Iubenda logo
Générer dès maintenant

Documentation

Sommaire

RGPD & Brexit – Ce que cela signifie pour les entreprises et l’impact sur la protection des données

Mise à jour

À la suite d’une consultation publique, le Royaume-Uni a présenté les détails d’un projet de loi sur la réforme des données personnelles, qui modifiera le cadre de protection de la confidentialité de la version britannique post-Brexit du RGPD. En savoir plus sur cette proposition de loi ici.

La Commission a autorisé les flux de données de l’UE vers le Royaume-Uni, mais cette mesure fera l’objet d’un réexamen dans quatre ans.

Après que le Comité européen de protection des données (EDPB) ait adopté un avis sur les projets de décisions d’adéquation de la Commission pour le Royaume-Uni et que les représentants des États membres ont donné leur approbation, les deux décisions sont entrées en vigueur le 28 juin 2021.

La décision au titre du Règlement Général sur la Protection des Données (RGPD) et la décision au titre de la directive relative à l’application de la loi autorisent toutes deux les transferts de l’UE vers le Royaume-Uni, car ce dernier offre actuellement un niveau de protection des données personnelles essentiellement équivalent à celui garanti par le droit de l’UE.

Toutefois, à titre exceptionnel, les deux décisions étaient également soumises à une clause de caducité, ce qui signifie qu’elles devront être renouvelées dans quatre ans.

Par exemple, l’EDPB avait souligné certaines divergences possibles qui devaient être évaluées plus en détail avant que les décisions finales ne soient prises :

  • L’exemption d’immigration et ses conséquences sur les restrictions des droits des personnes concernées ;
  • L’application de restrictions aux transferts de données personnelles de l’Espace Economique Européen vers le Royaume-Uni, sur la base d’éventuelles futures décisions d’adéquation adoptées par le Royaume-Uni, d’accords internationaux entre le Royaume-Uni et des pays tiers, ou de dérogations.

=> Prochaines étapes : surveiller toute divergence future entre le droit européen et le droit britannique, qui pourrait devenir un défi pour les prochaines décisions, prévues dans quatre ans.

Lisez le texte complet ici

Le Règlement Général sur la Protection des Données (RGPD) est devenu exécutoire en mai 2018 – renforçant les droits de protection des données pour toutes les personnes dont les informations personnelles entrent dans son champ d’application, et imposant de nouvelles exigences aux entreprises et entités qui traitent ces données personnelles. Pour en savoir plus sur le RGPD et savoir quand il s’applique, cliquez ici.

Avec tous les changements prévus suite à la sortie du Royaume-Uni de l’UE, vous vous demandez peut-être comment la conformité au RGPD change exactement pour les entreprises britanniques et européennes après le Brexit ? Nous répondons à cette question et à bien d’autres encore ci-dessous.

Le RGPD après le Brexit, est-ce que ça change quelque chose ?

Le RGPD, qui était une loi contraignante au Royaume-Uni jusqu’à ce que le Brexit prenne effet le 31 décembre 2020, est désormais, pour l’essentiel, toujours applicable au Royaume-Uni en tant que « UK GDPR » tant qu’aucune nouvelle loi ou législation nationale sur la protection des données n’est adoptée.

Que dois-je savoir en tant qu’entreprise basée au Royaume-Uni ?

Transferts de données vers l’UE et vers d’autres territoires
En vertu du RGPD britannique actuel, les transferts de données du Royaume-Uni vers d’autres pays suivent les mêmes principes que le RGPD. En particulier :

  • si le gouvernement britannique a émis un règlement d’adéquation pour votre territoire cible, vous pouvez transférer les données sans autres exigences. Ce statut s’applique actuellement à tous les États de l’UE et de l’EEE ainsi qu’à tous les pays couverts par une décision d’adéquation de l’UE (par exemple, l’Argentine, la Suisse, la Nouvelle-Zélande, etc), sujet aux conditions du Japon et du Canada ;
  • si aucune des dispositions ci-dessus ne s’applique, en tant qu’entreprises basées au Royaume-Uni souhaitant transférer des données personnelles à l’étranger, vous devrez vous appuyer sur les mêmes alternatives que celles prévues par le RGPD, telles que les clauses contractuelles types (CCT), d’autres « garanties appropriées » ou des « exceptions ». À cet égard, l’autorité britannique de protection des données (ICO) a déclaré que l’UE Les CCTs conclues avant la fin de la période de transition continuent d’être valables dans le cadre du régime britannique, et, que les CCTs de l’UE peuvent toujours être utilisées également pour les nouveaux transferts de données personnelles. Les « versions britanniques » des CCTs de l’UE ont été publiées par l’ICO et peuvent être utilisées par les entreprises.

💡 L’utilisation de iubenda comme processeur transférant des données vers l’UE reste parfaitement sûre pour les utilisateurs britanniques.

Représentant pour la protection des données
Le RGPD (art. 27) impose aux entités qui traitent des données personnelles de personnes physiques dans l’UE de désigner un représentant dans l’UE. Pendant la période de transition, cette exigence ne s’applique pas encore aux entités britanniques.

Toutefois, après l’expiration de la période de transition, les entreprises britanniques qui traitent les données de personnes physiques dans l’UE devront très probablement désigner un représentant de l’UE.

Comment le Brexit me concerne-t-il en tant qu’entreprise basée dans l’UE/EEE ?

Transferts de données vers le Royaume-Uni

L’accord de Brexit conclu par l’UE et le Royaume-Uni en décembre 2020 prévoit une période de transition de 4 mois expirant le 30 avril 2021, qui pourrait être prolongée de 2 mois supplémentaires : pendant cette période, le Royaume-Uni ne sera pas considéré comme un « pays tiers ».

→ D’ici là, rien ne change pour les entreprises de l’UE/EEE qui transfèrent des données au Royaume-Uni.

Une fois la période de transition expirée (c’est-à-dire pas avant le 30 avril 2021), les transferts de données vers le Royaume-Uni doivent se faire selon les principes généraux du RGPD, c’est-à-dire :

  • dans le cas où la Commission européenne prendrait une décision d’adéquation pour le Royaume-Uni, les transferts de données pourraient avoir lieu sans exigences supplémentaires ;
  • dans le cas ou aucune décision d’adéquation est rendue avant la fin de la période de transition prolongée, les transferts de données personnelles des États de l’UE/EEE vers le Royaume-Uni devront s’appuyer sur des garanties appropriées, telles que des clauses contractuelles types approuvées par la Commission européenne (CCTs), ou d’autres « garanties appropriées » ou « exceptions » au transfert énoncées dans le RGPD.

Représentant pour la protection des données

Dès à présent, le « UK GDPR » impose aux entités qui traitent les données personnelles de personnes physiques au Royaume-Uni de désigner un représentant au Royaume-Uni. À ce jour, pendant la période de transition, cette exigence ne s’applique pas encore aux entités de l’UE/EEE.

Toutefois, après l’expiration de la période de transition, les entreprises de l’UE/EEE qui traitent les données de personnes physiques au Royaume-Uni devront très probablement désigner un représentant britannique.

Autres lectures

Pour en savoir plus sur tous les autres changements mineurs et majeurs auxquels vous serez confronté en tant qu’entreprise basée au Royaume-Uni à l’expiration de la période de transition, consultez le site web de l’ICO.

About us

iubenda

GDPR compliance for your site, app and organization

www.iubenda.com

Voir également