Accord sur le Brexit
Selon la Commission nationale pour la protection des données (ci-après, la " CNPD "), l'Accord de commerce et de coopération[1] conclu le 24 décembre 2020 entre l'Union européenne et le Royaume Uni (ci-après, " l'Accord ") prévoit que le Règlement européen pour la protection des données personnelles[2] (ci-après, le " RGPD ") reste applicable de façon transitoire au Royaume-Uni pour une durée supplémentaire et maximale de six mois.
Ainsi, jusqu'au 30 juin 2021 tout transfert de données personnelles vers le Royaume-Uni peut continuer à être réalisé dans le cadre du RGPD.
D'après la CNPD[3] : " Cela signifie qu'aucune formalité additionnelle ne devra en principe être entreprise par les entreprises, organismes publics et associations luxembourgeoises jusqu'au 1er juillet 2021[4]. "
A compter du 1er juillet 2021, les transferts de données personnelles vers le Royaume-Uni devront être encadrés par les outils prévus par les articles 46 et suivants du RGPD, à moins qu'une décision prise par la Commission européenne ne reconnaisse entre temps que le Royaume Uni garantit un niveau de protection adéquat[5].
Il convient encore de souligner que l'Accord ne concerne pas le mécanisme de " one-stop-shop " entre autorités nationales de protection des données, pourtant consacré par le RGPD. En effet, ce mécanisme n'est plus applicable au Royaume-Uni depuis le 1er janvier 2021.
La CNPD vient de mettre à jour son dossier thématique consacré au Brexit.
La présente information fait suite à celle du 22 décembre 2020, antérieure à l'Accord, intitulée " Brexit et protection des données personnelles ".
- Accord de commerce et de coopération entre l'union européenne et la Communauté européenne de l'énergie atomique, d'une part, et le Royaume-Uni de Grande-Bretagne et d'Irlande du nord, d'autre part, publié le 31 décembre 2020 au Journal officiel de l'Union européenne
- Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
- https://cnpd.public.lu/fr/dossiers-thematiques/transferts-internationaux-donnees-personnelles/brexit1/accord-de-retrait-ratifie.html
- Sauf, comme le précise la CNPD : " (...) si, comme prévu à l'article FINPROV.10A de l'accord, le Royaume-Uni introduit de nouvelles législations, approuve des BCRs, émet de nouvelles clauses contractuelles types, autorise des arrangements administratifs ou codes de conduites sans l'accord préalable de l'Union européenne. "
- Dans ce cas les transferts de données personnelles depuis l'Europe vers le Royaume uni pourront être effectués sur la base de l'article 45 du RGPD (Transferts fondés sur une décision d'adéquation).