La Commission européenne a annoncé dans une communication du 9 janvier 2018 que le Royaume-Uni sera considéré à partir du 30 mars 2019, date à laquelle le Brexit sera effectif, comme un «pays tiers» au sens du nouveau Règlement général sur la protection des données personnelles (« RGPD »).

Ainsi, sous réserve de tout arrangement transitoire qui pourrait être convenu entre le Royaume-Uni et l’Union européenne, la Commission rappelle qu’en l’absence de décision d’adéquation, c’est-à-dire d’une décision de la Commission reconnaissant qu’un Etat assure un niveau de protection adéquat au regard du RGPD, les transferts de données à caractère personnel vers le Royaume-Uni ne seront possibles que si le responsables de traitement ou le sous-traitant présentent des « garanties appropriées. »

Selon l’article 46 du RGPD, ces garanties visent l’utilisation de clauses standards de protection des données, de codes de conduite approuvés, de règles d’entreprise contraignantes ou d’un mécanisme de certification. En outre, les transferts seront également possibles sur la base des dérogations prévues à l’article 49 du RGPD, lorsque la personne concernée a donné son consentement au transfert par exemple, ou encore lorsque le transfert est nécessaire à l’exécution d’un contrat.

Néanmoins, le Royaume-Uni a déjà commencé à intégrer le RGPD au sein de sa législation. Par ailleurs, le « Great Repeal Bill » que le gouvernement britannique a l’intention de promulguer, permettra sans doute de conserver les normes issues du RGPD à l’issue du Brexit. Il est donc peu probable, compte tenu des garanties législatives que le Royaume apportera, que la Commission européenne ne lui délivre pas cette décision d’adéquation.