Brexit dur & RGPD : quand l’UE propose 4 solutions alors que vous n’en avez qu’une !

Je me suis dit qu’il était temps de m’intéresser au Brexit comme tout le monde. Alors j’ai fait comme tous les spécialistes des données personnelles font : je suis allé sur le site de la Cnil et j’ai lu ceci :

Brexit dur & RGPD : quand l’EU propose 4 solutions alors que vous n’en avez qu’une !

J’avoue que j’ai longtemps hésité à cliquer sur « oui » ou sur « non »… Mon esprit critique me poussait à cliquer « non » car je trouvais la réponse par trop « light » comme on dit dans la langue de Shakespeare. Mais finalement j’étais assez content de la réponse « S’agissant des conséquences juridiques du Brexit (…) l’ICO a d’ores et déjà précisé sur son site qu’un niveau de protection des données personnelles serait maintenu au Royaume Uni ».

Sauvé, si l’ICO le dit c’est que cela doit être vrai… Mais ça c’était avant. Depuis tout le monde s’inquiète un peu d’un Brexit dur. Et voici ce qu’a publié sur ce point l’European Data protection Board.

Brexit dur & RGPD : quand l’EU propose 4 solutions alors que vous n’en avez qu’une !

C’est là que je me rends compte qu’il y a un monde entre ceux qui pensent le droit… et ceux qui le mettent œuvre !
Car Mesdames, Messieurs, vous qui travaillez avec une société de sa Gracieuse Majesté quoi que pense l’ICO du niveau de protection de son pays, vous n’avez que 4 options :

Option 1 – Des BCR – Dans ce cas-là, bonne chance ! Adopter des BCR avant le 30 mars, j’en ris d’avance tant la procédure est lente. Heureux ceux qui ont déjà des BCR et qui pourront y intégrer leurs amis et filiales britanniques. Mais ils sont peu nombreux.

Option 2 – Un code de conduite – Il s’agit de codes de conduite élaborés par les professionnels (fédérations ou associations professionnelles), validés par l’autorité de contrôle et dont le respect est contrôlé par un tiers. Un seul problème… à ce jour, il n’en existe pas !

Option 3 – Les exceptions – vous les connaissez par cœur mais je préfère vous les rappeler : motif d’intérêt public, exercice des droits de la défense, sauvegarde des intérêts vitaux de la personne ou encore les registres publics. Vous allez me dire qu’il en manque 3 et vous aurez raison :

  1. Le consentement = vous pouvez donc dès demain « redemander » à tous vos clients s’ils sont d’accords pour que des traitements aient lieu en Angleterre
  2. L’exécution d’un contrat à la demande de la personne concernée (c’est à peu près pareil)
  3. Le transfert nécessaire dans le cadre d’un contrat conclu « dans l’intérêt de la personne concernée »

Quand j’ai présenté ces 3 solutions au CDO d’une filiale d’une grande boite j’ai cru que ma dernière heure était arrivée.

Option 4 – Mettre en œuvre les clauses contractuelles types (CCT) adoptés par la Commission européenne.

On le voit bien, en pratique, sauf pour ceux qui ont déjà des BCR, il n’existe donc qu’une seule solution : mettre en œuvre des clauses contractuelles types de l’EU ou des clauses ad hoc.

Bon d’accord, les clauses contractuelles standards ne sont pas à jour du RGPD… mais bon, comme dit la Cnil :

Les modèles de clauses contractuelles types sont toujours d’actualité  et peuvent être utilisées dans l’attente d’une prochaine mise à jour. 

CQFD, en cas de Brexit dur, si vous travaillez avec nos amis anglais et n’en déplaise à l’ICO, le Royaume de sa majesté ne sera plus dans l’EU, plus couvert par le RGPD et pas (encore) un pays à niveau de protection adéquat !

Mais tout va bien, vous avez encore quelques jours pour :

  1. identifier vos flux vers le royaume uni
  2. qualifier ces flux (responsable de traitement v. sous-traitant)
  3. rédiger vos clauses ou adopter les clauses contractuelles standards
  4. faire signer tout ça

Good luck !