Quid du transfert des données personnelles entre le Royaume Uni et l'UE depuis le Brexit?
Quelle loi s’applique ?
Il existe désormais une nouvelle version du RGPD directement applicable au Royaume-Uni (le RGPD britannique). Dans sa forme actuelle, il est essentiellement identique au RGPD européen, mais adapté au Royaume-Uni.
Il comporte également des dispositions extraterritoriales qui reflètent celles du RGPD européen.
En pratique, cela signifie que les entreprises de l’UE devront se conformer au RGPD britannique, en plus du RGPD européen, lorsque ces entreprises :
ont un « établissement » (c’est-à-dire un employé, une succursale ou un bureau) au Royaume-Uni et traitent des données personnelles dans le cadre de cet établissement ;
surveillent le comportement des personnes au Royaume-Uni – par exemple via des cookies sur un site Web destiné aux consommateurs britanniques ; ou
offrent des biens et des services aux individus au Royaume-Uni.
Cela ne pose pas de problèmes pour le moment, tant que la loi reste similaire, mais des récents commentaires du gouvernement britannique suggèrent que ce ne sera pas toujours le cas.
Même si, à court terme, aucun changement substantiel ne sera apporté à la loi britannique, l’interprétation de celle-ci par l’Information Commissioner’s Office (ICO – l’autorité de surveillance au Royaume-Uni) pourra conduire à des différences significatives dans la manière dont ces lois de protection des données seront appliquées en pratique. Avant le Brexit, l’ICO tenait compte des directives du Comité européen de la protection des données (CEPD) lors de la rédaction de ses propres directives et de la prise de décisions. L’ICO avait un siège au sein de ce Comité, qui visait à garantir une approche cohérente dans tous les États membres de l’Union européenne.
Après le Brexit, l’ICO ne siégera plus au sein du CEPD. Bien que les directives du CEPD soient susceptibles d’être prises en compte par l’ICO, cette dernière n’est plus tenue de les suivre lors de la publication de ses propres directives. Il est donc possible que cela entraîne des interprétations différentes de la loi au Royaume-Uni et dans l’Union européenne.
Parallèlement aux directives, la jurisprudence déterminera souvent comment la législation s’appliquera aux entreprises individuelles. Avant le Brexit, l’ICO tenait compte des décisions de la Cour de justice de l’Union européenne (CJUE) sur la manière dont la législation devait être interprétée, en veillant à ce que la législation soit appliquée de manière similaire dans tous les États membres.
Après la fin de la période de transition du Brexit, le Royaume-Uni ne sera lié par les futures décisions de la CJUE que dans certaines circonstances. Là encore, il y a de fortes chances que la loi britannique sur la protection des données, même si elle est basée sur le RGPD, soit interprétée différemment du fait que les tribunaux britanniques adoptent une approche différente de celle de l’UE.
Qu’est-ce que cela signifie pour les entreprises de l’UE ? En pratique, cela signifie que les organisations de l’UE opérant à la fois au Royaume-Uni et dans l’UE seront soumises à la version européenne et britannique du RGPD et devront se conformer aux deux législations à l’avenir.
Cela ne devrait pas poser de problèmes tant que les lois restent similaires, mais en cas de changement de législation ou d’interprétation, les entreprises pourraient se trouver dans la situation difficile d’avoir à se conformer à des lois différentes, voire contradictoires, lorsqu’elles traitent des données personnelles d’individus de l’UE et du Royaume-Uni.
Qu’en est-il des transferts de données personnelles ?
À la fin du mois de juin 2021, la Commission européenne, en concertation avec le gouvernement britannique, a adopté une décision d’adéquation à l’égard du Royaume-Uni. Cela signifie que, dans la pratique, les données personnelles peuvent être transférées entre l’UE et le Royaume-Uni sans que des garanties supplémentaires soient requises.
Cela représente un soulagement pour les entreprises de l’UE et du Royaume-Uni, pour lesquelles l’obligation de mettre en place des garanties supplémentaires pour le transfert de données entre les deux Pays aurait constitué une charge administrative importante et coûteuse.
De manière inhabituelle, cependant, la décision d’adéquation pour le Royaume-Uni comprend une « clause de caducité », selon laquelle la décision expirera automatiquement après quatre ans, à moins qu’elle ne soit renouvelée. Elle ne sera renouvelée que si le Royaume-Uni continue d’assurer un niveau de protection adéquat. Toute divergence du gouvernement britannique par rapport à la position actuelle – que ce soit à la suite d’un changement de loi ou de son interprétation – pourrait signifier qu’en 2025 l’approche du Royaume-Uni ne sera plus considérée comme adéquate.
Concrètement, une perte du statut d’adéquation du Royaume-Uni pourrait avoir un impact visible important sur les entreprises de l’UE et du Royaume-Uni. Les données ne pourraient pas être transférées entre ces deux pays, à moins qu’une garantie – telle que spécifiée dans le RGPD de l’UE – ne soit mise en place.
La garantie la plus courante est constituée par les clauses contractuelles types approuvées par la Commission européenne, mais la décision de la CJUE dans l’affaire Schrems II, l’année dernière, a précisé qu’il incombe à l’entreprise, qui transfère les données, de s’assurer que celles-ci restent suffisamment protégées dans la juridiction du pays vers lequel elles sont transférées. Si la Commission européenne a estimé que les données ne sont pas suffisamment protégées au Royaume-Uni, il sera difficile pour les entreprises de l’UE d’en juger autrement.
Quelles sont donc les mesures pratiques que les entreprises transfrontalières doivent prendre à la suite du Brexit ?
La position actuelle sur la loi et les transferts internationaux de données signifie que les entreprises transfrontalières n’ont plus rien à faire par rapport à ces questions.
D’autres mesures pratiques sont toutefois requises à la suite du Brexit pour les entreprises transfrontalières :
Cartographiez vos flux de données : même lorsque des garanties ne sont pas requises pour les transferts de données entre l’UE et le Royaume-Uni, il est important que ces flux de données soient cartographiés et documentés, afin que vous ayez une idée claire de l’endroit où vous traitez et transférez les données personnelles.
Mettez à jour vos contrats, avis et politiques : il est probable que ces documents ne fassent référence qu’au RGPD européen. Dans la mesure où le RGPD britannique s’appliquera également à votre entreprise en raison des dispositions extraterritoriales, il convient de l’intégrer également de manière appropriée.
Examinez si vous devez nommer un représentant au Royaume-Uni : le RGPD britannique comprend des dispositions qui reflètent le RGPD européen en ce qui concerne la désignation de représentants, ce qui signifie que, dans certaines circonstances, il sera nécessaire de nommer un représentant au Royaume-Uni.
Que réserve l’avenir aux entreprises transfrontalières opérant au Royaume-Uni ?
Les récents commentaires du gouvernement britannique suggèrent un éloignement de la position de l’UE en matière de protection des données ; toutefois, il reste à voir comment le gouvernement britannique y parviendra sans compromettre la capacité des données de circuler librement entre l’UE et le Royaume-Uni, dans le cadre de sa décision d’adéquation.
En attendant, les entreprises transfrontalières doivent s’assurer qu’elles connaissent leurs flux de données. Une idée claire de l’endroit où les données personnelles sont traitées, stockées et transférées permettra aux entreprises d’agir rapidement dans l’hypothèse d’une modification de la loi qui ne s’appliquerait qu’à une partie de leur base de données ou en cas de restriction future des transferts de données.
Comentarios