Le 1er janvier, le nouvel accord de commerce et de coopération UE-Royaume-Uni est entré en vigueur – fournissant la base juridique pour que le commerce entre les deux se poursuive.

Dans le cadre de cet accord de dernière minute, l’UE a accordé au Royaume-Uni une “ période de transition ” qui permet aux entreprises britanniques de continuer à traiter les données des consommateurs européens conformément au RGPD pendant une période de six mois.

À l’issue de cette période de grâce, l’UE devra prendre une décision d’adéquation pour que les entreprises britanniques continuent de transférer les données des consommateurs de l’UE vers le Royaume-Uni de la manière actuelle. Alors, qu’est-ce que cela signifie pour les entreprises britanniques?

GDPR UE VS. GDPR UK

Le nouvel accord commercial aboutit à la coexistence de deux versions du RGPD. Le RGPD de l’UE reste inchangé, mais le Royaume-Uni relève désormais de la compétence de sa propre version distincte du régime de protection des données – GDPR UK.

Malgré cette disparité juridique, pour le moment, les entreprises britanniques peuvent continuer à traiter les données des consommateurs européens comme si le Royaume-Uni était encore un État membre de l’UE. Cependant, une fois la “ période de transition ” de six mois terminée, les entreprises devront peut-être modifier leurs procédures pour garantir la conformité des données avec le RGPD UK et le RGPD UE.

La bonne nouvelle est que si une décision d’adéquation est prise, les transferts de données pourront se poursuivre sans qu’il soit nécessaire de mettre en œuvre des garanties supplémentaires. Ce serait le meilleur résultat pour les entreprises britanniques car cela entraînerait le moins de frictions.

La question de savoir si une décision d’adéquation peut être prise dépend autant du gouvernement britannique que de l’UE. Malheureusement, le gouvernement britannique n’a (jusqu’à présent) donné aucune garantie qu’il a l’intention de continuer avec GDPR UK dans son format actuel. Cette décision pourrait être un désastre pour l’accord d’adéquation.

Ce qui semble assez certain à ce stade, c’est que même une fois la période de transition terminée, les transferts de données du Royaume-Uni vers l’UE pourront se poursuivre sans changement. Cependant, le gouvernement britannique a admis que même cela est actuellement à l’étude.

Aucune adéquation?

Au cas où l’UE déciderait de ne pas prendre une décision d’adéquation, les entreprises britanniques seraient obligées de mettre en œuvre des garanties supplémentaires pour transférer légalement des données à travers la frontière UE-Royaume-Uni. Cela met carrément les entreprises britanniques dans les limbes, car elles ne peuvent pas savoir si elles doivent se préparer.

En conséquence, les conseillers juridiques de Dechert LLP sont déjà Attention que les entreprises qui comptent sur des transferts réguliers de données de l’UE vers le Royaume-Uni “seraient prudentes de mettre en place des mesures de repli pour se prémunir contre les interruptions du flux de données”.

Si aucune décision d’adéquation n’est prise dans le sixième mois, les entreprises devront avoir vérifié si elles relèvent du champ d’application du GDPR UK, du GDPR EU – ou potentiellement des deux. Dans le cas de ce dernier, les entreprises peuvent se retrouver avec des obligations de protection des données différentes dans chaque régime.

Les entreprises peuvent avoir besoin de nommer un nouveau représentant de la protection des données pour gérer formellement la conformité au sein de l’UE, et elles peuvent avoir besoin de mettre à jour les avis de confidentialité, les politiques internes, les contrats et autres documents pour refléter les obligations dans chaque juridiction.

En outre, les entreprises peuvent avoir besoin de modifier la base juridique sur laquelle elles s’appuient pour traiter les données légalement. Et ils peuvent avoir besoin de mettre en œuvre des garanties supplémentaires telles que des clauses contractuelles types, des règles d’entreprise contraignantes, des codes de conduite approuvés et des mesures de certification approuvées – afin de permettre le flux légal de données personnelles de l’UE vers le Royaume-Uni.

Ce scénario créerait beaucoup de paperasserie supplémentaire pour les organisations basées au Royaume-Uni, c’est pourquoi il est vital pour le gouvernement britannique de faciliter le plus rapidement possible la voie de la Commission européenne vers une décision d’adéquation.

Une décision d’adéquation est-elle probable?

On ne peut qu’espérer que la voie vers une décision d’adéquation au cours de la période de transition est là. Cependant, pour le moment, rien n’est garanti. De plus, les décisions antérieures en matière d’adéquation s’étalaient sur de longues périodes; un présage inquiétant. L’accord d’adéquation de l’UE avec le Japon, par exemple, a pris 18 mois pour être conclu.

La version britannique du RGPD, qui est adaptée par le UK Data Protection Act 2018 (DPA), pourrait lui-même potentiellement constituer un obstacle à la décision d’adéquation. La mise en œuvre originale du RGPD au Royaume-Uni – comme le permet la législation de l’UE pour tous les États membres – contient certaines dérogations.

Par exemple, la DPA du Royaume-Uni exempte l’application du RGPD dans les cas où le traitement des données est nécessaire pour sauvegarder la sécurité nationale ou à des fins de défense.

En tant que membre actif de l’UE, ces types de dérogations légalement autorisées n’étaient pas problématiques. Cependant, après le Brexit, il est possible que tout écart par rapport au règlement initial de l’UE puisse empêcher un accord d’adéquation.

En outre, l’UE a précisé que si le Royaume-Uni modifie les lois sur la protection des données qui étaient en vigueur au moment de l’accord commercial – ou choisit d’exercer certains pouvoirs contenus dans le DPA ou le RGPD UK sans le consentement du Conseil de partenariat de l’UE – le «période de transition» pourrait se terminer brusquement.

En fin de compte, tout se résume à savoir si le gouvernement britannique est prêt à continuer de mettre en œuvre les valeurs fondamentales de l’Union européenne en matière de confidentialité des données des consommateurs, et si la Commission européenne estime que la version britannique du RGPD, telle que conçue par DPA, est actuellement alignée sur le RGPD UE suffisamment pour permettre les transferts de données sans avoir besoin de garanties supplémentaires.

Malheureusement pour les entreprises britanniques, six mois est une période extrêmement courte. Et, si l’histoire est quelque chose à passer, une décision d’adéquation peut ne pas avoir été prise à la fin de la période de transition.

Leave a Reply