Brexit
Le Comité Européen de la Protection des Données[1] (ci-après, le " CEPD ") vient d'émettre une déclaration (Statement on the end of the Brexit transition period) précisant les conditions des échanges de données à caractère personnel entre l'Espace Economique Européen[2] et le Royaume-Uni après la période de transition s'achevant le 31 décembre 2020.
A compter du 1er janvier 2021, le Royaume-Uni n'appliquera plus le Règlement Général sur la Protection des Données[3] (ci-après, le " RGPD ") aux traitements de données à caractère personnel, mais un instrument juridique propre applicable dans le pays.
Dès lors, tout transfert de données à caractère personnel depuis l'Espace Economique Européen vers des entités du Royaume-Uni constituera, à compter de cette date, un " transfert de données à caractère personnel vers un pays tiers " et sera donc soumis aux dispositions du chapitre V du RGPD[4].
Dans sa déclaration, le CEPD rappelle l'absence de décision d'adéquation applicable au Royaume-Uni conformément à l'article 45 du RGPD et, concernant les transferts de données concernés, renvoie à une note d'information spécifique préparée en date du 15 décembre 2020 (Information note on data transfers under the GDPR to the United Kingdom after the transition period).
Le CEPD y relève également qu'à compter du 1er janvier 2021, le mécanisme de guichet unique (" one-stop-shop ") ne s'appliquera plus au Royaume-Uni et en précise les conséquences.
[1] qui est l'autorité indépendante chargée de la protection des données au niveau de l'Union européenne
[2] Plus précisément l'Espace Economique Européen comprend 31 Etats : Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie, Liechtenstein, Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Royaume-Uni, Slovaquie, Slovénie et Suède.
[3] Règlement (UE) 2016/679 du Parlement Européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[4] Le Chapitre V du RGPD est intitulé : " Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales "
Situation au 22 décembre