Le 23 juin 2016, la population britannique s’est prononcée en faveur du Brexit (51.9%). Le 29 mars 2017, la procédure de l’article 50 du traité sur l’Union européenne a été invoquée par le Royaume-Uni. Les négociations ont alors débuté afin de trouver un accord qui devait satisfaire les deux camps désormais opposés. Trois années tumultueuses se sont écoulées, la date d’échéance de la période transitoire du 31 décembre arrivant, aucun accord ne semblait être trouvé. Pourtant, le 24 décembre 2020, un accord de commerce et de coopération entre l’Union européenne (UE) et le Royaume-Uni a été signé.
Cet accord prévoit notamment que le Règlement Général sur la Protection des Données (RGPD) restera applicable au Royaume-Uni, après sa sortie de l’UE le 1er janvier 2021, pour une durée de 6 mois maximum, pendant laquelle les données pourront continuer à y être transférées, soit jusqu’au 30 juin 2021.
Jusqu’à présent, le transfert de données personnelles depuis et vers le Royaume-Uni ne devait faire l’objet d’aucune procédure spécifique. Le Royaume-Uni faisant partie de l’Union européenne, ce dernier respectait nécessairement le RGPD. Cependant, la réglementation européenne n’a désormais plus de force obligatoire pour le Royaume-Uni. Il est donc nécessaire de vérifier que le pays offre un niveau de protection adéquat.
De plus, le guichet unique ne sera plus applicable au Royaume-Uni à partir du 1er janvier 2021. Ce système permet aux Etats membres de l’UE de désigner une autorité de contrôle qui va avoir la charge de coordonner toutes les prises de décisions sur un traitement transfrontalier avec les autres autorités de contrôle des données personnelles. L’autorité chef de file désignée va dépendre de la localisation de l’établissement principal de la société ou tout autre entité, c’est-à-dire le lieu où sont prises les décisions.
Mais concrètement, qu’est-ce que cela signifie ?
Prenons, par exemple, le cas d’un groupe ayant son siège au Royaume-Uni. Avant le 1er janvier 2021, cette multinationale bénéficiait du système de guichet unique. Par conséquent, l’autorité de protection des données britanniques (ICO) était désignée comme autorité chef de file et était ainsi l’interlocuteur unique concernant les activités de traitement sur le territoire européen. Cependant, à compter du 1er janvier, l’ICO ne pourra plus être autorité chef de file. Il faudra donc déterminer quelle entité au sein de l’UE prend les décisions sur la mise en œuvre des traitements et des finalités pour déterminer quelle autorité de contrôle sera chef de file.
S’agissant du transfert des données personnelles, les entreprises du groupe peuvent effectuer jusqu’au 30 juin 2021 un tel transfert sans aucune mesure spécifique des pays membres de l’UE vers le siège social. A compter de cette date, le transfert va être considéré par principe prohibé vers le Royaume-Uni à défaut d’une décision d’adéquation adoptée par la Commission Européenne ou encore la mise en place de mesures complémentaires telles que les clauses contractuelles types (CCT) ou les règles d’entreprise contraignantes (BCR).
Dans un premier temps, il est nécessaire d’évaluer la pertinence de la désignation d’un représentant UE selon ses activités. Ensuite, à défaut de décision d’adéquation prononcée en faveur du Royaume-Uni, il sera impératif de mettre en place des garanties supplémentaires pour continuer les transferts vers ce pays.
La désignation d’un représentant UE est une obligation pour tout responsable de traitement ou sous-traitant établi en dehors de l’UE et dont les activités sont liées soit à l’offre de biens ou de services à des personnes concernées dans l’Union, soit au suivi du comportement de ces personnes (article 27 du RGPD). Le représentant UE a pour fonction d’être le point de contact des personnes concernées et des autorités de contrôle pour toute question relative au traitement de données personnelles.
Trois cas de figure sont alors à envisager :
Nous pouvons notamment être nommé comme représentant UE de votre organisme.
Comme nous l’avons évoqué, les transferts de données vers le Royaume-Uni devront être encadrés. Ces exigences sont détaillées au chapitre V du RGPD et comportent notamment :
La décision d’adéquation est présentée à l’article 45 du RGPD et permet à un pays tiers de demander à la Commission européenne de l’évaluer afin de déterminer s’il assure un niveau de protection des données adéquat. Un avis est ensuite rendu par le Comité Européen de la Protection des Données (CEPD) avant un vote d’un Comité d’Etats membres. Une telle décision permet d’effectuer un transfert de données sans autorisation spécifique. L’adoption d’une décision d’adéquation n’est pas permanente et peut être révoquée. Récemment, le renseignement militaire des Etats-Unis et son programme de surveillance ont notamment valu l’annulation du Privacy Shield, qui avait fait l’objet d’une décision d’adéquation, par la Cour de justice de l’Union européenne dans l’arrêt Schrems II.
Des questions sont désormais en suspens à la suite de cet arrêt dans la mesure où le Royaume-Uni fait notamment partie de l’alliance pour le renseignement militaire « Five Eyes » comprenant l’Australie, le Canada et la Nouvelle-Zélande. De plus, le Premier ministre britannique Boris Jonhson a annoncé à plusieurs reprises que la réglementation sur la protection des données qui sera appliquée au Royaume-Uni sera plus légère que les exigences du RGPD.
Une étude menée par le groupe de réflexion New Economics Foundation and the University College London a été publiée et a estimé entre 1 et 1.6 milliard de livres (1.1 et 1.8 milliards d’euros) le coût pour les entreprises souhaitant continuer à transférer des données personnelles avec l’UE en l’absence de décision d’adéquation. Parmi les solutions à leur disposition, nous pouvons citer les suivantes :
Les CCT sont adoptées par la Commission européenne et permettent d’encadrer le transfert hors UE des données personnelles. Ces clauses permettent de garantir contractuellement un niveau de protection adéquat au RGPD. Il n’existe actuellement que des CCT relatives au transfert de données entre deux responsables de traitement et entre un responsable de traitement et un sous-traitant. Cependant un projet a été publié par la Commission européenne le 12 novembre 2020 afin de couvrir un plus grand nombre de situations. Si le projet est adopté, les clauses couvriront alors les transferts de données entre :
Les BCR sont une politique de protection des données commune à un groupe afin d’encadrer le transfert de données personnelles en dehors de l’UE. L’implémentation d’une politique commune permet de garantir une protection des données en conformité avec le RGPD à un niveau global. La procédure d’adoption des BCR est la suivante :
De plus, d’autres obligations seront à respecter en plus des garanties appropriées qui viennent d’être détaillées. Par exemple, un registre des traitements devra continuer à être mis à jour par les acteurs britanniques concernant leurs traitements de données personnelles dans l’UE. Également, les mentions d’information sur les sites internet devront notamment préciser s’il existe un transfert de données vers le Royaume-Uni. Ces formalités peuvent être effectuées par le délégué à la protection des données. DPO Consulting est notamment en mesure de vous accompagner en qualité de délégué à la protection des données.
Les points d’attention et dates clés à retenir :
La nomination d’un représentant UE peut également être l’occasion de vérifier la conformité des traitements au RGPD afin d’encadrer de façon optimale les relations entre le Royaume-Uni et l’UE, ou encore assurer la tenue du registre des traitements, modifier les formulaires de contact sur les sites internet, etc. DPO Consulting peut vous accompagner dans votre démarche de mise en conformité.
– Alexis Dessaints