Nous interrompons notre série de bulletins sur le projet de loi n° 64 du Québec afin d’attirer votre attention sur le fait que le Royaume-Uni est sur le point de quitter l’Union européenne alors que son cadre en matière de protection des données n’est pas reconnu comme étant adéquat. Cela signifie qu’après le 31 décembre 2020, le Royaume-Uni aura le statut de pays tiers aux fins du transfert de données. Notre bulletin spécial en précise les conséquences.
Nous reprendrons la semaine prochaine notre série sur le projet de loi n°64.
Si la période de transition du Royaume-Uni pour la conclusion d’un accord avec l’Union européenne se termine le 31 décembre 2020 sans que l’UE n’ait conclu un accord reconnaissant le régime du Royaume-Uni comme étant adéquat aux fins de la protection des données, les entreprises devraient dès à présent prendre les mesures nécessaires pour s’adapter à une nouvelle réalité réglementaire. En septembre 2019, Fasken a publié un bulletin sur le Brexit et la protection des données, conseillant aux entreprises qui envoient ou reçoivent des données du Royaume-Uni de s’y préparer.
Aujourd’hui, plus d’un an plus tard, le statut du Royaume-Uni n’a pas encore été reconnu comme étant adéquat par l’UE. Étant donné la longueur et la complexité de ce processus d’adéquation, il semble peu probable que cela se produise avant le 31 décembre 2020. Le Bureau du commissaire à l’information (Information Commissioner’s Office) du Royaume-Uni a émis la mise en garde suivante :
[TRADUCTION] Le RGPD sera introduit dans la législation britannique au titre de « RGPD du Royaume-Uni », mais il pourrait y avoir d’autres développements sur la façon dont nous traitons des questions particulières, comme les transferts Royaume-Uni-UE. Le RGPD sera toujours en vigueur au Royaume-Uni à la fin de la période de transition, mais ce dernier disposera de l’indépendance nécessaire pour continuer à en examiner le cadre.
Flux internationaux de données
L’un des secteurs où les règles changeront est celui des transferts internationaux de données. Si votre organisation envoie actuellement des renseignements personnels depuis le Canada vers l’UE, vous n’avez pas à adopter pour l’instant des mesures spécifiques additionnelles pour assurer la protection des données. Si, à l’inverse, votre organisation envoie actuellement des renseignements personnels depuis l’UE vers le Canada, le statut attribué au Canada quant au caractère adéquat de la protection offerte (uniquement pour les traitements soumis à la Loi sur la protection des renseignements personnels et les documents électroniques) signifie que les renseignements circulent comme s’ils circulaient au sein de l’UE.
Toutefois, si le Royaume-Uni quitte l’UE sans que des arrangements spéciaux soient conclus, il deviendra un pays tiers aux fins de la protection des données et il le restera jusqu’à ce que l’UE juge qu’il offre une protection adéquate aux renseignements personnels. En conséquence, les renseignements personnels ne pourront plus circuler librement entre le Canada (qui offre une protection adéquate), l’UE continentale et l’Espace économique européen (EEE) et le Royaume‑Uni. Les données provenant d’une entreprise située dans l’UE ou l’EEE ne pourront pas être simplement transférées à la même entreprise ou à une autre entreprise située au Royaume-Uni de la même façon qu’auparavant.
Les recommandations que nous avons formulées en septembre 2019 sont d’autant plus pertinentes dans le contexte actuel.
Mesures à prendre avant le 31 décembre 2020
1. Procédez à l’inventaire de tous les flux de données actuels depuis et vers votre entreprise. Identifiez ceux qui circulent de l’EEE et de l’UE vers le Royaume-Uni. Ces flux de données devront faire l’objet d’une attention particulière lorsque le Royaume-Uni deviendra un pays tiers dans le cadre du RGPD.
Plus précisément, si le Royaume-Uni ne recevait pas de décision sur le caractère adéquat de son statut avant la fin de la période de transition, les dispositions relatives à la protection des données énoncées dans l’accord de retrait (troisième partie, titre VII, article 71(1)) signé par le Royaume‑Uni et l’UE en décembre 2019 entreraient en vigueur. Cela signifie que les organisations du Royaume-Uni devront se conformer à la législation de l’UE sur la protection des données (telle qu’elle sera en vigueur le 31 décembre 2020) lorsqu’elles traiteront des données personnelles qui ont été recueillies avant la fin de la transition et qui concernent des personnes vivant à l’extérieur du Royaume-Uni. Par conséquent, l’ICO recommande de faire l’inventaire des données personnelles que vous détenez afin de pouvoir distinguer les données acquises avant la fin de la période de transition de celles qui le seront après.
2. Dressez l’inventaire des flux du Canada vers le Royaume-Uni. Le Canada continue d’exiger que les données circulant vers d’autres territoires se voient garantir le même niveau de protection que celui dont elles bénéficient au Canada. Surveillez l’évolution du projet de loi au Québec (projet de loi n° 64) qui, une fois adopté, exigerait des évaluations semblables à celles prévues par le RGPD, des procédures spéciales et la protection des renseignements personnels en provenance du Québec.
3. Déterminez, selon vos besoins particuliers, la façon dont vous encadrerez vos flux de données existants vers le Royaume-Uni étant donné qu’à compter de janvier 2021, le Royaume-Uni sera considéré comme un pays tiers par l’UE. Quelles protections additionnelles pourraient être prévues?
À moins que vous n’ayez établi des règles d’entreprise contraignantes s’appliquant à l’ensemble de votre organisation (tout en gardant à l’esprit que ces règles ne peuvent être utilisées qu’au sein d’un groupe d’entreprises affiliées et doivent être approuvées par l’autorité de protection des données compétente), l’approche la plus simple pourrait consister à ajouter des clauses contractuelles types à la documentation qui concerne les données transférées depuis l’EEE et l’UE vers le Royaume-Uni. Vous pouvez trouver de telles clauses sur le site Web de la Commission européenne.
Cela dit, quel que soit l’instrument utilisé pour le transfert, en raison de la décision rendue dans l’affaire Schrems II, avant de transférer des données à caractère personnel de l’EEE vers un pays tiers qui n’est pas reconnu comme étant adéquat, ce qui peut être le cas du Royaume-Uni, une évaluation des risques liés au transfert de données doit être effectuée pour déterminer si le niveau de protection dans un pays tiers est adéquat.
Les données circulant du Royaume-Uni vers l’UE et l’EEE devront désormais respecter les obligations imposées aux pays tiers par l’Union européenne, comme l’embauche d’un représentant européen.
4. Les données en provenance du Canada vers le Royaume-Uni ne circulent plus entre deux territoires dont le statut est considéré comme étant adéquat. Vous devrez très probablement prendre de nouvelles mesures concernant ces flux de données afin de garantir que les données provenant du Canada et destinées au Royaume-Uni soient suffisamment protégées.
5. Les données circulant du Royaume-Uni vers le Canada ne devraient pas nécessiter un examen immédiat des conditions de transfert dans la mesure où le Canada (secteur commercial) est reconnu comme étant adéquat. Le RGPD a été intégré à la législation britannique. À l’heure actuelle, les données arrivant au Royaume-Uni en provenance de territoires reconnus comme étant adéquats par l’UE ne sont soumises à aucune condition particulière. Toutefois, cela pourrait être amené à changer ultérieurement, puisque le Royaume-Uni modifie ses propres règles en matière de protection des données.
6. Examinez les mesures que vous avez prises relativement à l’autorité de contrôle chef de file. Si vous avez désigné le Royaume-Uni comme autorité de contrôle chef de file et que vous prévoyez faire des affaires dans l’UE et l’EEE après le mois de décembre 2020, vous devrez évaluer vos activités dans le contexte de la nouvelle configuration de l’UE pour déterminer où se situera votre nouvelle autorité chef de file chargée de la protection des données. Il s’agit d’une mesure importante afin de bénéficier de l’application de la politique de « guichet unique » en cas de réclamations au sein de l’UE.
7. Apportez les modifications nécessaires à votre politique en matière de protection des renseignements personnels de la clientèle pour qu’elle décrive avec exactitude la façon dont vous traiterez les données à caractère personnel et les flux de données au sein de votre organisation après décembre 2020.
8. Continuez de surveiller l’évolution de la situation. Le régime de protection des données du Royaume-Uni sera appelé à évoluer avec le temps.
|
CENTRE DE RESSOURCES PL64 - Découvrez notre centre de ressources dédié au Projet de Loi 64regroupant toutes les informations que vous devez savoir pour faire face aux changements qui pourraient être apportés à la législation. LISTE DE DISTRIBUTION - Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution. |
