Oui, des données à caractère personnel peuvent être transférées vers le Royaume-Uni, car l’Union européenne (UE) a jugé que le Royaume-Uni propose un niveau de protection équivalent au RGPD[1].

« Aux fins de l’article 45 du [RGPD], le Royaume-Uni assure un niveau de protection adéquat des données à caractère personnel transférées dans le cadre du [RGPD] de l’Union européenne vers le Royaume-Uni »

Cette décision de l’UE, appelée « acte d’exécution », était nécessaire car le Royaume-Uni est sorti de l’Union européenne le 31 janvier 2020 et que, par conséquent, le RGPD n’était plus applicable au Royaume-Uni.

Pour permettre aux entreprises de transférer des données personnelles vers le Royaume-Uni, la Commission de l’UE devait donc, conformément au RGPD, étudier les textes applicables[2] au Royaume-Uni et juger si ces textes assuraient une protection adéquate.

« La Commission [de l’UE], après avoir évalué le caractère adéquat du niveau de protection, peut décider, par voie d’actes d’exécution, qu’un pays tiers […] assure un niveau de protection adéquat au sens [de l’article 45-2]. »

— RGPD, article 45-3, transferts fondés sur une décision d’adéquation

Après une étude approfondie[3], la Commission a décidé que le niveau de protection était suffisant.

Cette décision est valable pour une durée de 4 ans, à compter du 11 octobre 2021, mais peut être modifiée ou abrogée si les textes britanniques venaient à évoluer et n’assuraient plus un niveau de protection suffisant.

« Lorsqu’elle est en possession d’éléments indiquant qu’un niveau de protection adéquat n’est plus assuré, la Commission [de l’UE] en informe les autorités britanniques compétentes et peut suspendre, abroger ou modifier la présente décision. »

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. Les textes applicables au Royaume-Uni en matière de données à caractère personnel sont : le General Data protection Regulation (UK GDPR) (gov.uk) et le Data Protection Act 2018 (gov.uk).
  3. L’étude des textes britanniques relatifs à la protection des données personnelles est disponible dans le règlement d’exécution (ue) 2021/1772 de la commission (europa.eu).