Brexit et RGPD,
qu’est ce qui évolue prochainement ?
Vous avez des données personnelles stockées au Royaume-Uni ou des données personnelles envoyées à vos sous-traitants britanniques ? Attention, les règles changent dans quelques mois.
En effet, le processus du Brexit a été long et semé d’embûches. La question principale était bien entendu la question d’un accord économique entre le Royaume-Uni et l’Union européenne (UE). Cet accord a finalement été trouvé dans les derniers instants avant la sortie définitive du Royaume-Uni de l’UE, qui a eu lieu le 1er janvier dernier. Il comprend de nombreux sujets qui ont donné lieu à débat pendant de nombreuses années depuis le vote du référendum pour le Brexit en 2016, comme les sujets de libre échange ou encore de la pêche, sujet brûlant autour du Brexit et pour les pays de l’UE.
Mais la question de la protection des données s’est également posée et notamment sur l’applicabilité du RGPD après le Brexit. Pour le moment, et comme dans tous les autres pays de l’UE, c’était donc le Règlement général sur la protection des données (RGPD) qui était applicable au Royaume-Uni. Ce texte, comme tous les autres textes européens, ne sera bientôt plus applicable au Royaume-Uni.
Afin de pouvoir organiser le transfert des données personnelles européennes vers le Royaume-Uni sans précipitation, une période transitoire de six mois a été négociée pendant laquelle le RGPD sera toujours applicable. Ainsi le règlement sera applicable jusqu’au 1er juillet 2021. Après cette date, le RGPD ne sera donc plus applicable au Royaume-Uni.
Cela implique donc que tout transfert de données vers le Royaume-Uni suite à cette date devra être encadré comme n’importe quel transfert de données personnelles de personnes de l’UE vers un pays tiers. Cela implique donc de nouvelles difficultés pour les organismes publiques et privées concernées par le transfert de données vers ce pays, puisque ces transferts sont des procédures plus lourdes que les transferts vers les pays voisins membres de l’UE. Ils doivent être encadrés plus particulièrement notamment par les instruments de transferts prévus par les articles 44 et suivants du RGPD. Cela peut passer par plusieurs garanties appropriées comme les clauses contractuelles types ou les règles d’entreprises contraignantes et autres garanties.
La solution qui serait sûrement la plus commode à la fois pour les entreprises de l’UE et celles du Royaume-Uni, serait que l’UE prenne une décision d’adéquation envers le Royaume-Uni. Ces décisions d’adéquation reconnaissent la protection des données d’un pays comme étant adéquate par rapport à celle garantie au sein de l’UE par le RGPD et permet de transférer des données vers ces pays comme vers les pays de l’UE. Cela dépendra de toute évidence de la réglementation en matière de protection des données qu’adoptera le Royaume-Uni post-Brexit et de la décision de l’UE à les reconnaitre comme adéquat ou non.
Si vous êtes concernés par cette situation, et souhaitez en savoir plus quant aux transferts de vos données vers le Royaume-Uni, ou de vos transferts hors-UE de manière générale, contactez-nous pour en savoir plus. Nous serons ravis de vous aiguillez dans votre mise en conformité RGPD.
Sophie BOREL
Experte RGPD
