Brexit, quelles conséquences pour vos transferts de données ?
Maxime JAILLETComment adapter vos transferts de données personnelles dans un contexte post-Brexit ? Le Royaume-Uni sorti de l’Union Européenne, travailler avec des prestataires britanniques sera un peu plus compliqué qu’avant. Vous devrez mener une revue de vos fournisseurs. Un chantier qu’on vous conseille de préparer dès maintenant. On vous dit comment. C’est notre actualité marché du jour.
Pourquoi le Brexit remet en cause vos transferts de données personnelles ?
Le suspense est total. Le 01er janvier 2020 a été la date de mise en œuvre d’un accord par lequel le Royaume Uni se retire de l’Union Européenne.
Cet accord prévoit que le RGPD restera applicable et appliqué jusqu’au 31 décembre 2020. [MAJ du 19/01/2021 : cette période d'application est désormais étendue jusqu'au 1er juillet 2021].
Le Royaume-Uni et l’Union Européenne réussiront-ils d’ici là à signer un accord commercial ?
Au-delà de cette date, travailler avec des sociétés britanniques impliquera de transférer des données hors Union Européenne. De tels transferts sont encadrés parce qu’ils sont considérés comme sensibles.
Pour préserver le business, le Royaume-Uni veut donc obtenir une décisiond’adéquation de la part de la Commission Européenne. C’est-à-direune une reconnaissance de ce que la législation britannique offre un niveau de protection adéquat au regard des standards européens.
Et ce n’est pas gagné… La Commission Européenne semble avoir des réticences.
- Dans un contexte post-Brexit, le Royaume-Uni peut décider de modifier et assouplir sa législation nationale en la matière ;
- L’adhésion par le Royaume Uni au programme de renseignement militaire « Five Eyes », aux côtés de l’Australie, du Canada, de la Nouvelle-Zélande et des Etats-Unis, créé de vraies inquiétudes. La question est de savoir si le régime de surveillance instauré au Royaume-Uni reste compatible avec les exigences du RGPD.
En cas d’échec, les entreprises britanniques devront sérieusement revoir leurs méthodes de transferts et de traitement de données pour pouvoir continuer de travailler avec des clients européens. Un surcoût de 1,8 milliards d’euros si l’on en croit une étude menée par le groupe de réflexion New Economics Foundation et l'University College London, et citée par Euractiv.
Transfert de données, décision d’adéquation, Privacy Shield…vous avez déjà entendu ça quelque part ?
Cette situation n’est pas une nouveauté totale pour vos services.
En juillet 2020, la CJUE a invalidé le Privacy Shield, c’est-à-dire la décision dont les Etats-Unis bénéficiaient jusqu’ici. Elle autorisait le transfert de données personnelles en provenance de l’Europe.
Cette décision judiciaire aura naturellement un effet domino. Nous attendons d’ailleurs que la Commission Européenne se penche sur la législation suisse. Une autre invalidation à venir ?
Quoi qu’il en soit et pour commencer, remettez-vous à jour sur cette notion de transfert de données hors Union Européenne. Elle englobe en effet :
- les flux de communication de données (manuels ou automatisés) à vos partenaires et sous-traitants ;
- l’hébergement de données sur des serveurs situés au Royaume-Uni ;
- L’accès à distance de prestataires établis au Royaume-Uni à vos bases.
Comment transférer vos données personnelles dans un contexte post-Brexit ?
On vous a précédemment expliqué pourquoi le confinement de mars 2020 était une occasion idéale de remettre à plat votre conformité RGPD.
Vous tenez là une deuxième raison : le paysage des transferts de données hors UE évolue.
Vous devez par conséquent vous préparer au choc du Brexit comme vous affrontez en ce moment celui de la fin du Privacy Shield.
- Cartographiez vos transferts, identifiez parmi vos prestataires et fournisseurs lesquels sont établis au Royaume-Uni ;
- Profitez-en pour faire le ménage, supprimez les prestations inutiles.
- Le changement, c’est maintenant. Vos fournisseurs et prestataires ont-ils une vraie valeur ajoutée ? D’autres acteurs établis sur le territoire de l’UE ne peuvent-ils faire le job ?
- Prenez contact avec votre base de sous-traitants, faites leur signer des clauses contractuelles types.
- Vous devrez potentiellement désigner un représentant au Royaume-Uni du fait du transfert et du stockage de données sur ce territoire. Restez en veille sur ce point.
Sachez que ce n’est pas un one shot mais plutôt un travail sur le moyen terme.
- Signer des engagements contractuels avec vos prestataires ne suffira pas. Vous devrez voir ce qu’il en est en pratique.
- Vous devrez conduire une analyse de risque relative à la réglementation britannique, la question étant notamment d’examiner si vos prestataires et fournisseurs sont, par exemple, tenus de répondre à des demandes de communication de données de la part d’autorités nationales.
- La décision de la Commission Européenne d’accorder ou non une décision d’adéquation sera à prendre en compte dans votre analyse. Vous serez aussi tributaires des évolutions que le Royaume-Uni opérera sur sa législation nationale.
- Comment faire pour poursuivre vos transferts de données dans un contexte post-Schrems II ? Vous devrez revoir en profondeur vos transferts et mettre en place des mesures techniques complémentaires (pseudonymisation, chiffrement…) pour réduire les risques. C’est une étape essentielle car si les garanties apportées ne suffisent pas, vous devrez arrêter de travailler avec les fournisseurs concernés.
- La Commission Européenne a soumis de nouvelles clauses contractuelles types à la consultation publique. Dans l’attente, les templates actuels restent valables.
Conclusion : Préparez avec soin la sortie du Brexit
L’époque est à revoir l’encadrement des transferts de données personnelles vers certains Etats partenaires de l’Europe. Après les Etats-Unis et l’invalidation du Privacy Shield, c’est au tour du Royaume-Uni tandis qu’il sort de l’UE.
Pas de panique. Si vous aviez déjà commencé à passer en revue vos fournisseurs américains, cela sera d’autant plus simple d’examiner ceux établis au Royaume-Uni.
D’autant que c’est une démarche à mener sur le moyen terme.
La conformité RGPD est un sujet structurant pour votre activité. Aussi, sachez que pour vous simplifier la vie, vous pouvez vous appuyer sur des outils qui prendront en charge certains sujets. Le module d’Axeptio est là pour vous aider à gérer celui des cookies.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.