Les transferts de données au Royaume-Uni possibles jusqu’en juillet

La Data de localisation de Teemo passe dans le giron de Near

Conséquence du Brexit, le Royaume-Uni sortira à terme du RGPD. Un accord prévoit cependant son maintien pendant 6 mois. Après le 1er juillet, les transferts vers le pays relèveront du régime des pays tiers.

L’Europe et le Royaume-Uni parvenaient à un accord sur le Brexit en toute fin d’année. Celui-ci prévoit une période de transition pour le RGPD. Durant encore 6 mois maximum, le Règlement continuera donc de s’appliquer.

En revanche, le régime du « guichet unique » n’est plus applicable au Royaume-Uni depuis le 1er janvier. En conséquence, responsables de traitement et sous-traitants établis uniquement dans le pays doivent désigner un représentant dans l’UE.

Transfert de données vers un pays tiers

Les effets en matière de transferts de données interviendront eux à compter du 1er juillet. Jusqu’à cette échéance, ils continuent de s’effectuer dans le cadre actuel du RGPD. Ensuite, le Royaume-Uni basculera sous le statut de pays tiers, ce à défaut d’une décision de la Commission européenne.

Dès lors, les transferts « ne pourront s’effectuer qu’avec la mise en place de garanties appropriées, telles que prévues par le RGPD », comme les clauses contractuelles types. Les Européens devront en outre disposer de droits opposables et de voies de droit effectives.

« S’agissant de la communication de données personnelles vers le Royaume-Uni, aucune formalité additionnelle pour les organismes en France ou au Royaume-Uni n’est nécessaire jusqu’au 1er Juillet 2021 » conclut la Cnil.

2 sanctions RGPD de l’ICO en 2020

Dans le cadre du RGPD, l’homologue britannique de la Cnil prononçait en 2020 plusieurs sanctions majeures. Elles concernent des manquements à l’obligation de sécurité. Marriott écopait de 20 millions d’euros d’amende.

Pour avoir tardé en 2018 à détecter une faille de sécurité qui affectait 400.000 clients, la Cnil britannique infligeait une sanction plus lourde à British Airways. L’ICO infligeait 22 millions euros d’amende à la compagnie aérienne.

Toutefois, pour Marriott comme pour British Airways, la peine aurait pu être plus lourde encore. La décision initiale prévoyait 203 millions d’euros pour l’avionneur. Pour le groupe hôtelier, la Cnil préconisait 110 millions. La sanction était finalement allégée en raison du contexte de crise.

A lire également sur MyData

Les données personnelles des bacheliers ne sont pas pour les députés

Invalidation du Privacy Shield : quid des transferts de données

Le couperet est tombé le 16 juillet. La Cour de justice de l’UE invalide le mécanisme de transfert de données vers les États-Unis, le Privacy Shield. Les transferts sont-ils dès lors interdits ? Les autorités de protection planchent. Restent par ailleurs les Clauses Contractuelles Types, sous conditions cependant.

A propos de Christophe Auffray 430 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.