BREXIT et transfert des données personnelles de Monaco vers le Royaume-Uni

2020

En l’état des dispositions en vigueur de La Loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, consolidée :

Pendant la période de transition (jusqu’au 31 décembre 2020)

Le RGPD/GDPR de l’Union Européenne et le Data Protection Act de 2018 (DPA 2018) qui le complète et l’adapte, continuent de s’appliquer au Royaume-Uni.

Les données personnelles qui sont collectées sur le territoire monégasque dans le cadre d’un traitement relevant d’une déclaration ordinaire, d’une demande d’avis ou d’autorisation peuvent faire l’objet d’un transfert sans formalité spécifique vers le Royaume-Uni, qui dispose d’un niveau de protection adéquat au sens de l’article 20[1] de la Loi n° 1.165 du 23 décembre 1993, consolidée :

« les transferts de données vers le Royaume-Uni, ou les accès aux données depuis le Royaume-Uni, ne nécessitent pas de demande d’autorisation de transfert d’informations nominatives auprès de la CCIN. »[2]

À la fin de la période de transition (à partir du 1^er janvier 2021)

Le Royaume-Uni a prévu de conserver le niveau de protection offert par le RGPD/GDPR dans son droit national, tout en ayant l’indépendance pour l’adapter.

Si le niveau de protection offert par le Royaume-Uni est toujours considéré comme adéquat au sens de l’article 20 de la Loi n° 1.165 du 23 décembre 1993, consolidée, les données personnelles qui sont collectées sur le territoire monégasque dans le cadre d’un traitement relevant d’une déclaration ordinaire, d’une demande d’avis ou d’autorisation pourront toujours faire l’objet d’un transfert sans formalité spécifique vers le Royaume-Uni.

À défaut d’adéquation, les traitements comportant des transferts de données vers le Royaume-Uni seraient soumis aux prescriptions de l’article 20-1[3] de la Loi n° 1.165 du 23 décembre 1993, consolidée, et au régime de la demande d’autorisation :

« les transferts de données en direction du Royaume-Uni ou les accès à des données depuis le Royaume-Uni devront, en l’état actuel du droit monégasque, faire l’objet d’une demande d’autorisation de transfert d’informations nominatives auprès de la CCIN, sauf à considérer que le Royaume-Uni soit, d’ici là, reconnu comme disposant d’un niveau de protection adéquat en matière de protection des informations nominatives. »[4]

[1] « Le transfert d’informations nominatives hors de la Principauté ne peut s’effectuer que sous réserve que le pays ou l’organisme vers lequel s’opère le transfert dispose d’un niveau de protection adéquat.

Le caractère adéquat du niveau de protection offert par le pays tiers doit être apprécié au regard de toutes les circonstances relatives à un transfert d’informations nominatives, notamment la nature des informations, la finalité, la durée du ou des traitements envisagés, les règles de droit en vigueur dans le pays en cause ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.
Sans préjudice des dispositions qui précèdent, la commission de contrôle des informations nominatives tient à disposition de tout intéressé la liste des pays disposant, au sens de l’alinéa précédent, d’un niveau de protection adéquat. »

[2] CCIN, Information d’actualité, « Brexit : les conséquences en matière de protection des informations nominatives »

[3] « Le transfert d’informations nominatives vers un pays ou un organisme n’assurant pas, au sens du deuxième alinéa de l’article 20, un niveau de protection adéquat peut toutefois s’effectuer si la personne à laquelle se rapportent les informations a consenti à leur transfert ou si le transfert est nécessaire :

– à la sauvegarde de la vie de cette personne ;

– à la sauvegarde de l’intérêt public ;

– au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;

– à la consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;

– à l’exécution d’un contrat entre le responsable du traitement ou son représentant et l’intéressé, ou de mesures pré-contractuelles prises à la demande de celui-ci ;

– à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement ou son représentant et un tiers.

Sans préjudice des dispositions du précédent alinéa, la commission de contrôle peut autoriser, sur la base d’une demande dûment motivée, un transfert d’informations nominatives vers un pays ou un organisme n’assurant pas un niveau de protection adéquat au sens du deuxième alinéa de l’article 20, lorsque le responsable du traitement, ou son représentant, ainsi que le destinataire des informations offrent des garanties suffisantes permettant d’assurer le respect de la protection des libertés et droits mentionnés à l’article premier. Ces garanties peuvent notamment résulter de clauses contractuelles appropriées.
Le responsable du traitement est tenu de se conformer à la décision de la commission. »

[4] CCIN, Information d’actualité, « Brexit : les conséquences en matière de protection des informations nominatives »