Brexit et RGPD: votre entreprise britannique doit-elle nommer un représentant à la protection des données dans l'UE ?

Le Brexit a changé beaucoup de choses pour les entreprises, en particulier pour les entreprises britanniques qui font des affaires avec l'UE/EEE. Le commerce, la réglementation, les ressources humaines, les transports... il n'y a presque rien qui ne soit pas touché par le retrait du Royaume-Uni de l'UE et de son marché unique. Il est peu probable que la protection des données soit au premier plan des préoccupations des entreprises, mais il existe des problèmes réels que les entreprises, qu'elles soient responsables du traitement des données ou non, devraient examiner maintenant que le Royaume-Uni est officiellement un pays tiers à l'UE.

L'effet extraterritorial du RGPD l'UE

Le 31 décembre 2020, la période de transition du Brexit a pris fin et le Royaume-Uni a officiellement quitté l'Union européenne. Bien que le Royaume-Uni n'applique plus le RGPD en tant qu'État membre de l'UE, le RGPD continue de s'appliquer aux entreprises britanniques par son effet extraterritorial. Ainsi, si les entreprises britanniques font des affaires avec l'UE, elles doivent désormais se conformer au RGPD en tant qu'entreprises non européennes, ce qui signifie qu'elles doivent très probablement nommer un représentant RGPD dans l'UE.

Dois-je désigner un représentant pour la protection des données dans l'UE ?

Si vous êtes une entreprise britannique, vous devrez peut-être nommer un représentant de l'UE dans les cas suivants

• Vous n'avez pas d'établissement dans l'UE/EEE, et
• Vous proposez des produits ou des services à des personnes situées dans l'UE/EEE ou vous surveillez leur comportement.

Toutefois, vous n'êtes pas tenu de désigner un représentant de l'UE si

• Vous êtes une autorité publique ; ou
• Vous avez un établissement dans l'UE/EEE ; ou
• Vous ne traitez les données à caractère personnel qu'occasionnellement et vous ne traitez pas de données à caractère personnel sensibles à grande échelle et vos activités de traitement ne sont pas susceptibles d'entraîner un risque pour les droits et libertés des personnes dans l'UE/EEE.

Les entreprises britanniques ne connaissent généralement pas l'obligation de désigner un représentant chargé de la protection des données car, en vertu du RGPD l'UE, cette obligation ne s'applique qu'aux entreprises non européennes. Elles n'étaient donc pas tenues de désigner un représentant de l'UE avant le 1er janvier 2021, car elles n'étaient pas considérées comme des entreprises non européennes. Il s'agit d'une nouvelle obligation pour elles, car le Royaume-Uni est désormais un pays tiers à l'UE.

Le représentant de l'UE n'est pas un délégué à la protection des données (DPD). Il s'agit d'une personne physique ou d'un organisme au sein de l'UE qui est désigné pour communiquer en votre nom avec les personnes dans l'UE, ainsi qu'avec les autorités chargées de la protection des données (il y en a 46 dans l'EEE !). Le représentant de l'UE doit également conserver une copie du registre des activités de traitement de votre entreprise.

Vous ne savez pas si votre entreprise britannique doit désigner un représentant dans l'UE ? Contactez-nous pour une évaluation gratuite.

EDPO peut agir en tant que votre représentant RGPD auprès de l'UE. En savoir plus sur nos services de représentation auprès de l'UE et sur nos honoraires.