Accueil " Brexit et RGPD: Que signifie le Brexit pour votre entreprise européenne ?

Le Brexit a changé beaucoup de choses pour les entreprises, en particulier pour les entreprises de l'UE qui font des affaires avec le Royaume-Uni. Le commerce, la réglementation, les ressources humaines, les transports... il n'y a presque rien qui ne soit pas touché par le retrait du Royaume-Uni de l'UE et de son marché unique. Il est peu probable que la protection des données soit au premier plan des préoccupations des entreprises, mais il existe des problèmes réels sur lesquels les entreprises, qu'elles soient responsables du traitement des données ou non, devraient se pencher maintenant que le Royaume-Uni est officiellement un pays tiers par rapport à l'UE.

Voici ce que vous devez savoir sur le RGPD et le Brexit si vous êtes une entreprise de l'UE.

Deux des principaux impacts du Brexit sur la protection des données pour les entreprises de l'UE

1- Les transferts de données personnelles de l'UE vers le Royaume-Uni sont autorisés pendant une nouvelle période de transition.

Le statut de pays tiers du Royaume-Uni constitue un changement important pour les responsables du traitement des données et les sous-traitants de l'UE, car cela signifie qu'ils pourraient bientôt être soumis à des exigences en matière de transfert transfrontalier de données. Dans le cadre du nouvel accord commercial, l 'UE a accepté que les données à caractère personnel continuent de circuler librement, mais uniquement pendant une période de transition qui prendra fin au plus tard le 30 juin 2021.

Entre-temps, tout le monde attend que la Commission européenne désigne le Royaume-Uni comme "adéquat". Les pays adéquats sont ceux qui utilisent un niveau de protection des données équivalent à celui de l'UE. Par conséquent, les données peuvent circuler entre l'UE et ces pays sans limites ni contrôles. À l'heure actuelle, les pays reconnus comme adéquats pour les transferts de données sont Andorre, l'Argentine, les îles Féroé, Guernesey, Israël, l'île de Man, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay. Le Canada et le Japon sont également inclus, mais les transferts de données vers ces pays sont limités. Au Canada, seules les organisations commerciales en bénéficient. Au Japon, la décision d'adéquation ne couvre que les organisations du secteur privé.

Bien que la Commission ait publié un projet de décision d'adéquation concernant le Royaume-Uni le 19 février 2021, elle doit encore obtenir l'avis (non contraignant) du Comité européen de la protection des données (CEPD) sur ce projet ainsi que l'approbation du Comité des représentants des États membres de l'UE. Rien n'est donc encore réglé et les entreprises de l'UE seraient bien avisées de prévoir un plan B au cas où il n'y aurait pas de décision d'adéquation.

2- Les entreprises de l'UE qui n'ont pas d'établissement au Royaume-Uni peuvent être amenées à nommer un représentant RGPD au Royaume-Uni.

Les entreprises de l'UE doivent garder à l'esprit que la nouvelle période de transition ne concerne que les transferts de données. Cela signifie que le RGPD britannique s'applique pleinement à partir du 1er janvier 2021 et que les entreprises de l'UE doivent se conformer à toutes ses obligations.

Si vous êtes une entreprise de l'UE, l'une de ces obligations consiste à désigner un représentant au Royaume-Uni :

• Vous n'avez pas d'établissement au Royaume-Uni, et
• Vous offrez des produits ou des services à des personnes situées au Royaume-Uni ou vous surveillez leur comportement.

Toutefois, vous n'êtes pas tenu de désigner un représentant au Royaume-Uni si

• Vous êtes une autorité publique ; ou
• Vous avez un établissement au Royaume-Uni ; ou
• Vous ne traitez des données à caractère personnel qu'occasionnellement , vous ne traitez pas de données à caractère personnel sensibles à grande échelle et il est peu probable que vos activités de traitement entraînent un risque pour les droits et libertés des personnes au Royaume-Uni.

Les entreprises de l'UE ne connaissent généralement pas l'obligation de désigner un représentant chargé de la protection des données car, en vertu du RGPD l'UE, cette obligation ne s'applique qu'aux entreprises non européennes. Elles n'étaient donc pas tenues de désigner un représentant au Royaume-Uni avant le 1er janvier 2021, car il n'y avait pas lieu de le faire puisque le Royaume-Uni faisait partie de l'UE. Il s'agit d'une nouvelle obligation parce que le Royaume-Uni est désormais un pays tiers et qu'il applique le RGPD britannique - y compris l'obligation pour les entreprises non britanniques de désigner un représentant britannique chargé de la protection des données.

Le représentant britannique n'est pas un délégué à la protection des données (DPD). Il s'agit d'une personne physique ou d'un organisme situé au Royaume-Uni qui est désigné pour communiquer avec les personnes au Royaume-Uni, ainsi qu'avec l'autorité de réglementation (ICO), en votre nom (un DPD travaille avec votre entreprise ou votre organisation pour faciliter la mise en conformité). (Le représentant britannique doit également conserver une copie du registre des activités de traitement de votre entreprise.

Vous ne savez pas si votre entreprise européenne doit désigner un représentant au Royaume-Uni ? Contactez-nous pour une évaluation gratuite.

EDPO UK peut agir en tant que votre représentant RGPD au Royaume-Uni. En savoir plus sur nos services de représentation au Royaume-Uni et sur nos honoraires.