Dans l’éventualité où le Royaume-Uni quitterait l’Union européenne (UE) en octobre 2019 sans avoir conclu un accord spécifique concernant les questions régies auparavant par la législation et la réglementation de l’UE, les entreprises devraient préparer leur stratégie de continuité en prenant des mesures dès maintenant.
Flux internationaux de données
L’un des secteurs où les règles changeront est celui des transferts internationaux de données. Pour éviter toute perturbation sur ce plan, vous pouvez prendre des mesures avant la réalisation du Brexit. Si votre organisation envoie actuellement des renseignements personnels depuis le Canada vers l’UE, vous n’avez pas à adopter pour l’instant des mesures spécifiques additionnelles pour assurer la protection des données. Si, à l’inverse, votre organisation envoie actuellement des renseignements personnels depuis l’UE vers le Canada, le statut attribué au Canada quant au caractère adéquat de la protection offerte (étant précisé que ce statut s’applique uniquement à la Loi sur la protection des renseignements personnels et les documents électroniques) signifie que les renseignements circulent comme s’ils circulaient au sein de l’UE.
Toutefois, si le Royaume-Uni quitte l’UE sans que des arrangements spéciaux soient conclus, il deviendra un pays tiers aux fins de la protection des données et il le restera jusqu’à ce que l’UE juge qu’il offre une protection adéquate aux renseignements personnels. En conséquence, les renseignements personnels ne pourront plus circuler librement entre le Canada (qui offre une protection partiellement adéquate), l’UE continentale et l’Espace économique européen (EEE) et le Royaume-Uni. Les données provenant d’une entreprise située dans l’UE ou l’EEE ne pourront pas être simplement transférées à la même entreprise ou à une autre entreprise située au Royaume-Uni de la même façon qu’auparavant.
Mesures à prendre dès maintenant
1. Inventaire. Procédez à l’inventaire de tous les flux de données actuels depuis et vers votre entreprise. Identifiez ceux qui circulent de l’EEE et de l’UE vers le Royaume-Uni.
2. Encadrement. Déterminez, selon vos besoins particuliers, la façon dont vous encadrerez vos flux de données existants vers le Royaume-Uni après le Brexit, étant donné que le Royaume-Uni sera considéré comme un pays tiers par l’UE. Quelles protections additionnelles pourraient être prévues?
À moins que vous n’ayez établi des règles d’entreprise contraignantes s’appliquant à l’ensemble de votre organisation (tout en gardant à l’esprit que ces règles ne peuvent être utilisées qu’au sein d’un même groupe d’entreprises) qui ont été dûment approuvées par l’autorité de protection des données compétente, l’approche la plus simple pourrait consister à conclure des clauses contractuelles types concernant les données transférées depuis l’EEE et l’UE vers le Royaume-Uni. Vous pouvez trouver de telles clauses sur le site Web de la Commission européenne.
3. Autres solutions. Il existe d’autres solutions en plus des règles d’entreprise contraignantes et des clauses contractuelles types. Examinez la possibilité d’utiliser des codes de conduite ou des mécanismes de certification approuvés par les autorités de protection des données de l’UE et de l’EEE.
4. Situations particulières. Examinez si vos transferts de données pourront être effectués conformément aux dérogations applicables suivantes :
- la personne concernée a donné son consentement;
- le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et la société canadienne;
- le transfert est nécessaire pour des motifs importants d’intérêt public;
- le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice;
- le transfert est nécessaire à la sauvegarde des intérêts de la personne concernée.
5. Autorité de protection des données. Examinez les mesures que vous avez prises relativement à l’autorité de contrôle chef de file. Si vous avez désigné le Royaume-Uni comme autorité de contrôle chef de file et que vous prévoyez faire des affaires dans l’UE et l’EEE après le Brexit, vous devrez évaluer vos activités dans le contexte de la nouvelle configuration de l’UE pour déterminer où se situera votre nouvelle autorité chef de file chargée de la protection des données afin de bénéficier de l’application de la politique de « guichet unique » en cas de réclamations.
6. Politique en matière de protection des renseignements personnels. Apportez les modifications nécessaires à votre politique en matière de protection des renseignements personnels pour qu’elle décrive avec exactitude la façon dont vous traiterez les données à caractère personnel et les flux de données au sein de votre organisation après le Brexit.
7. Surveillance. Continuez de surveiller la situation après la réalisation du Brexit. Aucun changement important au régime de protection des données du Royaume-Uni n’est prévu pour l’instant, mais ce régime sera appelé à évoluer avec le temps.
La commissaire à l’information du Royaume-Uni, Elizabeth Denham, a affirmé que la législation actuelle en matière de protection des données comportant des normes conformes au Règlement général sur la protection des données, demeurera en vigueur. Toutefois, il est très probable que des adaptations y seront apportées afin qu’elle reflète l’évolution des normes internationales en matière de protection des données.
