Brexit : n'oubliez pas les conséquences RGPD
Au 30 Mars 2019, le Royaume-Uni devrait devenir un pays tiers pour l'Europe, donc sans droit à la libre-circulation des données. La CNIL alerte sur les conséquences en matière de RGPD.
PublicitéDisposez-vous d'un traitement de données personnelles hébergé au Royaume-Uni ou opéré par une société issue de ce pays ? Si oui, le Brexit vous concerne. En effet, le 30 Mars 2019, le Royaume-Uni deviendra un état tiers à l'Union Européenne, au même titre que la Papouasie ou le Nigéria. La CNIL vient de diffuser une alerte car le sujet des données personnelles, au milieu des mille conséquences du Brexit, semble avoir été quelque peu négligé. De fait, transférer des données personnelles vers le Royaume-Uni deviendra en effet, le 30 Mars 2019, un transfert vers un pays tiers, avec les restrictions nécessaires. Et si l'on se trouve dans un cas très probable de No-Deal Brexit, la restriction deviendra une quasi-interdiction sauf à prendre de sérieuses précautions (« assurer un niveau de protection des données suffisant et approprié » selon les textes en vigueur). Et la question des flux partant du Royaume-Uni vers l'Europe reste ouverte.
Plusieurs cas peuvent se présenter. Bien sûr, les systèmes internes de votre groupe peuvent se trouver sur le territoire du Royaume-Uni, notamment si vous disposez d'une filiale ou d'une maison-mère dans ce pays. Ce cas est le plus simple. Un cas plus subtil est celui du SaaS. En effet, qui connaît la nationalité de l'éditeur d'un SaaS et où est exactement situé son datacenter ? Le contrat précisant un hébergement dans l'Union Européenne peut ne plus être respecté par le seul fait du Brexit.
Comment réagir si vous trouvez des données dont vous êtes responsable hébergées au Royaume-Uni ? La première réponse est bien sûr de rapatrier les données au sein de l'Union Européenne. Au cas où cela n'est pas possible, la CNIL donne un certain nombre de pistes. Déjà, « assurer un niveau de protection des données suffisant et approprié » commence par des clauses contractuelles avec les prestataires. Mais si le pays n'est plus considéré comme « sûr », celles-ci devront être particulièrement sévères. Les exceptions prévues à l'article 49 du RGPD sont en effet très restrictives.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire