Back to Blog

Brexit, quelles conséquences pour vos transferts de données ?

Maxime JAILLET

Comment adapter vos transferts de données personnelles dans un contexte post-Brexit ? Le Royaume-Uni sorti de l’Union Européenne, travailler avec des prestataires britanniques sera un peu plus compliqué qu’avant. Vous devrez mener une revue de vos fournisseurs. Un chantier qu’on vous conseille de préparer dès maintenant. On vous dit comment. C’est notre actualité marché du jour.

Pourquoi le Brexit remet en cause vos transferts de données personnelles ?

Le suspense est total. Le 01er janvier 2020 a été la date de mise en œuvre d’un accord par lequel le Royaume Uni se retire de l’Union Européenne.

Cet accord prévoit que le RGPD restera applicable et appliqué jusqu’au 31 décembre 2020. [MAJ du 19/01/2021 : cette période d'application est désormais étendue jusqu'au 1er juillet 2021].

Le Royaume-Uni et l’Union Européenne réussiront-ils d’ici là à signer un accord commercial ?

Au-delà de cette date, travailler avec des sociétés britanniques impliquera de transférer des données hors Union Européenne. De tels transferts sont encadrés parce qu’ils sont considérés comme sensibles.

Pour préserver le business, le Royaume-Uni veut donc obtenir une décisiond’adéquation de la part de la Commission Européenne. C’est-à-direune une reconnaissance de ce que la législation britannique offre un niveau de protection adéquat au regard des standards européens.

Et ce n’est pas gagné… La Commission Européenne semble avoir des réticences.

  • Dans un contexte post-Brexit, le Royaume-Uni peut décider de modifier et assouplir sa législation nationale en la matière ;
  • L’adhésion par le Royaume Uni au programme de renseignement militaire « Five Eyes », aux côtés de l’Australie, du Canada, de la Nouvelle-Zélande et des Etats-Unis, créé de vraies inquiétudes. La question est de savoir si le régime de surveillance instauré au Royaume-Uni reste compatible avec les exigences du RGPD.

En cas d’échec, les entreprises britanniques devront sérieusement revoir leurs méthodes de transferts et de traitement de données pour pouvoir continuer de travailler avec des clients européens. Un surcoût de 1,8 milliards d’euros si l’on en croit une étude menée par le groupe de réflexion New Economics Foundation et l'University College London, et citée par Euractiv.

Transfert de données, décision d’adéquation, Privacy Shield…vous avez déjà entendu ça quelque part ?

Cette situation n’est pas une nouveauté totale pour vos services.

En juillet 2020, la CJUE a invalidé le Privacy Shield, c’est-à-dire la décision dont les Etats-Unis bénéficiaient jusqu’ici. Elle autorisait le transfert de données personnelles en provenance de l’Europe.

Cette décision judiciaire aura naturellement un effet domino. Nous attendons d’ailleurs que la Commission Européenne se penche sur la législation suisse. Une autre invalidation à venir ?

Quoi qu’il en soit et pour commencer, remettez-vous à jour sur cette notion de transfert de données hors Union Européenne. Elle englobe en effet :

  • les flux de communication de données (manuels ou automatisés) à vos partenaires et sous-traitants ;
  • l’hébergement de données sur des serveurs situés au Royaume-Uni ;
  • L’accès à distance de prestataires établis au Royaume-Uni à vos bases.

Comment transférer vos données personnelles dans un contexte post-Brexit ?

On vous a précédemment expliqué pourquoi le confinement de mars 2020 était une occasion idéale de remettre à plat votre conformité RGPD.

Vous tenez là une deuxième raison : le paysage des transferts de données hors UE évolue.

Vous devez par conséquent vous préparer au choc du Brexit comme vous affrontez en ce moment celui de la fin du Privacy Shield.

  • Cartographiez vos transferts, identifiez parmi vos prestataires et fournisseurs lesquels sont établis au Royaume-Uni ;
  • Profitez-en pour faire le ménage, supprimez les prestations inutiles.
  • Le changement, c’est maintenant. Vos fournisseurs et prestataires ont-ils une vraie valeur ajoutée ? D’autres acteurs établis sur le territoire de l’UE ne peuvent-ils faire le job ?
  • Prenez contact avec votre base de sous-traitants, faites leur signer des clauses contractuelles types.
  • Vous devrez potentiellement désigner un représentant au Royaume-Uni du fait du transfert et du stockage de données sur ce territoire. Restez en veille sur ce point.


Sachez que ce n’est pas un one shot mais plutôt un travail sur le moyen terme.

  • Signer des engagements contractuels avec vos prestataires ne suffira pas. Vous devrez voir ce qu’il en est en pratique.
  • Vous devrez conduire une analyse de risque relative à la réglementation britannique, la question étant notamment d’examiner si vos prestataires et fournisseurs sont, par exemple, tenus de répondre à des demandes de communication de données de la part d’autorités nationales.
  • La décision de la Commission Européenne d’accorder ou non une décision d’adéquation sera à prendre en compte dans votre analyse. Vous serez aussi tributaires des évolutions que le Royaume-Uni opérera sur sa législation nationale.
  • Comment faire pour poursuivre vos transferts de données dans un contexte post-Schrems II ? Vous devrez revoir en profondeur vos transferts et mettre en place des mesures techniques complémentaires (pseudonymisation, chiffrement…) pour réduire les risques. C’est une étape essentielle car si les garanties apportées ne suffisent pas, vous devrez arrêter de travailler avec les fournisseurs concernés.
  • La Commission Européenne a soumis de nouvelles clauses contractuelles types à la consultation publique. Dans l’attente, les templates actuels restent valables.

Conclusion : Préparez avec soin la sortie du Brexit

L’époque est à revoir l’encadrement des transferts de données personnelles vers certains Etats partenaires de l’Europe. Après les Etats-Unis et l’invalidation du Privacy Shield, c’est au tour du Royaume-Uni tandis qu’il sort de l’UE.

Pas de panique. Si vous aviez déjà commencé à passer en revue vos fournisseurs américains, cela sera d’autant plus simple d’examiner ceux établis au Royaume-Uni.

D’autant que c’est une démarche à mener sur le moyen terme.

La conformité RGPD est un sujet structurant pour votre activité. Aussi, sachez que pour vous simplifier la vie, vous pouvez vous appuyer sur des outils qui prendront en charge certains sujets. Le module d’Axeptio est là pour vous aider à gérer celui des cookies.



Share on social media: 

Ne partez pas si vite ... 

8 médias qui rendent leurs cookies fun avec le widget d’Axeptio

Exploiter un média et être transparent sur ses cookies, c’est possible ? Oui ! On vous montre 8 exemples qui ont intégré une fonctionnalité de consent-as-a-service sur leurs sites. Frenchweb, CanardPC, Le Journal des RH et bien d’autres encore. Ils parlent à une audience B2C ou B2B, vivent des abonnements ou de la pub et tous ont quelque chose à dire sur leurs cookies.

Lire la suite

Cookies - Cette vidéo vous montre pourquoi privilégier l’expérience utilisateur

La gestion des cookies devient une composante même de l’expérience utilisateur puisque vos visiteurs peuvent les accepter ou les refuser. Beaucoup d’éditeurs se lancent désormais dans une course aux opt-in. Mais vouloir cookifier toute une audience, n’est-ce pas passer à côté de l’essentiel ?

Lire la suite

Grâce à Axeptio, obtenez des statistiques sincères sur vos cookies

Axeptio enrichit son outil et vous propose un module statistique. Désormais, vous allez savoir quelle proportion d'utilisateurs acceptent vos cookies. On vous fournit les données les plus pertinentes pour vous et on les rend simples à comprendre. Comme toujours, Axeptio vous propose une approche innovante par rapport à ce qui se fait sur le marché.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.