www.efta.int/EEA/news/General-Data-Protection-Regulation-GDPR-entered-force-EEA-509576

L’Espace Économique Européen ou « EEE » est constitué par les États membres de l’Union Européenne (actuellement 28 États jusqu’au Brexit) et trois des quatre États membres de l’Association européenne de libre-échange (AELE), à savoir : l’Islande, la Norvège et le Liechtenstein (le quatrième membre de l’AELE étant la Suisse). Les États membres de l’EEE non-membres de l’UE ont consenti à adopter une législation similaire à celle passée dans l’Union dans les domaines de la politique sociale, de la protection du consommateur, de l’environnement, du droit des affaires et des statistiques.

Le Règlement Général sur la Protection des Données « RGPD », qui est entré en vigueur dans l’UE le 25 mai 2018, est un texte qui « présente un intérêt pour l’EEE », à savoir, qui peut être étendu aux 3 États si le texte incorporé dans l’ « Accord EEE », par une décision du Comité Mixte de l’EEE est adopté. Cette décision a été prise à Bruxelles le 6 juillet 2018. Le RGDP est entré en vigueur en Islande, Norvège et Liechtenstein le 20 juillet 2018.

Par ailleurs l’Islande a adopté une nouvelle loi n° 90/2018 sur la protection des données personnelles et le traitement des données personnelles.

Cela signifie notamment que les transferts de données personnelles vers ces 3 pays ne requièrent pas de mesures supplémentaires de sauvegarde ou encore que les violations de données personnelles devront, le cas échéant, faire aussi l’objet d’une notification dans ces pays.

Certains points doivent encore être clarifiés. Nous comprenons par exemple que l’Islande, la Norvège et le Liechtenstein devraient pouvoir bénéficier du mécanisme du guichet unique et participer aux réunions du Comité Européen de la Protection des Données « CEPD », mais sans nécessairement avoir un droit de vote, ce qui va soulever un certain nombre de questions. Nous sommes dans l’attente des règles du CEPD sur certains de ces sujets.
Contact : stephanie.faber@squirepb.com