Brexit et RGPD : Quid ?

L’accord de commerce et de coopération conclu entre l’Union Européenne et le Royaume‑Uni le 24 décembre 2020 prévoit que le Règlement Général sur la Protection des Données (« RGPD ») restera applicable au Royaume-Uni pour une période transitoire de 6 mois maximum, soit jusqu’au 1er juillet 2021.

L’accord prévoit en revanche que le mécanisme du « guichet unique » n’est plus applicable au Royaume-Uni depuis le 1er janvier 2021.

 

Implications pour les transferts de données personnelles vers le Royaume-Uni

Jusqu’au 1er juillet 2021, les transferts de données personnelles depuis l’UE/EEE vers le Royaume-Uni demeurent soumis au cadre juridique actuel du RGPD. Aucune formalité n’est donc nécessaire pour procéder à ces transferts durant la période transitoire.

 

Au-delà de cette date, ces transferts seront toutefois considérés comme des transferts vers un pays « tiers » à l’UE/EEE (art. 44 et seq. RGPD). Ces transferts devront donc être encadrés par des garanties appropriées prévues par le RGPD, telles que des clauses contractuelles types (« CCT ») ou des règles d'entreprise contraignantes (« Biding Corporate Rules » ou « BCR »), à moins que la Commission européenne ne constate que le Royaume-Uni assure un niveau de protection adéquat en adoptant une décision d’adéquation avant cette date.

 

L’autorité de protection des données britannique (« Information Commissioner’s Office » ou « ICO ») recommande aux entités recevant des données personnelles depuis l’UE/EEE de mettre en place ces garanties appropriées avant fin avril 2021.

 

Il en va de même pour toute entité transférant des données personnelles depuis l’UE/EEE vers le Royaume-Uni, afin d’anticiper la fin de cette période transitoire.

 

Implications pour les responsables de traitement et sous-traitants établis au Royaume‑Uni

Le mécanisme du « guichet unique » n’est plus applicable au Royaume-Uni depuis le 1er janvier 2021. Ce mécanisme permettait aux entités établies dans plusieurs Etats membres de l’UE/EEE et mettant en œuvre des traitements transfrontaliers de disposer d’un seul interlocuteur pour toutes leurs activités de traitement sur le territoire européen, à savoir l’« autorité chef de file » (art. 56 RGPD). L’ICO ne peut donc plus aujourd’hui être considérée comme autorité chef de file.

 

Depuis le 1er janvier 2021, les responsables de traitement et sous-traitants établis uniquement au Royaume-Uni et mettant en œuvre des traitements soumis au RGPD ont l’obligation de désigner par écrit un représentant dans l’UE, sauf exception notamment pour les traitements occasionnels (art. 27 RGPD). Ce représentant dans l’UE peut être un prestataire externe tel qu’un cabinet d’avocats situé dans l’UE. Il doit être mandaté pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable de traitement ou du sous-traitant, pour toutes les questions relatives aux traitements, aux fins d’assurer le respect du RGPD. Le représentant dans l’UE doit également pouvoir accéder au registre des traitements sous la responsabilité du responsable de traitement ou du sous-traitant, et le mettre à disposition de l’autorité de contrôle sur demande (art. 30 RGPD). Selon le Comité Européen de la Protection des Données (CEPD), la fonction de représentant dans l’UE est toutefois incompatible avec la fonction de Délégué à la Protection des Données ou « DPO » (CEPD, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), 2019).

 

Le Brexit a par conséquent des implications tant pour les responsables de traitement et sous‑traitants situés au Royaume-Uni dès lors que le RGPD s’applique à leurs activités de traitements, que pour ceux situés en UE/EEE dès lors qu’ils transfèrent des données vers le Royaume-Uni. Les entreprises doivent dresser un état des lieux de leurs pratiques, et procéder le cas échéant à la désignation d’un représentant dans l’UE, l’identification d’une autorité chef de file, la revue de leurs accords de transferts ainsi que la revue de leurs politiques et procédures en fonction des changements opérés.

retour à la liste

les experts
LAVOIX

  • LAVOIX - WTR1000
  • LAVOIX - Legal500
  • LAVOIX - IPStars
  • LAVOIX - Patent1000
  • LAVOIX- Leader League Décideurs
Logo ISO UKASCertification ISO 9001:2015 pour l'ensemble des activités de Conseil en Propriété Industrielle et pour tous les bureaux.