Le RGPD, dans son article 1er, pose le principe de libre circulation des données entre les pays de l’Union européenne. Depuis le 31 janvier 2020 (date du Brexit), le Royaume-Uni est sorti officiellement de l’UE. Il est donc à présent considéré comme un état tiers. Notons que, cela a des répercussions sur les transferts de données personnelles. Découvrons-les en détail.
Une période de transition nécessaire
Le Royaume-Uni et l’UE ont conclu, le 24 décembre 2020, l’accord de commerce et de coopération. Il prévoit que le RGPD demeurera applicable au Royaume-Uni, pendant 6 mois (jusqu’au 1er juillet 2021). Ce délai, permet aux entreprises de maintenir les transferts de données vers le Royaume-Uni. Mais, cela se fera sans garanties supplémentaires.
Durant cette phase de transition, la Commission européenne réfléchira à la requête du Royaume-Uni demandant une décision d’adéquation. À l’issue de cette période, si cette décision est actée, elle autorisera les transferts de données personnelles vers le Royaume-Uni. Dans le cas contraire, les transferts ne pourront s’effectuer seulement si :
- Des garanties appropriées sont mises en place. Comme par exemple, des clauses contractuelles types.
- Les Européens possèdent des droits opposables et des voies de droit effectives.
À défaut, les transferts de données vers le Royaume-Uni depuis les pays de l’UE seront interdits.
La fin du « guichet unique »
Depuis le 1er janvier 2021, le « guichet unique » n’est lui plus applicable au Royaume-Uni. Par conséquent, l’autorité britannique de protection des données (ICO) ne participe plus à ce mécanisme. Celui-ci ayant pour objet de faciliter les démarches des entreprises installées dans l’UE.
Conformément à l’article 27 du RGPD, les responsables du traitement et les sous-traitants établis exclusivement au Royaume-Uni et soumis au RGPD sont à présent contraints de désigner un représentant dans l’Union. Celui-ci est la personne qui peut être contactée pour toutes interrogations liées aux activités de traitement de données personnelles.
En revanche, ceux qui possèdent un établissement principal dans l’EEE peuvent encore bénéficier du « guichet unique ».
Les conséquences pour les entreprises du Royaume-Uni
Il est fortement conseillé aux entreprises établies au Royaume-Uni d’anticiper les changements à mettre en oeuvre pour le 31 juillet 2021. Elles pourront ainsi éviter toute interruption des transferts de données avec les pays de l’UE. Notons que les exportateurs et les importateurs de données ont un rôle important à jouer. Ils doivent évaluer eux-mêmes si la législation du pays tiers respecte le niveau de protection exigé par le droit européen. Néanmoins, si ce n’est pas le cas, ils doivent mettre en place les mesures nécessaires. Et cela, dans le but d’apporter un niveau de protection équivalent à celui imposé par l’UE.
Le Royaume-Uni a commencé à anticiper ces changements. Et cela, avec la mise en place du Data Protection Act et du Privacy and electronic communication regulations. Mentionnons que ces deux dispositifs de protection de données personnelles reprennent les points du RGPD, de façon quasi similaire . Les entreprises doivent donc mettre à jour leurs registres de traitement des données personnelles. Dans lesquels, elles détailleront chaque activité de traitement et les garanties prévues pour chacun de ces transferts. Les transferts vers le Royaume-Uni réalisés depuis la date de retrait du pays de l’Union européenne doivent être ajoutés dans ce registre interne.