Brexit : quelles conséquences pour le RGPD ?
- A la uneA l’occasion de la signature de l’Accord de commerce et de coopération entre le Royaume-Uni et l’Union européenne le 24 décembre 2020, nous faisons le point sur les conséquences du Brexit sur l’application du RGPD au Royaume-Uni et sur les bonnes pratiques à adopter en tant que responsable de traitement.
.
Quelles conséquences sur les transferts de données à caractère personnel vers le Royaume-Uni ?
Le maintien temporaire du RGPD
L’application du RGPD au Royaume-Uni a été prolongée jusqu’au 1er juillet 2021 : au-delà de cette période, ce pays sera considéré comme un Etat tiers et des garanties appropriées seront donc nécessaires pour y transférer des données personnelles.
Jusqu’au 30 juin prochain, rien ne change : tout responsable de traitement établi au sein de l’UE peut poursuivre ses traitements vers le Royaume-Uni comme il faisait jusqu’à présent.
La nécessité de régulariser des clauses contractuelles types
Toutefois, il est important d’utiliser cette période de transition pour mettre en place en temps voulu les outils nécessaires à la poursuite des transferts de données personnelles vers le Royaume-Uni.
À compter du 1er juillet 2021, pour encadrer ces transferts, il sera nécessaire de signer et d’intégrer aux contrats un avenant reproduisant les clauses contractuelles types publiées par la Commission européenne.
Pour cela, le responsable de traitement doit procéder en amont à un travail d’identification. Il s’agit de vérifier :
- « quels partenaires commerciaux sont établis au Royaume-Uni ? » ; mais aussi
- « quels contrats impliquent des transferts de données personnelles vers le Royaume-Uni ? ».
Il conviendra ensuite d’identifier les types de données personnelles faisant l’objet de transferts afin de compléter les clauses adéquatement.
En pratique, le responsable de traitement doit donc impérativement :
- identifier les contrats impliquant des transferts de données personnelles vers le Royaume-Uni ;
- identifier les flux de données personnelles transférées vers le Royaume-Uni ; et
- mettre en place les clauses contractuelles types avec ses partenaires.
.
Quelles conséquences lorsque le responsable de traitement est établi au Royaume-Uni ?
La fin du guichet unique
Le Brexit marque également la fin du mécanisme de guichet unique instauré par le RGPD, à la date d’effectivité du Brexit.
Ainsi, à compter du 1er janvier 2021, tous les responsables de traitement établis au Royaume-Uni exerçant des activités vers l’UE et donc soumis aux obligations du RGPD sont tenus de désigner un représentant établi au sein du territoire de l’UE.
Vers de nouvelles clauses contractuelles types britanniques
Concernant les transferts de données personnelles du Royaume-Uni vers l’Union européenne, les clauses contractuelles types publiées par la Commission européenne demeurent valables jusqu’au 1er juillet 2021.
Au-delà de cette période, les transferts devront reposer sur un mécanisme conforme à la législation britannique. L’autorité de contrôle britannique (ICO) a indiqué que des clauses encadrant les transferts du Royaume-Uni vers l’UE seraient publiées dans les prochains mois.