Après le départ du Royaume-Uni de l'UE, de nombreuses organisations se sont interrogées sur l'impact du Brexit sur le GDPR et sur les mesures à prendre pour se conformer aux nouvelles lois et réglementations.
Lorsque le GDPR est entré en vigueur le 25 mai 2018, il a signalé le plus grand bouleversement des lois sur la confidentialité des données depuis 20 ans. La législation a été conçue pour uniformiser les règles de protection des données dans l'Union européenne et pour reconnaître les droits des individus en ce qui concerne l'utilisation de leurs données personnelles.
Ces deux dernières années, les organisations ont consacré beaucoup de temps et d'efforts à l'amélioration des processus de protection des données et à la mise en œuvre de nouvelles mesures pour se conformer à la législation historique.
Cet engagement en faveur de la protection des données n'a pas été vain, car bon nombre des mesures prises resteront pertinentes et ne changeront pas la manière dont les entreprises basées au Royaume-Uni traitent les données des sujets se trouvant dans ce pays.
Toutefois, maintenant que le Royaume-Uni a officiellement quitté l'UE, les organisations devront évaluer les changements à apporter pour assurer la conformité avec la législation pertinente en matière de protection des données.
Pour répondre à toutes les questions que vous pourriez vous poser, nous avons élaboré un bref guide décrivant ce que ces changements peuvent signifier pour votre entreprise.
Brexit et GDPR - Tout ce que vous devez savoir
Le GDPR s'appliquera-t-il toujours au Royaume-Uni ?
Le1er janvier 2021, le GDPR de l'UE a cessé de s'appliquer au Royaume-Uni, puisqu'il s'agit d'un règlement européen. Cependant, si votre entreprise opère à l'intérieur du Royaume-Uni, vous devrez toujours vous conformer à la loi britannique sur la protection des données. Le gouvernement britannique a intégré le GDPR dans la législation britannique sous le nom de UK GDPR.
En pratique, cela signifie que très peu de choses ont changé. Quelques modifications ont été apportées pour tenir compte du statut du Royaume-Uni en dehors de l'UE, mais, pour l'essentiel, les principes, droits et obligations fondamentaux en matière de protection des données du GDPR restent les mêmes et ont été inscrits dans le GDPR britannique.
Le GDPR s'appliquera-t-il toujours si votre entreprise opère dans l'Espace économique européen (EEE) ?
Oui. Si votre entreprise opère en Europe, offre des biens ou des services à des personnes en Europe, ou si vous surveillez le comportement de personnes en Europe, alors le GDPR de l'UE s'appliquera toujours. Si votre organisation a des activités de traitement à la fois dans l'UE et au Royaume-Uni, vous devrez vous conformer à la fois au GDPR britannique et au GDPR européen.
Comment le Brexit affecte-t-il les transferts internationaux de données ?
Dans le cadre du nouvel accord commercial, l'UE a accepté de retarder les restrictions de transfert pour une période limitée de quatre mois maximum, qui peut être étendue à six. Ce mécanisme de transition permettra aux données personnelles de circuler librement de l'Espace économique européen (EEE) vers le Royaume-Uni jusqu'à ce qu'une décision d'adéquation soit prise.
Le Royaume-Uni ayant quitté l'UE, il est considéré comme un "pays tiers" à l'Europe en vertu du GDPR. Les pays tiers sont des États qui ne font pas partie de la zone GDPR de l'UE. Les transferts de données de l'UE vers les pays tiers sont soumis à des restrictions, à moins que la Commission européenne n'accorde un statut appelé "adéquation".
La Commission européenne accorde le statut d'adéquation aux pays dont le niveau de protection des données est jugé suffisant. Parmi les autres pays qui ont obtenu le statut d'adéquation de l'UE figurent l'Argentine, la Nouvelle-Zélande, Israël et le Japon. Si le Royaume-Uni obtient le statut d'adéquation, la libre circulation des données personnelles se poursuivra sans nouvelles restrictions.
L'UE sera-t-elle suffisante pour les transferts de données en provenance du Royaume-Uni ?
Oui. Le gouvernement britannique a confirmé qu'il reconnaîtra transitoirement l'UE comme adéquate pour permettre les flux de données en provenance du Royaume-Uni sans mécanismes de transfert supplémentaires.
Votre entreprise aura-t-elle besoin d'un représentant européen ?
Si votre entreprise offre des biens ou des services à des personnes de l'EEE ou si vous surveillez le comportement de personnes de l'EEE, vous devrez peut-être désigner un représentant de l'UE. De même, si votre entreprise n'est pas basée au Royaume-Uni mais que vous traitez les données personnelles de citoyens britanniques, vous devrez peut-être désigner un représentant britannique en vertu du GDPR britannique.
Quel sera le rôle de l'OIC ?
L'ICO restera l'organe indépendant de contrôle de la législation britannique en matière de protection des données. Toutefois, elle ne sera plus une autorité de contrôle de l'UE, de sorte que si vous traitez les données de citoyens de l'UE, vous devrez avoir un représentant de l'UE désigné. L'ICO a clairement indiqué que si vous traitez les données des citoyens de l'UE, vous devrez toujours vous conformer au GDPR.
Qui allez-vous avertir en cas de violation des données ?
Dans le cas d'une violation de données, une entreprise basée au Royaume-Uni contacterait l'ICO. Après le Brexit, l'ICO n'enquêtera que sur les incidents liés à la protection des données impliquant des personnes du Royaume-Uni. Si la violation implique plusieurs nationalités, l'ICO lancera une enquête et traitera avec les autorités de surveillance de chacun des territoires concernés. Si des personnes concernées de la CEE sont impliquées, vous devrez contacter directement les autorités de contrôle de l'UE concernées.
Les autres réglementations en matière de protection des données seront-elles affectées ?
DPA
La loi britannique sur la protection des données de 2018(DPA 2018) continuera de s'appliquer, en complément du GDPR britannique.
PECR
Le règlement de 2003 sur la protection de la vie privée et les communications électroniques (PECR) prévoit des règles pour le marketing, les cookies et les communications électroniques. Il s'agit d'une réglementation spécifique au Royaume-Uni, dérivée d'une loi européenne connue sous le nom de directive eprivacy (il est actuellement prévu de remplacer la directive eprivacy par le règlement ePrivacy). Le règlement PECR restera donc en place et ne sera pas affecté par le départ du Royaume-Uni de l'UE.
NIS
La directive sur la sécurité des systèmes d'information et des réseaux(NIS) découle également du droit communautaire, mais elle est énoncée dans les lois britanniques. À ce titre, les règles actuelles continueront de s'appliquer. Toutefois, si vous êtes un fournisseur de services numériques basé au Royaume-Uni et offrant des services dans l'UE, vous devrez peut-être désigner un représentant dans l'un des États membres de l'UE dans lequel vous fournissez des services.
eIDAS
Le règlement sur l'identification, l'authentification et les services de confiance électroniques est également une loi européenne, mais il ne s'applique plus au Royaume-Uni. Toutefois, le gouvernement britannique a déclaré qu'il incorporerait les règles eIDAS dans la législation britannique. Par conséquent, si vous êtes un prestataire de services fiduciaires britannique, vous devrez toujours vous conformer à ces règles. En outre, si vous fournissez des services dans l'UE, vous devrez également respecter les règles eIDAS dans les États membres de l'UE.
FOIA
La loi de 2000 sur la liberté d'information fait partie du droit britannique et continuera de s'appliquer.
EIR
Lesrèglements sur l'information environnementale font partie de la législation britannique et continueront à s'appliquer sauf s'ils sont abrogés ou modifiés.
Quelles mesures les entreprises doivent-elles prendre après le Brexit ?
Les organisations devront procéder à un examen détaillé de la confidentialité des données pour déterminer si des changements doivent être apportés. Si votre entreprise est basée au Royaume-Uni et offre des biens et services principalement à des clients britanniques, vous n'aurez pas grand-chose à faire. En revanche, si vous fournissez des biens et des services à la fois dans l'UE et au Royaume-Uni, des changements peuvent s'avérer nécessaires. Pour garantir la conformité avec la législation pertinente en matière de protection des données, votre entreprise doit :
- Cartographier les flux de données pour s'assurer que votre entreprise peut se conformer à la fois au GDPR britannique et au GDPR européen.
- Mettez à jour les registres de traitement pour répondre aux exigences du GDPR européen et du GDPR britannique.
- Évaluer s'il existe une autorité de surveillance de l'UE qui sera désormais qualifiée d'autorité de surveillance principale (LSA).
- Mettre à jour les plans d'intervention en cas de violation de la sécurité afin de permettre une éventuelle notification à l'ICO et à l'EU LSA en cas de violation.
- Déterminez si votre entreprise doit désigner un représentant au Royaume-Uni et/ou dans l'UE.
- Mettez à jour les avis de confidentialité pour vous assurer qu'ils détaillent les flux de données et couvrent les exigences pertinentes des deux législations.
- Modifier les contrats et les modèles existants pour y inclure les références appropriées au GDPR britannique et au GDPR européen.
- Examinez si les évaluations d'impact sur la protection des données et les évaluations de l'intérêt légitime devront être mises à jour pour se conformer au GDPR britannique.
- Veiller à ce que les garanties appropriées soient en place pour les flux de données transfrontaliers.
- Évaluez si vous devez désigner un délégué à la protection des données distinct pour le Royaume-Uni et pour l'UE.
