1 Mars, 2021
Brexit et RGPD : QUID de l’avenir de nos données personnelles ?
Les citoyens du Royaume-Uni ont décidé, en 2016, de ne plus appartenir à l’Union. Ce choix de ne plus appartenir à l’Union Européenne conduit à se questionner sur les règles juridiques applicables à un ressortissant européen sur le territoire britannique et plus particulièrement les droits de ces ressortissants au regard de leurs données personnelles.
Le Règlement Européenne pour la Protection des Données personnelles apporte une réponse en son article 1er. Il autorise la libre circulation des données personnelles au sein de l’Union Européenne. Pour assurer la protection de ces données durant la période transitoire, le droit de l’Union Européenne continue à s’appliquer. Ainsi, le cadre juridique apporté aux données personnelles s’applique également sur le sol britannique.
Au 1er Janvier 2021, le Royaume-Uni est devenu un état tiers de l’Union Européenne. La Commission Européenne et le Premier ministre britannique ont signé un accord commercial le 24 décembre 2020. Cet accord détermine les règles applicables dans certains domaines pour les relations entre le Royaume-Uni et l’Union Européenne. Parmi ces règles, certaines concernent la protection des données personnelles. Le texte autorise l’application du RGPD de manière transitoire au Royaume-Uni pour une durée supplémentaire de 6 mois. Ainsi, jusqu’au 1er juillet 2021, les entreprises britanniques ou les entreprises françaises qui disposent d’un serveur au Royaume-Uni doivent respecter le RGPD. Ainsi, ces entreprises françaises ont six mois pour transférer les données personnelles au sein de l’Union Européenne.
La fin du Guichet Unique
Depuis le 1er janvier 2021, le mécanisme du « Guichet Unique » ne s’applique plus au Royaume-Uni. Ce mécanisme permettait de faciliter les démarches pour les entreprises installées dans l’Union Européenne. Le but est de faciliter l’harmonisation des décisions lors de traitements transfrontaliers des données personnelles. Les entreprises s’appuient sur un organisme qui est l’interlocuteur unique pour les responsables de traitements et les sous-traitants.
Que se passera-t-il à partir du 1er juillet 2021 ?
Le Royaume-Uni étant devenu un état tiers doit, comme tout état tiers, obtenir une décision adéquate de la Commission Européenne pour pouvoir accueillir les données personnelles de citoyens européens. En l’absence de cette décision adéquate, toute société qui transférerait des données personnelles de citoyens européens sur le territoire britannique sera en infraction avec le RGPD. Donc, les entreprises qui disposent de serveurs au Royaume-Uni doivent faire rapatrier les données sur le territoire européen avant le 1er juillet.
L’autre hypothèse est qu’en l’absence de décision adéquate, les entreprises auront recours aux garanties adéquates énoncées par le RGPD. Les citoyens européens devront bénéficier de droits opposables ainsi que de voies de droits effectives (Article 46 RGPD).
Petits conseils : durant cette période transitoire, voici ce qu’une entreprise pourra entreprendre :
Illustration par starline - freepik
Fondatrice du cabinet de conseil et d'ingénierie LS Consulting, spécialiste en intelligence économique, juridique et numérique.