Juridique

Brexit : n'oubliez pas les conséquences RGPD

Brexit : n'oubliez pas les conséquences RGPD
Les conséquences du Brexit sont innombrables et les échanges de données personnelles ne sont pas à négliger.

Au 30 Mars 2019, le Royaume-Uni devrait devenir un pays tiers pour l'Europe, donc sans droit à la libre-circulation des données. La CNIL alerte sur les conséquences en matière de RGPD.

PublicitéDisposez-vous d'un traitement de données personnelles hébergé au Royaume-Uni ou opéré par une société issue de ce pays ? Si oui, le Brexit vous concerne. En effet, le 30 Mars 2019, le Royaume-Uni deviendra un état tiers à l'Union Européenne, au même titre que la Papouasie ou le Nigéria. La CNIL vient de diffuser une alerte car le sujet des données personnelles, au milieu des mille conséquences du Brexit, semble avoir été quelque peu négligé. De fait, transférer des données personnelles vers le Royaume-Uni deviendra en effet, le 30 Mars 2019, un transfert vers un pays tiers, avec les restrictions nécessaires. Et si l'on se trouve dans un cas très probable de No-Deal Brexit, la restriction deviendra une quasi-interdiction sauf à prendre de sérieuses précautions (« assurer un niveau de protection des données suffisant et approprié » selon les textes en vigueur). Et la question des flux partant du Royaume-Uni vers l'Europe reste ouverte.

Plusieurs cas peuvent se présenter. Bien sûr, les systèmes internes de votre groupe peuvent se trouver sur le territoire du Royaume-Uni, notamment si vous disposez d'une filiale ou d'une maison-mère dans ce pays. Ce cas est le plus simple. Un cas plus subtil est celui du SaaS. En effet, qui connaît la nationalité de l'éditeur d'un SaaS et où est exactement situé son datacenter ? Le contrat précisant un hébergement dans l'Union Européenne peut ne plus être respecté par le seul fait du Brexit.

Comment réagir si vous trouvez des données dont vous êtes responsable hébergées au Royaume-Uni ? La première réponse est bien sûr de rapatrier les données au sein de l'Union Européenne. Au cas où cela n'est pas possible, la CNIL donne un certain nombre de pistes. Déjà, « assurer un niveau de protection des données suffisant et approprié » commence par des clauses contractuelles avec les prestataires. Mais si le pays n'est plus considéré comme « sûr », celles-ci devront être particulièrement sévères. Les exceptions prévues à l'article 49 du RGPD sont en effet très restrictives.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Faites-vous des tests réguliers de réversibilité en vérifiant que les éléments obtenus suffisent à réaliser une migration ?