À la suite d’une consultation publique, le Royaume-Uni a présenté les détails d’un projet de loi sur la réforme des données personnelles, qui modifiera le cadre de protection de la confidentialité de la version britannique post-Brexit du RGPD. En savoir plus sur cette proposition de loi ici.
La Commission a autorisé les flux de données de l’UE vers le Royaume-Uni, mais cette mesure fera l’objet d’un réexamen dans quatre ans.
Après que le Comité européen de protection des données (EDPB) ait adopté un avis sur les projets de décisions d’adéquation de la Commission pour le Royaume-Uni et que les représentants des États membres ont donné leur approbation, les deux décisions sont entrées en vigueur le 28 juin 2021.
La décision au titre du Règlement Général sur la Protection des Données (RGPD) et la décision au titre de la directive relative à l’application de la loi autorisent toutes deux les transferts de l’UE vers le Royaume-Uni, car ce dernier offre actuellement un niveau de protection des données personnelles essentiellement équivalent à celui garanti par le droit de l’UE.
Toutefois, à titre exceptionnel, les deux décisions étaient également soumises à une clause de caducité, ce qui signifie qu’elles devront être renouvelées dans quatre ans.
Par exemple, l’EDPB avait souligné certaines divergences possibles qui devaient être évaluées plus en détail avant que les décisions finales ne soient prises :
=> Prochaines étapes : surveiller toute divergence future entre le droit européen et le droit britannique, qui pourrait devenir un défi pour les prochaines décisions, prévues dans quatre ans.
Le Règlement Général sur la Protection des Données (RGPD) est devenu exécutoire en mai 2018 – renforçant les droits de protection des données pour toutes les personnes dont les informations personnelles entrent dans son champ d’application, et imposant de nouvelles exigences aux entreprises et entités qui traitent ces données personnelles. Pour en savoir plus sur le RGPD et savoir quand il s’applique, cliquez ici.
Avec tous les changements prévus suite à la sortie du Royaume-Uni de l’UE, vous vous demandez peut-être comment la conformité au RGPD change exactement pour les entreprises britanniques et européennes après le Brexit ? Nous répondons à cette question et à bien d’autres encore ci-dessous.
Le RGPD, qui était une loi contraignante au Royaume-Uni jusqu’à ce que le Brexit prenne effet le 31 décembre 2020, est désormais, pour l’essentiel, toujours applicable au Royaume-Uni en tant que « UK GDPR » tant qu’aucune nouvelle loi ou législation nationale sur la protection des données n’est adoptée.
Transferts de données vers l’UE et vers d’autres territoires
En vertu du RGPD britannique actuel, les transferts de données du Royaume-Uni vers d’autres pays suivent les mêmes principes que le RGPD. En particulier :
💡 L’utilisation de iubenda comme processeur transférant des données vers l’UE reste parfaitement sûre pour les utilisateurs britanniques.
Représentant pour la protection des données
Le RGPD (art. 27) impose aux entités qui traitent des données personnelles de personnes physiques dans l’UE de désigner un représentant dans l’UE. Pendant la période de transition, cette exigence ne s’applique pas encore aux entités britanniques.
Toutefois, après l’expiration de la période de transition, les entreprises britanniques qui traitent les données de personnes physiques dans l’UE devront très probablement désigner un représentant de l’UE.
Transferts de données vers le Royaume-Uni
L’accord de Brexit conclu par l’UE et le Royaume-Uni en décembre 2020 prévoit une période de transition de 4 mois expirant le 30 avril 2021, qui pourrait être prolongée de 2 mois supplémentaires : pendant cette période, le Royaume-Uni ne sera pas considéré comme un « pays tiers ».
→ D’ici là, rien ne change pour les entreprises de l’UE/EEE qui transfèrent des données au Royaume-Uni.
Une fois la période de transition expirée (c’est-à-dire pas avant le 30 avril 2021), les transferts de données vers le Royaume-Uni doivent se faire selon les principes généraux du RGPD, c’est-à-dire :
Représentant pour la protection des données
Dès à présent, le « UK GDPR » impose aux entités qui traitent les données personnelles de personnes physiques au Royaume-Uni de désigner un représentant au Royaume-Uni. À ce jour, pendant la période de transition, cette exigence ne s’applique pas encore aux entités de l’UE/EEE.
Toutefois, après l’expiration de la période de transition, les entreprises de l’UE/EEE qui traitent les données de personnes physiques au Royaume-Uni devront très probablement désigner un représentant britannique.
Pour en savoir plus sur tous les autres changements mineurs et majeurs auxquels vous serez confronté en tant qu’entreprise basée au Royaume-Uni à l’expiration de la période de transition, consultez le site web de l’ICO.