Depuis le 1ᵉʳ janvier 2021, le Royaume-Uni ne fait plus partie de l’Union Européenne. Après des années de négociations, le Brexit est enfin une réalité. Si les changements notables concernent notamment les échanges commerciaux avec le rétablissement des formalités douanières, d’autres domaines sont directement impactés. En effet, qu’advient-il du Règlement Général sur la Protection des Données personnelles (RGPD), applicable à tous les États membres ? Quelles sont les conséquences pour les entreprises en Europe concernées par les transferts de données vers le Royaume-Uni ? Voici un point précis sur la situation actuelle et future.
Période transitoire jusqu’au 1ᵉʳ juillet 2021 : le RGDP reste valable au Royaume-Uni
Dans le cadre de l’accord conclu in extremis fin décembre 2020, le RGPD reste applicable sur le territoire britannique pendant une période de 6 mois maximum à compter du 1ᵉʳ janvier 2021. Ce sursis est une bonne nouvelle pour les exportateurs de données !
La Commission Nationale de l’Informatique et des Libertés (CNIL) en explique les conséquences : jusqu’au 1ᵉʳ juillet 2021, la communication de données personnelles vers le Royaume-Uni pourra toujours se faire dans le cadre actuel.
Durant cette période, ce ne sera pas considéré comme un transfert de Données à Caractère Personnel (DCP) vers un pays tiers. Ainsi, les conditions fixées par le texte européen pour recueillir, stocker et traiter les informations personnelles seront toujours en vigueur outre-Manche.
Fin du guichet unique dès le 1er janvier 2021
Si les dispositions du RGPD restent applicables au Royaume-Uni durant une période transitoire de 6 mois, il n’en est rien pour le guichet unique. Ce mécanisme visait à harmoniser sur le plan européen les décisions des autorités concernant le traitement de données transfrontalier. Il facilitait les démarches des sociétés concernées avec un interlocuteur unique et une application uniforme des règles européennes.
Mais suite au Brexit, cette procédure n’est plus valable au Royaume-Uni depuis le 1er janvier 2021. L’autorité britannique de protection des données (Information Commissionner’s Office ICO) ne participe donc plus au mécanisme de guichet unique.
Ce changement impacte directement les responsables des traitements de données et les sous-traitants domiciliés au Royaume-Uni, dont l’activité est soumise à l’application du RGPD. Il leur faut désigner un représentant au sein de l’Union Européenne. Il s’agit d’une personne morale ou physique établie dans l’UE et mandatée comme référant. Les autorités de contrôle peuvent s’adresser à elle pour toute question relative au traitement des données conformément à l’article 27 du RGPD.
Bon à savoir : si les responsables de traitement et sous-traitants possèdent un établissement principal dans l’Espace Économique Européen, ils peuvent continuer à bénéficier du mécanisme de guichet unique.
Scénarios possibles après le 1er juillet 2021 et conséquences pour les entreprises
À l’issue de la période transitoire, plusieurs scénarios sont envisagés. Ils dépendent notamment de la décision de la Commission Européenne.
Adoption de la décision d’adéquation : une bonne nouvelle
En effet, un accord pourrait être trouvé en matière de RGPD afin de fluidifier le transfert de données personnelles des Européens vers le Royaume-Uni. L’UE pourrait adopter une “décision d’adéquation”. Il s’agirait de reconnaître un État situé hors de l’UE comme offrant des garanties suffisantes pour la protection des données.
La Commission est en train d’étudier les pratiques britanniques en la matière. Il semblerait que le Royaume-Uni garantisse un niveau de protection adéquat au regard des exigences européennes, équivalent à celui du RGPD et de la Directive Police-Justice.
Mais c’est sans compter sur les changements possibles introduits dans la législation nationale britannique. En effet, Boris Johnson lui-même ne cache pas la possibilité d’opter pour une réglementation moins contraignante et de s’éloigner de la ligne directrice du RGPD.
Le saviez-vous ? Il existe déjà au Royaume-Uni des dispositifs de protection des données à caractère personnel comme le Privacy and Electronic Communications Regulations et le Data Protection Act. Ces lois britanniques sont équivalentes au RGPD, à quelques différences près.
Sans accord : une situation moins favorable
Si aucun accord n’est conclu entre l’UE et le Royaume-Uni, les transferts de données outre-Manche seront toujours possibles, mais dans le cadre d’un protocole spécifique à un pays tiers. Les contraintes seront plus élevées pour les entreprises établies en France, au Luxembourg et dans le reste de l’Europe.
Il faudra mettre en place des garanties appropriées prévues dans le RGPD pour encadrer les traitements de données. Il peut s’agir de différents outils juridiques comme les clauses contractuelles types de la Commission Européenne. Le CEPD (Comité Européen de la Protection des Données) préconise d’adopter également des mesures complémentaires (organisationnelles, techniques ou juridiques). Les Européens devront aussi disposer de voies de droit effectives et de droits opposables, conformément à l’article 46 du RGPD.
Concrètement, les sociétés multinationales pourront par exemple mettre en place des règles d’entreprise contraignantes (Binding Corporate Rules BCR). Elles permettront de transférer des données entre des filiales de l’UE et hors UE dans un cadre réglementé. Les PME devront mettre en place des clauses contractuelles. Ainsi les importateurs et exportateurs de données seront en conformité avec les exigences européennes pour chaque transfert rattaché au contrat.
Le saviez-vous ? Suite au Brexit, les données des utilisateurs britanniques détenues par Google ne bénéficieront plus de la protection du RGPD. Selon Reuters, elles pourraient passer sous juridiction américaine, bien moins protectrice.
L’entrée en vigueur du RGPD avait nécessité une mise en conformité des documents et des traductions associées. Suite au Brexit, il reste applicable au Royaume-Uni jusqu’au 1ᵉʳ juillet 2021. Passé cette date, à défaut de décision d’adéquation, les entreprises concernées devront revoir les contrats de protection des données et les faire traduire pour continuer les transferts vers le territoire britannique. La situation reste floue pour l’instant. Mais il est indispensable de s’entourer dès maintenant de partenaires compétents en la matière, comme une agence de traduction spécialisée, pour être réactif en cas de non-accord sur la question de la protection des données personnelles.
Pour aller plus loin, découvrez la checklist des éléments à ne pas oublier pour les entreprises suite au Brexit.