Le Royaume-Uni se prépare à quitter l'Union européenne (UE) prochainement, il est donc légitime de se demander quel impact aura le Brexit sur la protection des données à caractère personnel. Le Comité européen sur la protection des données (« CEPD ») a récemment publié des orientations à cet égard. Nous vous donnons un aperçu.
Impact pour les entreprises établies au Royaume-Uni : application (extra)territoriale du RGPD, y compris la nomination d'un représentant
Les entreprises et organisations basées au Royaume-Uni qui offrent des biens ou des services aux personnes concernées dans l'Espace économique européen (« EEE ») ou qui suivent le comportement des personnes impliquées dans l'EEE (article 3.2. RGPD) continueront, même après le Brexit, à être soumises aux dispositions du RGPD.
L'une de ces obligations est l'obligation de désigner un représentant dans l'EEE (article 27 RGPD). Ce représentant doit être expressément désigné par écrit par le responsable du traitement ou le sous-traitant et est le point de contact de l'autorité de contrôle (considérant 80 RGPD).
Pour en savoir plus sur la procédure de désignation d'un représentant et sur ses responsabilités, consultez le projet de lignes directrices du CEPD : (ces documents ne sont actuellement disponibles qu'en anglais): Lignes directrices sur le champ d'application territorial du RGPD (article 3).
Impact pour les entreprises établies dans l'UE qui stockent ou échangent des données à caractère personnel avec des entreprises établies au Royaume-Uni
L'impact du Brexit sur le transfert de données à caractère personnel vers le Royaume-Uni varie selon qu'un accord de sortie est ou non conclu entre le Royaume-Uni et l'UE avant la date officielle du Brexit, soit – sauf report – le 29 mars 2019.
Accord entre le Royaume-Uni et l'UE
En cas d'accord, le RGPD continuera en principe à s'appliquer au Royaume-Uni jusqu'à la fin de l'année 2020. Dans ce cas, le transfert de données personnelles vers le Royaume-Uni restera inchangé pour les deux années qui suivront le Brexit.
Pas d'accord entre le Royaume-Uni et l'UE
Si aucun accord n'est conclu entre l'UE et le Royaume-Uni, ce dernier sera considéré comme un pays tiers à compter du 30 mars 2019. Cela signifie qu'en l'absence d'une décision d'adéquation (article 45 RGPD), le transfert de données à caractère personnel de l'EEE vers le Royaume-Uni devra avoir lieu, à compter du 30 mars 2019, sur la base de l'un des instruments suivants:
- des clauses contractuelles types et clauses contractuelles spécifiques « ad hoc » (article 46.2.c) RGPD),
- des règles d'entreprise contraignantes (article 46.2.b) et article 47 RGPD),
- des codes de conduites ou des mécanismes de certifications (article 46.2.c) - d) RGPD), ou
- des dérogations pour des situations spécifiques (article 49 RGPD).
Compte tenu du temps limité qu'il reste avant le 30 mars 2019, les clauses contractuelles types peuvent être mises en œuvre le plus rapidement possible.
Pour le transfert de données à caractère personnel du Royaume-Uni vers l'EEE, en principe, le système actuellement en vigueur continuera à s'appliquer après le 29 mars 2019. Le gouvernement britannique a indiqué que les données du Royaume-Uni pourront être transférées vers l'UE, comme il est possible de le faire actuellement.
Préparation en cinq étapes
En raison de la probabilité réelle que le Royaume-Uni quitte l'UE sans accord le 29 mars 2019, plusieurs autorités de protection des données, dont l'Autorité de protection des données belge, soulignent que les entreprises et les organisations devraient se préparer à un scénario de Brexit sans accord.
Cinq étapes doivent être envisagées dans cette préparation:
- Faire une analyse des activités de traitement qui nécessitent un transfert de données personnelles vers le Royaume-Uni.
- Déterminer l'instrument le plus approprié pour le transfert de données à caractère personnel.
- Veiller à ce que cet instrument soit prêt à être utilisé le 30 mars 2019.
- Indiquer dans votre documentation interne, telle que votre registre des activités de traitement, que des transferts vers le Royaume-Uni sont (ou seront) effectués.
- Mettre à jour votre politique de vie privée en précisant que des transferts seront effectués vers le Royaume-Uni.
Il est également recommandé de consulter régulièrement le site Web du Gouvernement britannique et de l'autorité britannique de la protection des données personnelles (ICO).
Plus d'informations ?
Le 12 février 2019, le CEPD a publié deux notes d'information contenant des explications complémentaires à destination des entreprises et des organisations sur le respect correct du RGPD en cas de Brexit sans accord:
- Note d'information sur le transfert de données à caractère personnel dans le cadre du RGPD en cas de Brexit sans accord (disponible uniquement en anglais pour l'instant)
- Note d'information sur les règles d'entreprise contraignantes pour les entreprises dont ICO est l'autorité de contrôle chef de file (disponible uniquement en anglais pour l'instant)
Pour un aperçu des conséquences du Brexit sur les prestataires de services financiers, veuillez lire Eubelius Spotlights mars 2019.
