Au 31 janvier 2020 le Brexit (British Exit) était devenu une réalité. À compter de cette date, le Royaume Uni n’est plus un État membre de l’Union européenne après 47 ans de vie commune.
Cependant, la rupture s’est faite en douceur avec anticipation des effets à venir.
En application de l’accord de retrait, une période de transition a été mise en place jusqu’au 31 décembre 2020, période pendant laquelle l’Union européenne et le Royaume-Uni ont maintenu des liens étroits, garantissant notamment le principe de libre circulation des biens, des personnes et des données.
En effet, selon cet accord, les dispositions du Règlement Général sur la Protection des Données (RGPD) devraient continuées à s’appliquer au Royaume-Uni jusqu’au 31 décembre 2020.
Après de longs pourparlers, à une semaine de la fin de la période de transition, le 24 décembre 2020, le Royaume-Uni et l’Union européenne sont finalement parvenus à un accord de commerce et de coopération. Ce texte d’environ 1 300 pages prend la forme d’un accord économique encadrant leur nouvelle relation commerciale et permettant la levée des barrières douanières.
Au 1er janvier 2021, le Royaume-Uni quitte officiellement le marché unique européen et l’Union douanière et ses relations avec l’Union européenne sont régies par cet accord de commerce et de coopération.
Les dispositions évoquées y sont nombreuses, mais certaines touchent directement les sujets liés aux nouvelles technologies, notamment la protection des données personnelles.
Dans le cadre de cet accord, il a été convenu que le règlement européen pour la protection des données personnelles (RGPD) restera applicable de manière transitoire au Royaume-Uni pour une durée supplémentaire maximale de 6 mois.
Ainsi, « jusqu’au 1er Juillet 2021 toute communication de données personnelles vers le Royaume-Uni continuera de se faire dans le cadre actuel et ne sera pas considérée comme un transfert de données vers un pays tiers. », nous explique la Commission National Informatique et Libertés (CNIL) dans un communiqué du 28 décembre 2020[1].
Cet accord n’a pas d’incidence sur les formalités à accomplir par les organismes français ou britanniques puisqu’aucune formalité supplémentaire n’est nécessaire.
À l’expiration de ce délai de transition, à moins qu’une décision n’intervienne de la part de la Commission européenne, toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers.
A ce titre le transfert de données vers le Royaume Uni sera soumis aux règles de protection des données prévues par le RGPD telles que l’utilisation des clauses contractuelles types, les règles d’entreprises contraignantes etc. [2]
Cette situation pourrait effectivement être remise en cause par l’intervention d’une décision dite d’adéquation par la Commission européenne, qui se porterait garante d’un niveau de protection des données suffisant et approprié au Royaume Uni comme fut le cas du Privacy Shield, qui encadrait les transferts de données personnelles entre l’Union européenne et les Etats-Unis. La prise de décision d’adéquation se fait sous le contrôle a posteriori de la Cour de Justice de l’Union Européenne qui se réserve le droit de l’invalider, à l’instar du Privacy Shield invalidé le 16 juillet 2020[3].
L’accord de transition n’empêchera cependant pas la fin du « guichet unique » pour les responsables de traitement et les sous-traitants.
En effet, le guichet unique qui facilite les démarches pour les entreprises établies dans l’Union européenne dans le cadre des traitements de données, n’est plus applicable au Royaume-Uni à partir du 1er janvier 2021 et l’autorité britannique de protection des données (ICO) n’y participe plus.
Ainsi, les responsables du traitement et les sous-traitants établis uniquement au Royaume-Uni et dont les activités de traitement sont soumises à l’application du RGPD en vertu de l’article 3, paragraphe 2, du RGPD sont tenus à partir du 1er janvier 2021 de désigner un représentant dans l’Union conformément à l’article 27 du RGPD.
Maeva L
[1] https://www.cnil.fr/fr/brexit-le-rgpd-reste-applicable-au-royaume-uni-jusquau-1er-juillet-2021
[2] https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
[3] https://www.cnil.fr/fr/invalidation-du-privacy-shield-la-cnil-et-ses-homologues-analysent-actuellement-ses-consequences