La perspective d’une sortie sans accord du Royaume-Uni de l’Union européenne au 31 octobre semble se dessiner de plus en plus nettement. Au 1er novembre, les responsables du traitement et les sous-traitants de données à caractère personnel devront être parés pour affronter les conséquences d’un éventuel No deal, notamment en matière de transferts de données entre le Royaume-Uni et le reste de l’Europe. Eclairages de Garance Mathias, associée de Mathias Avocats.
Les entreprises françaises vous semblent-elles bien préparées aux retombées d’un No Deal en ce qui concerne leur activité de transfert de données ?
Beaucoup d’entreprises s’y prennent au dernier moment malheureusement, comme lors de l’entrée en vigueur du règlement européen sur la protection des données (RGPD) en mai 2018, avec un autre handicap : l’impossibilité d’influer sur le cours de la politique britannique, ce qui est une source d’incertitude supplémentaire. Au 1er novembre, en cas de No Deal, le Royaume-Uni deviendra un pays tiers et le droit de l’Union européenne ne s’y appliquera plus. Cela signifie que le transfert de données à caractère personnel devra être encadré par des garanties appropriées. En effet, à ce jour, le Royaume-Uni ne bénéficie pas d’une décision d’adéquation (art. 45 du RGPD).
Quels sont les outils à leur disposition ?
Il s’agit de garanties dont l’utilisation est recommandée par le Comité européen de la protection des données (CEPD) à l’échelle de l’Union et par la Commission nationale de l’informatique et des libertés (CNIL) en France. Ce sont essentiellement les clauses de transfert de données adoptées par la Commission européenne, à savoir les clauses contractuelles types de la Commission européenne qui encadrent les transferts entre deux responsables de traitements et entre un responsable de traitement et un sous-traitant. Il y a également les règles contraignantes d’entreprise (binding corporate rules, BCR). Ces règles définissent une politique de protection des données intragroupe en matière de transfert hors de l’espace économique européen. Elles ont une valeur juridique contraignante et s’imposent à toutes les entités d’un même groupe, quel que soit leur pays d’implantation. Mais si vous consultez la liste des entreprises européennes qui ont mis en place des BCR approuvées par leur régulateur national, 134 à ce jour, vous verrez que l’on y trouve seulement 34 sociétés françaises ou filiales d’entreprises étrangères installées dans l’Hexagone.
Comment les entreprises devront-elles s’organiser pour traiter de façon cohérente ce sujet du transfert des données entre les deux pays ?
Conformément aux recommandations faites par le CEPD, elles devront nommer un chef de file qui sera l’interlocuteur unique sur le sujet pour toute leur organisation. A noter que seules les entreprises britanniques ayant des implantations dans l’Union européenne pourront bénéficier de ce mécanisme. Concrètement, avant tout transfert de données, les sociétés, quels que soient leurs lieux d’implantation, devront vérifier quelles sont les garanties applicables, les droits opposables, les recours existants. Et si le destinataire de données personnelles transférées à partir du Royaume-Uni est situé dans un pays auquel ne s’appliquent pas les décisions d’adéquation de la Commission européenne, l’émetteur devra mettre en œuvre au moins une des garanties appropriées (BCR, clauses ad hoc, etc.).
Le scénario du No Deal pose aussi des questions importantes sur le volet du droit des personnes. Pouvez-vous donner quelques exemples ?
Les personnes dont les données font l’objet d’un transfert vers un pays tiers devront en être informées conformément aux articles 13 et 14 du RGPD. Il faudra aussi modifier les mentions d’information en cas de Brexit sans accord. Il sera également nécessaire que ce changement se traduise au niveau du registre des activités de traitement. En effet, l’article 30 du RGPD dispose que tout registre doit faire état des transferts de données vers un pays tiers.
Vous accompagnez aussi des entreprises installées outre-Manche sur ce sujet. Comment régissent-elles ?
Pour les sociétés britanniques, c’est aussi un casse-tête, d’autant plus que certaines d’entre elles peuvent avoir des filiales en Irlande, ce qui ne leur simplifie pas la tâche puisque la question du statut de l’Irlande du Nord n’est pas tranchée entre Bruxelles et Londres [N.D.L.R. : Le Premier Ministre britannique Boris Johnson propose que l’Irlande du Nord reste dans le marché unique européen jusqu’en 2025, tout en formant une union douanière avec le Royaume-Uni]. Au demeurant, l’Information Commissioner’s Office (ICO), le régulateur britannique, en charge notamment du contrôle de la bonne mise en œuvre du Data Protection Act (1988), recommande aux entreprises britanniques de continuer à se conformer aux exigences du RGPD après le 30 octobre.
