Le 24 Décembre 2020, un accord entre le Royaume-Uni et l’Union Européenne intitulé « Accord de commerce et de coopération entre l’Union Européenne et la Communauté Européenne de l’énergie automatique, d’une part, et le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord, d’autre part » a été signé.
Cet accord entre en vigueur provisoirement à partir du 1er janvier 2021 et repose sur trois grands piliers : un accord de libre-échange, un partenariat pour la sécurité des citoyens et un accord horizontal sur la gouvernance.
Le 1er Janvier 2021 marque ainsi la fin de la période de transition au cours de laquelle le droit de l’Union Européenne continuait de s’appliquer au Royaume-Uni.
L’accord contient une disposition provisoire selon laquelle la transmission de données à caractère personnel de l’Union Européenne au Royaume-Uni ne sera pas considérée comme un transfert vers un pays tiers. Cette disposition est applicable pour une durée de 4 mois, prolongée de 2 mois sauf si l’une des parties à l’accord s’y oppose, soit en principe jusqu’au 1er Juillet 2021.
Dès lors, durant cette période pouvant aller jusqu’à 6 mois, aucune formalité additionnelle pour les organismes transférant des données vers le Royaume-Uni ne sera donc nécessaire.
Dans un communiqué du 28 Décembre 2020, la CNIL précise toutefois que le mécanisme du « guichet unique » introduit par le RGPD ne sera plus applicable au Royaume-Uni à partir du 1er janvier 2021. Pour rappel, ce mécanisme permet d’harmoniser les décisions des autorités de protection des données concernant les traitements transfrontaliers en établissant un interlocuteur unique pour les entreprises établies au sein de l’Union Européenne.
Ainsi, les entreprises établies exclusivement au Royaume-Uni et dont les activités de traitement de données personnelles sont soumises au RGPD devront désigner un représentant dans l’Union Européenne conformément à l’article 27 du RGPD.
Ce mécanisme du guichet unique continuera cependant à s’appliquer pour les entreprises établies au Royaume-Uni mais ayant un établissement principal au sein de l’Espace Economique Européen.
Au cours de cette période de 6 mois, l’accord précise qu’une décision d’adéquation de la Commission Européenne concernant le Royaume-Uni pourrait être prise. À défaut, selon la CNIL, à l’issue de cette période les transferts de données personnelles vers le Royaume-Uni devront être encadrés par les mécanismes adéquats prévus par le RGPD (clauses contractuelles types, règles contraignantes d’entreprise etc.).
Il est toutefois à noter que contrairement à la CNIL, l’ICO (autorité de contrôle britannique) recommande aux entreprises du Royaume-Uni de mettre en place des mécanismes de transferts alternatifs afin de se prémunir contre une éventuelle interruption de cette libre circulation des données personnelles de l’Union Européenne vers le Royaume-Uni.
Lien vers l’accord de coopération et de commerce entre le Royaume-Uni et l’Union Européenne
Lien vers le communiqué de la CNIL