BREXIT & RGPD, LES SUITES DU FEUILLETON BRITANNIQUE

LE LIBRE-ECHANGE DES DONNEES EN SURSIS ENCORE 6 MOIS

Nous vous en parlions dans notre article sur le BREXIT et le RGPD du 09/04/2019 et c’est finalement l’issue favorable au « Deal » qui a été retenue  afin de maintenir le libre-échange des données à caractère personnel entre le Royaume-Uni et l’Union européenne.

Cela est peu étonnant tant l’on sait l’importance accordée par les institutions britanniques au libre-échange de la « data » entre les deux territoires. Elles avaient fait connaître dès 2018 leur ferme intention de maintenir applicables, quoi qu’il advienne, toutes les dispositions du RGPD aux entreprises britanniques au travers du Data Protection Act (DPA). Des enjeux économiques colossaux se cachent derrière cela (que certains évaluent déjà à près de 1,5 milliards £ pour les entreprises britanniques).

C’est désormais chose (provisoirement) acquise puisque l’accord bilatéral du 24 décembre 2020 vient consentir un sursis de 6 mois aux transferts de données UE-RU, en maintenant l’applicabilité du RGPD en Angleterre, Ecosse, Pays de Galles et Irlande du Nord (l’EIRE restant bien évidemment un Etat-membre de l’UE).

C’est donc un statu quo en matière de transferts de données à caractère personnel vers le territoire britannique jusqu’au 1^er juillet 2021. Tout transfert de données vers le Royaume-Uni continuera donc de se faire dans le cadre actuel, sans besoin d’encadrement particulier.

LA FIN DU « GUICHET UNIQUE » POUR LES ENTREPRISES BRITANNIQUES

Seul changement à l’issue de cet accord, le mécanisme de « guichet unique » ne sera plus applicable au Royaume-Uni à partir du 1^er janvier 2021 et l’ICO, l’autorité britannique de protection des données, n’y participera donc plus.

Le système de « guichet unique » a pour but de faciliter les démarches en matière de transferts transfrontaliers intra-UE. Il permet notamment une harmonisation des décisions grâce à la désignation d’une autorité chef de file comme unique interlocuteur pour les responsables de traitements dans l’accomplissement de leurs différentes obligations prévues par le RGPD.

Pour en savoir plus sur le guichet unique : https://www.cnil.fr/fr/le-guichet-unique

Désormais, les entreprises établies uniquement au Royaume-Uni (sans entité au sein de l’UE) dont les activités de traitement de données sont encadrées par l’article 3 §2 du RGPD seront tenues de désigner un représentant au sein de l’Union, conformément à l’article 27 du même Règlement.

Ce représentant devra être désigné par écrit (sous forme de mandat) et établi dans au moins un des États membres dans lesquels se trouvent les personnes concernées par le(s) activité(s) de traitement soumises à l’application de l’article 3 §2 du RGPD. Il représente le responsable de traitement ou le sous-traitant mandant (et établi hors UE) auprès des autorités de contrôle et des personnes concernées au sein de l’UE. Cette représentation peut être complémentaire ou substitutive.

VERS UNE DECISION D’ADEQUATION POUR LE ROYAUME-UNI ?

Les acteurs de l’accord du 24 décembre, notamment côté britannique, n’ont pas caché leur objectif : laisser le temps au Royaume-Uni d’obtenir, à terme, une fameuse « décision d’adéquation » de la Commission européenne. Une demande en ce sens a été formulée par le Royaume-Uni et est actuellement à l’étude par la Commission. Il est encore tôt pour garantir le succès de cette demande. Il est évident qu’une telle décision profiterait au libre-échange de la donnée entre les deux zones géographiques voisines.

Conformément à l’article 45 du RGPD, la « décision d’adéquation » constitue l’un des premiers outils juridiques d’encadrement des transferts de données hors territoire de l’UE. Sur la base d’un examen très complet d’une législation en vigueur, la Commission européenne peut dès lors constater, par voie de décision, qu’un pays tiers (ou l’un de ses territoires ou l’un de ses secteurs d’activité), ou encore une organisation internationale, assure un niveau de protection adéquat des données à caractère personnel.

Dans un tel cas de figure, la décision d’adéquation permet le transfert de données à caractère personnel vers ce pays tiers (ou son territoire ou les entreprises de son secteur d’activité) ou cette organisation internationale sans autorisation ou formalisme spécifique.

Aujourd’hui, seuls le Japon, la Suisse, la Nouvelle-Zélande, l’Israël, l’Île de Man, Jersey, Guernesey, l’Andorre, les Îles Féroé, l’Uruguay et l’Argentine bénéficient d’une décision d’adéquation de la Commission européenne. Avec ces pays, il est donc possible de faire circuler librement des flux de données personnelles, dans le respect des dispositions du RGPD et de la législation en vigueur dans le pays concerné.

A l’inverse, en l’absence d’une telle décision et conformément à l’article 46 du RGPD, des « garanties appropriées » devront être prises par les entreprises mettant en œuvre de tels transferts. Ces instruments juridiques garantissent les personnes concernées d’un transfert encadré et adéquat en matière de protection de données personnelles.

En outre, sans décision d’adéquation adoptée par la Commission européenne envers le Royaume-Uni avant le 1^er juillet 2021, ce dernier sera alors identifié comme un simple « pays tiers » au regard du RGPD. Les transferts de données de l’UE vers le Royaume-Uni devront ainsi obéir aux dispositions du Chapitre V du RGPD et, sauf dérogation, les entreprises mettant en place ces transferts devront prendre des « garanties appropriées ».

Pour en savoir plus sur les solutions d’encadrement de vos transferts de données vers des pays tiers, vous pouvez vous reporter à notre article sur le BREXIT et le RGPD du 09/04/2019.

La balle est désormais dans le camp de la Commission européenne… Deal ou No Deal ?

Avoconseil, au travers de son offre Avodata, reste à votre écoute et se tient prêt à vous accompagner dans l’ensemble de ces démarches RGPD post-Brexit.