Brexit et RGPD – Par Lirwane N’Gam

Ce qui était un projet se confirme enfin, initié le 29 mars 2017,  le Brexit sera vraisemblablement effectif au 29 mars 2019.

Le Royaume-Uni sorti de l’Union Européenne, la conséquence directe sera en principe la non application de tous les règlements européens sur son territoire et le Règlement Général sur Protection des Données (RGPD) ne fait pas exception.

Les conséquences du Brexit sur les normes applicables en matière de protection des données personnelles soulèvent ainsi des interrogations, c’est pourquoi l’autorité de contrôle britannique l’information Commissioner’s Office dite ICO a publié une série de recommandations et préconisations en décembre 2018 en vue du retrait du Royaume-Uni… le business doit quand même continuer.

Alors, Entreprises, si vous effectuez des opérations de traitement de données personnelles impliquant le Royaume-Uni il est important de prendre en considérations quelques informations pratiques.

La bonne nouvelle viendra du fait que le niveau d’exigence en matière de protection de données au sein du Royaume restera sensiblement inchangé par rapport à ce qui se fait à l’échelle communautaire depuis l’adoption du RGPD.

En effet, en vertu du « European Union (withdrawal) Act 2018[1] » un certain nombre de dispositions législatives communautaires intègreront le droit interne britannique y compris le RGPD. Ainsi l’ICO affirme que le Brexit n’entrainera pas de changement majeur en ce qui concerne les mentions d’informations et politiques de confidentialité des entités britanniques dans la mesure où les obligations à la charge de ces entités (soumises encore au RGPD) devraient rester les mêmes (à peu de chose près).

Si le Brexit ne changera pas substantiellement le niveau d’exigence applicable en protection des données des personnes concernées, le changement de statut du Royaume-Uni impliquera nécessairement des adaptations pratiques pour les responsables de traitement et sous-traitants (aussi bien européens que britanniques).

  • Responsables de traitement et sous-traitant britanniques ! Pensez à désigner un représentant dans l’UE
    • En effet l’ICO attire l’attention sur la possible obligation de designer un représentant au regard de l’article 27 du RGPD, une obligation qui s’appliquera si les opérations de traitements répondent aux critères de l’article 3,2° du RGPD
      • L’offre de biens ou de services à des personnes concernées dans l’UE, à titre gratuit ou onéreux ;
      • Ou Au suivi du comportement des personnes concernées, dans la mesure où il s’agit d’un comportement ayant lieu au sein de l’UE. Cet éventuel représentant sera alors le point de contact des personnes concernées et des autorités de contrôles européennes.
  • Responsables de Traitement et sous-traitant européens ! Pensez à encadrer vos transferts de données
    • Après le 29 mars 2019 le Royaume-Uni sera considéré comme un Etat tiers à l’Union Européenne. Ainsi les transferts de données vers cette zone devront nécessairement être encadrés juridiquement pour satisfaire les exigences du RGPD.
    • Le Royaume-Uni devrait donc se tourner vers les solutions offertes par le RGPD (décision d’adéquation, garanties de l’article 47, dérogation spécifique via l’article 49)
    • L’ICO préconise le mécanisme des clauses contractuelles types ou clause types de protection des données (article 46 RGPD) pour assurer la continuité des relations d’affaires incluant des transferts de données personnelles.

Au 29 mars donc les entités auront deux possibilités, soit :

  • Arrêter complètement les transferts de données vers le Royaume-Uni, mais on le sait cela ne satisfait personne
  • Soit se mettre en ordre de marche et enclencher le processus de conformité au RGPD (en ce qui concerne les transferts)

Est-il vraiment utile de rappeler que le Royaume-Uni héberge le plus grand marché de centre de données en Europe et le troisième plus grand au monde ?

Il vous faudra également penser désormais à indiquer les transferts vers les contrées britanniques dans les mentions d’information à destination des personnes concernées… Information ! Transparence !

[1] http://www.legislation.gov.uk/ukpga/2018/16/contents/enacted

Besoin de conseil en protection des données personnelles : https://dpo-consulting.fr/votre-besoin/dpo-externe/

Retour