La sortie du Royaume-Uni de l’Union Européenne (UE) dans les prochains mois aura nécessairement une répercussion sur le sort de vos données hébergées en Écosse ou transférées vers l’Angleterre.
La Directive européenne du 24 octobre 1995 et désormais le Règlement européen du 27 avril 2016 posent le principe de la libre circulation des données au sein de l’UE. Autrement dit, vous pouvez choisir d’héberger vos données en Espagne par exemple sans avoir à accomplir de formalités particulières.
A l’inverse, si vous choisissez d’exporter vos données en dehors de l’UE, les choses se compliquent.
Les textes posent le principe de l’interdiction des transferts de données en dehors de l’UE.
L’interdiction est assortie d’exceptions (les juristes adorent ça). Le Règlement européen le rappelle dans ses § 48 à 114 et dans ses articles 44 et suivants.
Certains pays sont réputés avoir un niveau de protection « adéquat », équivalent à celui prévu par le droit européen. C’est le cas par exemple de nos amis suisses, du Canada ou de l’Argentine (cette liste n’est pas exhaustive). Pour ces pays, le transfert des données est libre.
Le Royaume Uni pourrait-il se voir reconnaître ce niveau de protection ? Pourquoi pas. C’est à la Commission européenne de décider.
Qu’en est-il si ce niveau de protection « adéquat » n’était pas reconnu au Royaume Uni ?
D’autres mécanismes existent.
Par exemple, les organismes souhaitant exporter leurs données vers le Royaume-Uni pourraient adopter des codes de bonne conduite ou obtenir des certifications (article 46 du Règlement).
Ils pourraient par ailleurs signer un contrat avec leur prestataire (local) hébergeur de données, selon lequel chaque partie s’engage à respecter des règles édictées par la Commission européenne et / ou la Cnil en matière de protection des données personnelles.
C’est ce que l’on appelle les clauses contractuelles types.
A l’heure actuelle, ce contrat est transmis à la Cnil qui autorise (ou non) le transfert en cause (article 69 de la loi Informatique et Libertés).
Cette autorisation de la Cnil n’est plus exigée par le Règlement européen dès lors que vous utiliserez les clauses proposées par les autorités. A l’inverse, ce contrôle sera effectué si vous élaboré vos propres clauses type.
Pour les grands groupes, les transferts intergroupes se concrétisent par la rédaction de « règles d’entreprise contraignantes » (« binding corporate rules »), soumises à l’aval de la Cnil.
Autre voie envisageable, la conclusion d’un accord international entre l’UE et le Royaume-Uni (à l’instar de ce qui se négocie actuellement avec les États-Unis – le Privacy Shield). C’est probablement la voie qui sera privilégiée à l’avenir.
En résumé, le transfert des données personnelles vers le Royaume-Uni est libre pendant encore deux ans. Passé ce délai, les textes mettent à votre disposition beaucoup d’outils pour maintenir le lien avec le Royaume-Uni.
Pas d’inquiétude à avoir donc …
La date de publication de cet article est : 06/07/2016 . Des évolutions de la loi ou de la jurisprudence pouvant intervenir régulièrement, n’hésitez pas à nous contacter pour plus d’information.