Accueil " 3 des erreurs les plus courantes commises par les entreprises de l'UE à propos du RGPD britannique

1. SUPPOSER QUE DE PETITS VOLUMES DE DONNÉES BRITANNIQUES NE RELÈVENT PAS DU RGPD BRITANNIQUE

De nombreuses entreprises européennes ne se rendent pas compte de la quantité de données qu'elles collectent sur les citoyens britanniques, en particulier dans le cas des visiteurs de sites web. Tout visiteur britannique qui arrive sur votre site web est probablement déjà suivi par le biais de cookies. Il en va de même si votre entreprise utilise une application de paiement en ligne à laquelle les citoyens britanniques ont accès.

Une multitude d'informations sont donc collectées sur le navigateur de ce visiteur, sa localisation, ses informations bancaires - toutes considérées comme des données à caractère personnel au sens du RGPD britannique si ces informations peuvent être reliées à une personne physique identifiable. En raison de cette collecte systématique de données à caractère personnel, une entreprise de l'UE peut difficilement prétendre que les volumes de données à caractère personnel collectées sont faibles, ni que la collecte de données à caractère personnel est occasionnelle.

2. CROIRE QUE LE RGPD BRITANNIQUE NE S'APPLIQUE PAS AU COMMERCE B2B

Si vous traitez des données à caractère personnel qui vous permettent d'identifier directement ou indirectement une personne au Royaume-Uni, vous entrez dans le champ d'application du RGPD britannique. Ainsi, même si vous ne traitez que des noms, des courriels professionnels, des numéros de téléphone professionnels ou des adresses IP, vous devez vous conformer au RGPD britannique.

Vous n'échapperez au champ d'application du RGPD britannique que si les données que vous traitez se rapportent clairement - et uniquement - à une entreprise (par exemple, le nom de l'entreprise, l'adresse de l'entreprise ou des adresses électroniques générales telles que "info@" et "support@").

3. PENSER QUE VOTRE ENTREPRISE N'A PAS BESOIN DE DÉSIGNER UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES PARCE QUE LE ROYAUME-UNI A OBTENU UNE DÉCISION D'ADÉQUATION

Bien que la Commission européenne ait accordé au Royaume-Uni une décision d'adéquation - ce qui signifie que les transferts de données de l'UE vers le Royaume-Uni sont considérés comme sûrs et que les données personnelles peuvent donc circuler librement entre l'UE et le Royaume-Uni - les entreprises de l'UE doivent encore se conformer à toutes les autres obligations prévues par le RGPD britannique, telles que l'obligation de nommer un représentant au Royaume-Uni. La conformité concernant ces autres questions devrait déjà avoir été prise en charge depuis que le Brexit a pris effet le^1er janvier 2021.

Si vous n'avez pas entendu parler de l'obligation pour les entreprises de l'UE de nommer un représentant britannique pour RGPD RGPD , c'est probablement parce que presque tout ce qui a été écrit ou discuté autour du RGPD britannique s'est concentré sur les flux de données entre l'UE et le Royaume-Uni.

La désignation d'un représentant pour la protection des données est une obligation majeure de conformité au titre du RGPD britannique. Par conséquent, si votre entreprise (1) est située en dehors du Royaume-Uni et n'a pas de bureaux, de succursales ou d'autres établissements au Royaume-Uni, et (2) offre des biens ou des services à des personnes au Royaume-Uni ou surveille le comportement de personnes au Royaume-Uni, vous devez désigner un représentant au Royaume-Uni*.

Le représentant britannique doit être situé au Royaume-Uni et sertde point de contact pour les personnes au Royaume-Uni et l'autorité britannique de protection des données (ICO). En outre, le représentant peut aider et soutenir votre entreprise dans la gestion des notifications de violation de données auprès de l'ICO.

En cas de non-respect, les entreprises s'exposent à des amendes administratives pouvant aller jusqu'à l'équivalent de 10 000 000 EUR ou jusqu'à 2 % du chiffre d'affaires annuel mondial de l'entreprise. L'ICO peut également restreindre temporairement ou définitivement le traitement et suspendre les flux de données.

*Sauf si les exceptions cumulatives de l'article 27, paragraphe 2, s'appliquent.