Brexit et protection des données personnelles : le RPGD demeure applicable au Royaume-Uni jusqu’au 1er juillet 2021, à l’exception du mécanisme du « guichet unique »
Corinne Thiérache et Alice Marie
• Maintien provisoire du RGPD au Royaume-Uni
L’accord de commerce et de coopération entre le Royaume-Uni et l’Union européenne, finalement conclu le 24 décembre 2020 après de nombreux mois de négociation intense et seulement quelques jours avant la date fatidique de l’Exit Day du 31 décembre 2020, est entré en application provisoire le 1er janvier 2021.
En vertu de cet accord, le règlement européen pour la protection des données personnelles (RGPD) reste applicable de manière transitoire au Royaume-Uni pour une durée supplémentaire de 4 mois, prolongée de 2 mois (sauf si le Royaume-Uni ou l’Union européenne s’y oppose), soit jusqu’au 1er juillet 2021 au plus tard, et à condition que :
o la législation en matière de protection des données incorporée dans le droit britannique par le European Union Act 2018 et telle que modifiée par la réglementation de 2019 sur la protection des données, la vie privée et les communications électroniques continue de s’appliquer ;
o le Royaume-Uni ne modifie pas cette législation sans une procédure de consultation ayant débouché sur l’approbation de la modification par l’Union européenne.
Passé ce délai, et à défaut de décision de la Commission européenne autorisant de façon générale les transferts de données personnelles (décision dite « d’adéquation »), toute communication de données personnelles vers le Royaume-Uni devra être considérée comme un transfert de données vers un pays tiers, c’est-à-dire situé hors de l’Union européenne.
Pour transférer des données personnelles en dehors de l’Union européenne, il conviendra alors de suivre les recommandations édictées par le Comité européen de la protection des données (EDPB), dont la version finale n’est toujours pas publiée à ce jour malgré la clôture de la consultation publique le 21 décembre 2020, et prises à la suite de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne le 16 juillet dernier. En particulier, la mise en place de garanties appropriées sera nécessaire (mesures techniques, contractuelles et organisationnelles) et les ressortissants européens devront disposer de droits opposables et de voies de droit effectives, conformément aux dispositions de l’article 46 du RGPD.
• Fin de l’application du mécanisme de « guichet unique » au Royaume-Uni
Malgré la conclusion de cet accord, le mécanisme de supervision et de coopération réglementaire du « guichet unique », qui a vocation à faciliter les démarches pour les entreprises établies dans l’Union européenne en s’appuyant sur une autorité chef de file, n’est plus applicable au Royaume-Uni depuis le 1er janvier 2021 ; l’autorité britannique de protection des données (ICO) ne pourra donc plus y participer.
Dès lors, les responsables de traitement et les sous-traitants établis uniquement au Royaume-Uni et dont les activités sont soumises au RGPD sont tenus depuis le 1er janvier 2021 de désigner un représentant, c’est-à-dire une personne physique ou morale établie au sein de l’Union européenne mandatée pour être « la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable de traitement ou du sous-traitant, pour toutes les questions relatives au traitement », conformément aux dispositions de l’article 27 du RGPD.
Bien que ce « sursis » soit appréciable pour les responsables de traitement, les avocats d’Alerion du Département Protection des données personnelles peuvent assister leurs clients dans l’encadrement des transferts de données effectués vers le Royaume-Uni dans l’hypothèse où aucune décision d’adéquation ne serait prise avant le 1er juillet 2021.
Pour connaître les impacts du Brexit sur vos droits de propriété intellectuelle, nous vous invitons à consulter notre article du 14 décembre dernier.
Corinne Thiérache, Associée, et Alice Marie, Avocate.