Peut-on transférer des données à caractère personnel vers le Royaume-Uni ?

Oui, des données à caractère personnel peuvent être transférées vers le Royaume-Uni, car l’Union européenne (UE) a jugé que le Royaume-Uni propose un niveau de protection équivalent au RGPD.

« Aux fins de l’article 45 du [RGPD], le Royaume-Uni assure un niveau de protection adéquat des données à caractère personnel transférées dans le cadre du [RGPD] de l’Union européenne vers le Royaume-Uni »

Cette décision de l’UE, appelée « acte d’exécution », était nécessaire car le Royaume-Uni est sorti de l’Union européenne le 31 janvier 2020 et que, par conséquent, le RGPD n’était plus applicable au Royaume-Uni.

Pour permettre aux entreprises de transférer des données personnelles vers le Royaume-Uni, la Commission de l’UE devait donc, conformément au RGPD, étudier les textes applicables^[1] au Royaume-Uni et juger si ces textes assuraient une protection adéquate.

« La Commission [de l’UE], après avoir évalué le caractère adéquat du niveau de protection, peut décider, par voie d’actes d’exécution, qu’un pays tiers […] assure un niveau de protection adéquat au sens [de l’article 45-2]. »

Après une étude approfondie^[2], la Commission a décidé que le niveau de protection était suffisant.

Cette décision est valable pour une durée de 4 ans, à compter du 11 octobre 2021, mais peut être modifiée ou abrogée si les textes britanniques venaient à évoluer et n’assuraient plus un niveau de protection suffisant.

« Lorsqu’elle est en possession d’éléments indiquant qu’un niveau de protection adéquat n’est plus assuré, la Commission [de l’UE] en informe les autorités britanniques compétentes et peut suspendre, abroger ou modifier la présente décision. »