commerciaux installés au Royaume-Uni ainsi que celles dont les filiales ou les sièges du groupe dont elles dépendent sont situées au Royaume Unie, devront insérées des clauses de transfert de données personnelles extra européen.

Comment se mettre en conformité
RGPD après le BREXIT ?

1. mener un audit

Identifier l’ensemble des traitements de données personnelles transférées vers le Royaume-
Uni.

    2. Choisir l’outil RGPD de transferts extra européen approprié

    Choisir les outils de transfert de données personnelles extra européen prévus par le RGPD les mieux adaptés à l’activité de l’entreprise.

    Le RGPD permet à une entreprise qui transfert des données de citoyens européens en dehors de l’UE de les encadrer par des règles d’entreprise contraignantes (Binding corporate rules, BCR) et desclauses contractuelles type.

    3. MISE EN PLACE DES TRANSFERTS

    Mettre en place l’instrument de transfert choisi pour que celui-ci soit effectif à compter de la
    date de retrait.

      4. Mettre à jour le registre de traitement

      Mettre à jour le registre des traitements de la société afin d’y recenser les transferts vers le
      Royaume-Uni à compter de la date de retrait et d’indiquer les garanties prévues pour ces transferts.

      5. Informer les personnes

      Informer les personnes concernées par le transfert de leurs données personnelles au Royaume Unie de façon concise, transparente, compréhensible et aisément accessible.

      L’information comprendra l’existence d’un transfert des données vers un pays hors Union européenne, mais aussi les garanties associées à ce transfert et la faculté d’accéder aux documents autorisant ce transfert.