Accueil " Ce que les entreprises de l'UE doivent savoir sur le Brexit et le Représentant pour la protection des données

Brexit et RGPD: Que signifie le Brexit pour votre entreprise européenne ?

Le Brexit modifiera presque toutes les fonctions essentielles des entreprises de l'UE qui font des affaires avec le Royaume-Uni : du commerce à la réglementation, en passant par l'embauche et le transport, il n'y a presque rien qui ne soit touché par le retrait du Royaume-Uni de l'UE et du marché unique. Il est peu probable que la protection des données soit au premier plan des préoccupations des entreprises pendant cette période, mais les responsables du traitement des données et les sous-traitants sont confrontés à des problèmes réels grâce au RGPD.

Pendant la période de transition (c'est-à-dire jusqu'au 31 décembre 2020), le RGPD continue de s'appliquer au Royaume-Uni. Cependant, la relation entre le RGPD et le Brexit à partir de 2021 n'est pas réglée. Le Royaume-Uni n'est plus un "État membre" et sera considéré comme un "pays tiers" aux fins du RGPD à partir du 1er janvier 2021. Il devra donc négocier un statut d'adéquation avec l'UE. Ce que cela implique et combien de temps cela prendra est largement incertain, car les deux parties doivent se mettre d'accord sur une solution. D'ici là, les transferts de données de l'UE vers le Royaume-Uni deviendront infiniment plus compliqués.

Voici ce que vous devez savoir sur le RGPD et le Brexit si vous êtes une entreprise de l'UE et que vous proposez des produits ou des services à des personnes qui se trouvent au Royaume-Uni ou si vous surveillez le comportement de ces personnes !

Les entreprises pourront-elles envoyer des données entre l'UE et le Royaume-Uni ?

À l'heure actuelle, le gouvernement britannique n'a pas l'intention de considérer l'UE comme un pays tiers en ce qui concerne le traitement des données au Royaume-Uni. Par conséquent, les entreprises britanniques pourront continuer à envoyer des données à l'UE. Toutefois, l'Union européenne n'a pas répondu à cet engagement, ce qui signifie que les transferts de données de l'Union européenne vers le Royaume-Uni feront l'objet de restrictions.

Les résultats risquent d'être désordonnés. Les organisations basées au Royaume-Uni auront du mal à servir leurs clients au sein de l'UE. L'île d'Irlande, Gibraltar et l'Espagne, qui entretiennent des liens étroits avec l'UE, seront également confrontés à des défis particuliers.

La levée des restrictions dépendra du respect par le Royaume-Uni et chaque entreprise concernée des garanties de l'UE en matière de soutien aux transferts de données. Les exigences relatives aux transferts de données vers des pays tiers sont détaillées au chapitre V du RGPD.

Le Royaume-Uni : Un lieu sûr pour les données après le Brexit ?

Le RGPD exige que les transferts de données vers un pays tiers ne se fassent qu'avec des pays désignés comme "adéquats" par la Commission européenne.

Les pays dont le niveau de protection est adéquat sont ceux qui utilisent un niveau de protection des données équivalent à celui de l'UE. Par conséquent, ils ne sont pas liés par les articles 46 et 47 du RGPD et les données peuvent circuler entre l'UE et ces pays sans limites ni contrôles. À l'heure actuelle, les pays reconnus comme adéquats pour les transferts de données sont Andorre, l'Argentine, les îles Féroé, Guernesey, Israël, l'île de Man, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay.

Le Canada et le Japon sont également inclus, mais les transferts de données vers ces pays sont limités. Au Canada, seules les organisations commerciales en bénéficient. Au Japon, la décision d'adéquation ne couvre que les organisations du secteur privé.

Les États-Unis étaient également inclus par le biais du bouclier de protection de la vie privée (US-EU Privacy Shield) - mais uniquement pour les entreprises américaines ayant signé le cadre - mais ce mécanisme a récemment été invalidé par la Cour de justice de l'UE, ce qui signifie que les transferts de données entre l'UE et les États-Unis ne sont plus considérés comme sûrs ou protégés, à moins que des garanties appropriées ne soient mises en place et que les droits des personnes ne soient applicables et que des recours juridiques efficaces soient disponibles.

La suite des événements pour le Royaume-Uni dépendra des accords sur la protection des données conclus pendant la période de transition. Le Royaume-Uni utilise déjà la loi sur la protection des données de 2018, qui a émis des exigences similaires au RGPD en termes de confidentialité et de transparence.

Cependant, la compréhension la plus complète de ce qui sera la version britannique du RGPD se trouve actuellement dans les règlements sur la protection des données, la vie privée et les communications électroniques (sortie de l'UE) 2019.

Quand les règles de transfert de données seront-elles modifiées ?

L'accord de retrait conclu entre l'UE et le gouvernement britannique prévoit une période de transition allant du 31 janvier 2020 au 31 décembre 2020. Au cours de cette période, le Royaume-Uni a accepté de continuer à suivre les lois et règlements de l'UE - y compris le RGPD - malgré la "sortie" qui aura lieu en janvier. À partir du 1er janvier 2021, le Royaume-Uni deviendra un pays tiers.

Par conséquent, les transferts de données se poursuivent normalement pour les entreprises et les résidents de l'UE et du Royaume-Uni pendant toute l'année 2020, jusqu'à la fin de la période de transition.

Toutefois, il n'y aura pas de rupture nette. Toutes les données provenant de l'UE et se trouvant au Royaume-Uni avant la fin de la période de transition continueront de bénéficier du RGPD tel qu'il a été rédigé et modifié par l'UE. Le produit est un filet de sécurité qui continue à protéger la vie privée des personnes dans l'UE, quelle que soit l'issue des négociations pour 2021 et au-delà.

N'oubliez pas cette obligation spécifique !

Si votre entreprise de l'UE n'a pas d'établissement au Royaume-Uni et que vous offrez des produits ou des services à des personnes qui se trouvent au Royaume-Uni ou si vous surveillez leur comportement, vous devrez très probablement désigner un représentant britannique chargé de la protection des données . protection des données.

L 'autorité britannique de protection des données (ICO) confirme que "le gouvernement britannique a l'intention qu'après la fin de la période de transition, la version britannique du RGPD stipule qu'un responsable du traitement ou un sous-traitant situé en dehors du Royaume-Uni - mais qui doit toujours se conformer au RGPD britannique - doit nommer un représentant britannique".

Un représentant britannique pour la protection des données n'est PAS un délégué à la protection des données (DPD). Il s'agit d'une personne physique ou d'un organisme situé au Royaume-Uni, qui est votre point de contact pour les personnes au Royaume-Uni, ainsi que pour l'autorité de régulation.

Pour être en conformité avec le RGPD britannique, vous devrez disposer d'un représentant chargé de la protection des données d'ici la fin de la période de transition (c'est-à-dire à partir du 1er janvier 2021).

Cliquez ici pour en savoir plus.