info@edpo.com
Test d'évaluation gratuit
Devis gratuit

Le Brexit et le RGPD

Photo de l
Par Jane Murphy
Icône de date 23 octobre 2020
Catégorie Icône Le Brexit

Êtes-vous dans l'une de ces situations ?

Je suis une entreprise britannique et j'ai besoin d'un représentant de l'UE pour la protection des données.

Je suis une entreprise de l'UE et j'ai besoin d'un représentant britannique pour la protection des données.

Je suis une entreprise non européenne et non britannique et j'aurai besoin d'un ou deux représentants chargés de la protection des données.

Lisez ci-dessous pour savoir ce que vous devez faire !

Que signifie le Brexit pour votre entreprise ?

Le Brexit modifiera presque toutes les fonctions essentielles des entreprises britanniques qui font des affaires avec l'UE : du commerce à la réglementation, en passant par l'embauche et le transport, il n'y a presque rien qui ne soit pas touché par le retrait de l'UE et du marché unique. Il est peu probable que la protection des données soit au premier plan des préoccupations des entreprises pendant cette période, mais les responsables du traitement des données et les sous-traitants sont confrontés à des problèmes réels grâce au RGPD.

Pendant la période de transition (c'est-à-dire jusqu'au 31 décembre 2020), le RGPD continue de s'appliquer au Royaume-Uni. Cependant, la relation entre le RGPD et le Brexit à partir de 2021 n'est pas réglée. Le Royaume-Uni n'est plus un "État membre" et sera considéré comme un "pays tiers" aux fins du RGPD à partir du 1er janvier 2021. Il devradonc négocier un statut d'adéquation avec l'UE. Ce que cela implique et combien de temps cela prendra est largement incertain, car les deux parties doivent se mettre d'accord sur une solution. D'ici là, les transferts de données de l'UE vers le Royaume-Uni deviendront infiniment plus compliqués.

Voici ce qu'il faut savoir sur le RGPD et le Brexit !

Il se peut que vous deviez nommer deux représentants de la protection des données!

  • Étant donné que le Royaume-Uni deviendra un pays tiers le 1er janvier 2021, les entreprises britanniques devront nommer un représentant de l'UE au titre de l'article 27 duRGPD si elles traitent des données personnelles provenant de l'UE ;
  • Les entreprises de l'UE qui font des affaires avec le Royaume-Uni et traitent des données personnelles britanniques devront nommer un représentant britannique, car le gouvernement britannique a l'intention d'exiger une telle nomination à la fin de la période de transition du Brexit (c'est-à-dire le 31 décembre 2020). 
  • Les entreprises situées en dehors de l'UE ou du Royaume-Uni doivent désigner deux représentants chargés de la protection des données si elles font des affaires avec l'UE et le Royaume-Uni.

EDPO peut agir en tant que représentant de l'UE et/ou du Royaume-Uni !

Désignez l EDPO comme votre représentant pour la protection des données avant la fin de la période de transition du Brexit et vous obtiendrez deux représentants pour la protection des données pour le prix d'un !

Le RGPD s'appliquera-t-il après le Brexit ?

Oui, le RGPD s'appliquera toujours aux entreprises britanniques après le Brexit.

Les organisations britanniques devront toujours répondre aux exigences du RGPD si elles offrent des produits ou des services à des individus qui se trouvent dans l'UE ou si elles surveillent le comportement de ces individus. Par conséquent, la plupart des organisations britanniques devront toujours être conformes au RGPD , quels que soient les accords commerciaux ou le Brexit. C'est déjà le cas pour les pays tiers, que le Royaume-Uni deviendra à partir du 1er janvier 2021.

Le statut de pays tiers entraînera des changements importants pour les responsables du traitement des données et les sous-traitants britanniques, car ils seront soumis à des exigences en matière de transfert transfrontalier de données et devront peut-être désigner un représentant du RGPD dans l'UE.

Le Royaume-Uni : Un lieu sûr pour les données après le Brexit ?

Le RGPD exige que les transferts de données vers un pays tiers ne se fassent qu'avec des pays désignés comme "adéquats" par la Commission européenne.

Les pays dont le niveau de protection est adéquat sont ceux qui utilisent un niveau de protection des données équivalent à celui de l'UE. Par conséquent, ils ne sont pas liés par les articles 46 et 47 du RGPD et les données peuvent circuler entre l'UE et ces pays sans limites ni contrôles. À l'heure actuelle, les pays reconnus comme adéquats pour les transferts de données sont Andorre, l'Argentine, les îles Féroé, Guernesey, Israël, l'île de Man, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay.

Le Canada et le Japon sont également inclus, mais les transferts de données vers ces pays sont limités. Au Canada, seules les organisations commerciales en bénéficient. Au Japon, la décision d'adéquation ne couvre que les organisations du secteur privé.

Les États-Unis étaient également inclus par le biais du bouclier de protection de la vie privée (US-EU Privacy Shield) - mais uniquement pour les entreprises américaines ayant signé le cadre - mais ce mécanisme a récemment été invalidé par la Cour de justice de l'UE, ce qui signifie que les transferts de données entre l'UE et les États-Unis ne sont plus considérés comme sûrs ou protégés, à moins que des garanties appropriées ne soient mises en place et que les droits des personnes ne soient applicables et que des recours juridiques efficaces soient disponibles.

La suite des événements pour le Royaume-Uni dépendra des accords sur la protection des données conclus pendant la période de transition. Le Royaume-Uni utilise déjà la loi sur la protection des données de 2018, qui a émis des exigences similaires au RGPD en termes de confidentialité et de transparence.

Cependant, la compréhension la plus complète de ce qui sera la version britannique du RGPD se trouve actuellement dans les règlements sur la protection des données, la vie privée et les communications électroniques (sortie de l'UE) 2019.

Les entreprises pourront-elles envoyer des données entre le Royaume-Uni et l'UE ?

À l'heure actuelle, le gouvernement britannique n'a pas l'intention de considérer l'UE comme un pays tiers en ce qui concerne le traitement des données au Royaume-Uni. Par conséquent, les entreprises britanniques pourront continuer à envoyer des données à l'UE. Toutefois, l'Union européenne n'a pas répondu à cet engagement, ce qui signifie que les transferts de données de l'Union européenne vers le Royaume-Uni feront l'objet de restrictions.

Les résultats risquent d'être désordonnés. Les organisations basées au Royaume-Uni auront du mal à servir leurs clients au sein de l'UE. L'île d'Irlande, Gibraltar et l'Espagne, qui entretiennent des liens étroits avec l'UE, seront également confrontés à des défis particuliers.

La levée des restrictions dépendra du respect par le Royaume-Uni et chaque entreprise concernée des garanties de l'UE en matière de soutien aux transferts de données. Les exigences relatives aux transferts de données vers des pays tiers sont détaillées au chapitre V du RGPD.

Quand les règles de transfert de données seront-elles modifiées ?

L'accord de retrait conclu entre l'UE et le gouvernement britannique prévoit une période de transition allant du 31 janvier 2020 au 31 décembre 2020. Au cours de cette période, le Royaume-Uni a accepté de continuer à suivre les lois et règlements de l'UE malgré la "sortie" qui aura lieu en janvier 2021. À partir du 1er janvier 2021, le Royaume-Uni sera un pays tiers.

Par conséquent, les transferts de données (et les dispositions ou droits) se poursuivent normalement pour les entreprises et les résidents de l'UE et du Royaume-Uni pendant toute l'année 2020, jusqu'à la fin de la période de transition.

Toutefois, il n'y aura pas de rupture nette. Toutes les données provenant de l'UE et se trouvant au Royaume-Uni avant la fin de la période de transition continueront de bénéficier du RGPD tel qu'il a été rédigé et modifié par l'UE. Le produit est un filet de sécurité qui continue à protéger la vie privée des personnes dans l'UE, quelle que soit l'issue des négociations pour 2021 et au-delà.

Idéalement, le RGPD sera alors remplacé par la décision d'adéquation du Royaume-Uni, accordée par l'UE.

Je suis une entreprise britannique : que dois-je faire ?

Si votre entreprise britannique n'a pas d'établissement dans l'UE et que vous avez l'intention de traiter les données personnelles d'individus dans l'UE (y compris les citoyens britanniques vivant dans l'UE), alors vous devrez très probablement nommer un représentant de l'UE.

Un représentant de l'UE n'est PAS un délégué à la protection des données (DPD). Il s'agit d'une personne physique ou d'un organisme au sein de l'UE qui est votre point de contact pour les personnes en Europe, ainsi que pour les autorités de réglementation. (Un DPD travaille avec votre entreprise ou organisation pour faciliter la mise en conformité).

Les entreprises britanniques n'ont pas encore de représentant dans l'UE, car il n'est pas nécessaire d'en avoir un tant qu'elles ne sont pas situées dans un pays tiers.

Pour être en conformité avec le RGPD, vous devrez avoir un représentant en place à la fin de la période de transition, à moins que vous ne puissiez prétendre à l'application des exceptions restrictives et cumulatives de l'article 27(2) du RGPD.

Faites notre test d'évaluation rapide pour savoir si vous avez besoin de nommer un représentant RGPD pour l'UE.

Je suis une entreprise de l'UE/EEE : que dois-je faire ?

Comme pour le RGPD, les organisations qui seront soumises au RGPD à la fin de la période de transition (c'est-à-dire à partir du 1er janvier 2021) devront nommer un représentant au Royaume-Uni.

L 'autorité britannique de protection des données (ICO) confirme que "le gouvernement britannique a l'intention qu'après la fin de la période de transition, la version britannique du RGPD stipule qu'un responsable du traitement ou un sous-traitant situé en dehors du Royaume-Uni - mais qui doit toujours se conformer au RGPD britannique - doit nommer un représentant britannique".

Tout est incertain, mais dès à présent, un représentant britannique sera nécessaire pour toutes les entreprises offrant des produits ou des services au Royaume-Uni et traitant des données personnelles britanniques.

Mon entreprise n'est pas située dans l'UE ou au Royaume-Uni : que dois-je faire ?

Les entreprises qui n'ont pas d'établissement au Royaume-Uni ou dans l'UE devront désigner au moins un représentant chargé de la protection des données si elles traitent des données à caractère personnel dans l'un de ces pays ou dans les deux.

Si vous ne traitez des données que dans l'UE, il vous suffira de désigner un représentant de l'UE.

De même, si vous traitez des données à caractère personnel uniquement au Royaume-Uni, il vous suffira de désigner un représentant britannique.

Toutefois, si vous traitez des données à caractère personnel dans les deux endroits, vous aurez besoin d'un représentant de l'UE et d 'un représentant du Royaume-Uni.

LEDPO propose des services de représentation dans l'UE et au Royaume-Uni. Si vous vous inscrivez aux services de représentation de l'UE ou du Royaume-Uni avant la fin de la période de transition, vous obtiendrez les seconds services de représentation sans frais supplémentaires !

Cliquez ici pour en savoir plus sur nos services !

NOMMEZ EDPO COMME VOTRE REPRÉSENTANT POUR L'UE ET LE ROYAUME-UNI !

Vos obligations en bref

A propos de l'auteur

Jane Murphy

Jane Murphy est une avocate belgo-canadienne spécialisée dans la protection des données, le droit des sociétés et la réglementation européenne. Elle est titulaire de diplômes de droit du Canada et de Belgique, d'un LL.M. en droit européen et international, d'un certificat de protection des données, et a suivi un programme d'été en affaires internationales à Harvard, ainsi qu'un programme exécutif "AI:Implications for Business Strategy" au MIT. Jane a également plus de 15 ans d'expérience au sein de conseils d'administration en Europe et en Asie et préside actuellement Oracle Financial Services Software (OFSS) à Mumbai.

LinkedIn Courriel
Jane Murphy

Suivez-nous sur Linkedin pour des informations quotidiennes sur RGPD !

Recevez chaque lundi notre lettre d'information hebdomadaire dans votre boîte aux lettres avec des nouvelles de RGPD et de la protection des données !