En cas de Brexit sans accord, tous les règlements européens cesseront de s’appliquer au Royaume-Uni à compter du 1er novembre 2019, y compris le Règlement général sur la protection des données (RGPD).

Toutefois, l’application du RGPD ne se limite pas aux seules entités établies sur le territoire de l’Union européenne. En vertu de l’article 3 du RGPD, les entités établies en dehors de l’UE sont soumises au règlement dès lors que leurs activités de traitement sont liées :

  • à l’offre de biens ou de services à des personnes dans l’UE, à titre gratuit ou onéreux ; ou
  • au suivi du comportement des personnes, dans la mesure où il s’agit d’un comportement ayant lieu au sein de l’UE.

Dans ce contexte, l’autorité de contrôle britannique, l’Information Commissionner Officer (ICO) a publié une checklist afin d’assister les entités britanniques dans la poursuite de leur conformité.

Mathias Avocats vous expose les étapes clés à retenir.

1. Continuez à se conformer aux dispositions du RGPD après le Brexit

Si le Royaume-Uni sort de l’Union sans accord, le gouvernement britannique envisage d’intégrer les dispositions du RGPD en droit britannique, avec certaines modifications destinées à l’adaptation du contenu au Royaume-Uni, comme par exemple le retrait des dispositions concernant les institutions européennes.

L’ICO souligne que la majorité des obligations pesant actuellement sur les entités britanniques soumises au RGPD devraient rester les mêmes. Dès lors, l’autorité recommande aux entités britanniques de continuer à se conformer aux dispositions du RGPD.

2. Désignez, le cas échéant, un représentant dans l’Union européenne

En vertu de l’article 27 du RGPD, les entités qui ne sont pas établies dans l’Union doit désigner un représentant dès lors qu’elles ont des activités de traitement liées à l’offre de biens ou des services à des personnes dans l’UE ou au suivi de leur comportement.

Dès lors, tout responsable du traitement ou sous-traitant britannique n’ayant pas d’établissement dans l’UE mais dont les activités de traitement entrent dans le champ d’application du RGPD devra désigner un représentant, personne physique ou morale.

Rappelons que ce représentant doit être établi dans un Etat membre où se trouvent des personnes dont les données font l’objet d’un traitement.

3. Déterminez si votre entité pourra continuer à bénéficier du système de guichet unique

Le système de guichet unique permet aux entités qui mettent en œuvre des traitements transfrontaliers d’avoir un interlocuteur unique dans l’Union, dénommé autorité de chef de file.

Au sens de l’article 4, 23 du RGPD, les traitements transfrontaliers sont :

  • les traitements mis en œuvre par une entité établie dans plusieurs Etats membres ; ou
  • les traitements mis en œuvre par une entité établie dans un seul Etat membre mais qui affectent ou sont susceptibles d’affecter sensiblement des personnes d’au moins un autre Etat membre.

Dès lors, seules les entités possédant au moins un établissement dans l’UE peuvent bénéficier de ce mécanisme.

Après le Brexit, l’ICO ne fera plus partie du système de guichet unique. Aussi, les entités dont l’autorité chef de file est actuellement l’ICO devront analyser leurs activités de traitement afin de :

  • déterminer si elles pourront continuer à bénéficier du système de guichet unique et
  • le cas échéant, désigner une nouvelle autorité chef de file pour leurs traitements transfrontaliers au sens de l’article 4, 23 du RGPD.

A ce titre, le Comité européen de la protection des données (CEPD) a publié des lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant.

Il est à noter que dans le cas où il n’est pas possible de désigner une autorité chef de file, les entités ayant des activités de traitement dans plusieurs Etats membres sont susceptibles d’avoir plusieurs autorités européennes comme interlocuteur.

4. Identifiez les transferts de données en provenance de l’EEE

Le Royaume-Uni deviendra un pays tiers à l’UE à compter du 1er novembre 2019. Cela signifie que les transferts de données au Royaume-Uni en provenance l’Espace Economique Européen (EEE) seront encadrés par les articles 44 à 49 du RGPD.

Pour en savoir plus sur le régime applicable aux transferts de données à des pays tiers, nous vous invitons à consulter notre article « Brexit et transfert de données au Royaume-Uni ».

5. Identifiez vos transferts de données à destination de l’EEE

En ce qui concerne les transferts de données à destination l’EEE, le gouvernement britannique a déclaré qu’ils ne seront pas restreints après le Brexit.

Dans ce contexte, l’ICO rappelle que ces transferts peuvent continuer à s’opérer sans exigence supplémentaire.

6. Mettez à jour les mentions d’information et le registre des activités de traitement

L’ICO précise que les exigences en matière de l’information des personnes concernées et de la tenue du registre des activités de traitement ne devraient pas changer. Toutefois, elle souligne la nécessité de les mettre à jour afin de remplacer la terminologie européenne par celle britannique.

Cette mise à jour sera également nécessaire pour refléter les changements en matière de transferts de données entre le Royaume-Uni et l’EEE.

7. Sensibilisez les collaborateurs et les personnes clés de votre entité sur les conséquences du Brexit

Enfin, l’ICO conseille de sensibiliser les opérationnels sur les conséquences du Brexit notamment dans le cas où votre entité a des relations commerciales établies avec l’Union européenne. Informer les collaborateurs et les personnes clés de votre entité sur les étapes préconisées par l’ICO permettra d’assurer la bonne exécution de votre plan d’action en matière de protection des données pour anticiper le Brexit.

Mathias Avocats se tient à votre disposition pour vous assister dans vos projets et votre conformité post Brexit.