Le Brexit, quel impact sur les transferts de données par les entreprises françaises ?

Author: teamtaomanews
15 février 2021
0

Alors que le Royaume-Uni est définitivement sorti de l’Union européenne le 1er janvier 2021, les entreprises françaises ayant pour activité le transfert de données vers d’autres États, font face à certaines incertitudes, voire inquiétudes.

Dans la pratique pourtant, et contrairement à d’autres secteurs tels que le milieu commercial, le Brexit n’aura probablement pas d’impact considérable sur les transferts de données personnelles par nos entreprises françaises.

En effet, dans la majorité des cas, la législation applicable demeurera inchangée :

Il en ira ainsi notamment dans le cas où les entreprises françaises transféreront des données personnelles depuis la France vers d’autres États membres. Ces transferts demeureront soumis au principe de la liberté de circulation. De même, tout transfert de données personnelles depuis la France vers des pays tiers, restera interdit en application des articles 44 [1] et suivants du RGPD, sauf décision d’adéquation de la Commission ou encadrement.

Dans les deux cas précités, le Brexit n’impactera pas les transferts de données de nos entreprises françaises.

Il en ira probablement également ainsi dans le cas d’une entreprise française établie en France et traitant des données de ressortissants britanniques dans le cadre de ses activités. En effet, l’article 3 du RGPD [2] dispose que le texte a vocation à s’appliquer aux traitements de données personnelles effectuées dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, de sorte qu’une fois ces conditions établies, le Brexit ne devrait pas avoir d’impact.

La vraie question se pose concernant les entreprises françaises transférant des données à caractère personnel vers le Royaume-Uni.

Depuis le 1er janvier et jusqu’au 1er juillet 2021, le Royaume-Uni est entré dans une période dite « transitoire ». En effet, dans le cadre de l’accord de commerce et de coopération conclu le 24 décembre 2020, le Royaume-Uni et l’Union européenne sont convenus que le RGPD resterait applicable de manière transitoire pour une durée supplémentaire maximale de 6 mois. Ainsi, toute communication de données faite par une société française vers le Royaume-Uni continue de se faire dans le cadre actuel et ne doit pas être pas considérée comme un transfert de données vers un pays tiers.

Jusqu’au 1er juillet 2021 au plus tard, date butoir, le Brexit n’impacte pas les transferts de données vers le Royaume-Uni par les entreprises françaises, celles-ci devant continuer à appliquer la législation antérieure.

A compter du 1er juillet 2021, soit à la fin de la période transitoire, le Royaume-Uni devrait en principe être considéré comme un État tiers. Les entreprises françaises souhaitant continuer d’y exporter des données personnelles devront se plier à la réglementation en vigueur en matière de données personnelles vers un État tiers.

Cependant, il ne s’agit là que d’un principe, puisqu’en pratique, la Commission européenne rendra très probablement une « décision d’adéquation » en vertu de laquelle elle devrait estimer que le Royaume-Uni présente un niveau de protection suffisant justifiant la poursuite des transferts. Le Royaume-Uni assurant jusque lors, un niveau de protection des données très élevé et proche de celui de l’Union européenne, il serait surprenant qu’il ne soit pas statué en ce sens ; d’autant plus que d’autres États bénéficient d’ores-et-déjà de cette position privilégiée, tels que l’Argentine, l’Uruguay et la Suisse.

Cette décision permettrait d’assurer la continuité des transferts des données entre les entreprises françaises et les entreprises britanniques, par le biais de standards relativement proches de ceux préalablement établis par le RGPD.

Enfin, dans le cas surprenant où la Commission refuserait d’admettre ce nouveau statut au Royaume-Uni, un accord pourrait être conclu avec l’Union européenne, répliquant les dispositions du RGPD, de sorte à ce que la protection soit identique à celle prévue par le texte.

Ainsi, plus de quatre ans après le vote du Brexit, l’horizon commence à se dessiner en matière de transferts de données.

Si les frontières physiques ont été rétablies entre le Royaume-Uni et l’Union européenne, les conséquences n’en sont que relatives sur la majorité des transferts de données auxquels procèdent les entreprises françaises.

Espérons que le « divorce » entre les deux territoires soit rendu définitif par la décision d’adéquation de la Commission européenne, assurant ainsi la pérennité et sécurité des transferts à venir.

 

Mathilde Geneste
Elève-avocate

Anne Messas
Associée et Avocat à la Cour

 

[1] Article 44 – Principe général applicable aux transferts

« Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis. »

[2] Article 3 – Champ d’application territorial

  1. « Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
  2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
  3. a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
  4. b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
  5. Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public.»