VOUS ÊTES
UNE ENTREPRISE

Protection des données

Une décision d’adéquation, qui reconnait un niveau de protection des données personnelles équivalent au RGPD a été adoptée le 28 juin 2021 par l’Union européenne, ceci afin de faciliter la fluidité du transfert de données avec le Royaume-Uni.

Vous êtes concerné si votre entreprise transfère des données personnelles vers un responsable du traitement ou un sous-traitant au Royaume-Uni et que ce flux de données se poursuit au-delà de la date du retrait du Royaume-Uni de l’Union européenne ; si vous avez des contrats en cours avec des clients ou des fournisseurs installés au Royaume-Uni comportant des clauses de transfert de données ; si vous recevez des données personnelles de la part d’un responsable de traitement ou d’un sous-traitant installé au Royaume-Uni.

Vous n’avez pas trouvé les réponses à vos questions sur cette page ? Vous pouvez contacter la Direction générale des entreprises (DGE) à l’adresse suivante : brexit.entreprises@finances.gouv.fr ou contacter directement la CNIL au lien suivant.

1) Quelles sont les conséquences du Brexit sur les flux de données personnelles vers le Royaume-Uni ?

 

 

QUESTIONS LES PLUS FRÉQUENTES

  • Dans le cadre de l’accord de commerce et de coopération conclu le 30 décembre 2020, le Royaume-Uni et l’Union Européenne sont convenus que le règlement européen pour la protection des données personnelles (RGPD) restera applicable de manière transitoire au Royaume-Uni pour une durée supplémentaire maximale de 6 mois.

    Le 28 juin 2021, la Commission européenne a adopté une décision d’adéquation au règlement européen pour la protection des données personnelles (RGPD) qui reconnait que le Royaume-Uni assure un niveau de protection adéquat en matière de données personnelles, pour une durée de 4 ans.

    En conséquence,  toute communication de données personnelles vers le Royaume-Uni continue de se faire dans le cadre antérieur et n'est pas considérée comme un transfert de données vers un pays tiers.  Aucune formalité additionnelle n’est donc requise pour les organismes en France ou au Royaume-Uni. En particulier, il n’est pas requis d’encadrer les flux de données personnelles vers le Royaume-Uni au moyen de garanties appropriées prévues par le RGPD pour les transferts vers les pays tiers.

    A l’issue de cette période de 6 mois et à défaut d’une décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni dite « décision d’adéquation », toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers au regard du Règlement général sur la protection des données (RGPD).

    Votre entreprise n’aurait plus le droit, à l’issue de cette période de six mois, de transférer des données personnelles au Royaume-Uni, à moins de mettre en place des garanties spécifiques. Quatre options s’offrent à vous. Vous pouvez mettre en place :

    • des clauses contractuelles types (CCT), modèles publiés par la Commission européenne (non soumises au contrôle de la CNIL) ;
    • des clauses contractuelles ad hoc, qui doivent être approuvées par la CNIL (plus contraignantes, valides 3 ans seulement) ;
    • des règles d'entreprise contraignantes (Binding Corporate Rules - BCR),  qui doivent être approuvées par la CNIL, puis par le comité européen de la protection des données (elles permettent d’encadrer le transfert des données pour l’ensemble des entités d'un groupe).
    • vous pouvez également rapatrier en France ou sur le territoire de l’UE27 vos données hébergées au Royaume-Uni.

    L’Union européenne s’est engagée dans l’accord du 30 décembre 2020 à instruire rapidement l’opportunité de l’adoption d’une décision d’adéquation permettant les flux de données personnelles vers le Royaume-Uni.

    Plus d’information sur https://www.cnil.fr/fr/brexit-la-commission-europeenne-adopte-des-decisions-relatives-ladequation-du-niveau-de-protection

  • Pour les données personnelles envoyées depuis le Royaume-Uni vers l’Union Européenne, les conditions sont définies par le Royaume-Uni.

    Le gouvernement britannique avait annoncé que la situation resterait inchangée et que la libre circulation des données vers l’UE serait permise sans besoin de garanties supplémentaires. Si vous recevez des données d’un responsable du traitement ou sous-traitant britannique, il n’y a donc a priori pas de changement pour ces traitements, qui devront toutefois être conformes aux dispositions du RGPD ou tout autre cadre juridique spécifique applicable une fois les données reçues.

    Ces éléments d'information doivent être régulièrement vérifiées auprès des autorités britanniques.