Il n’aura pas fallu plus de deux ans après l’entrée en vigueur du RGPD au sein de l’Union Européenne pour que le règlement ne vive son premier rebondissement.

Si sa complexe mise en œuvre ou les doutes émanant de certaines règles n’ont pas eu raison de son bon fonctionnement, la sortie du Royaume-Uni de l’Union pourrait bien venir chambouler le régime mis en place.

En effet, depuis le 31 janvier 2020, minuit heure de Bruxelles, le Royaume-Uni est livré à lui-même.

Quelles conséquences cette sortie a-t-elle au regard du RGPD ?

Avant toute chose, il convient de rappeler que cette sortie est le fruit d’une longue négociation aboutissant à un retrait qui assurerait une sécurité juridique malgré la fin de l’application des lois du droit de l’Union.

Ainsi, une période transitoire a été mise en place et ce jusqu’au 31 décembre 2020, renouvelable 1 fois pour une durée d’un ou deux ans. Elle permet de trouver des solutions à long terme sans pour autant avoir une coupure brutale avec le droit européen. Dans l’immédiat, il n’y a donc pas de changement perceptible dans les relations économiques avec le Royaume-Uni.

Concrètement, il sera considéré comme un pays tiers tout en continuant de respecter les règlements applicables avant sa sortie.

La France a ainsi déjà établi qu’aucune formalité additionnelle ne serait nécessaire pour les organismes en France ou au Royaume-Uni. De même, les transferts de données ne seront soumis à aucun encadrement supplémentaire.

Le gouvernement anglais a quant à lui rappelé son attachement aux règles du RGPD en s’engageant à « maintenir la stabilité des transferts de données entre les Etats membres de l’Union Européenne et le Royaume-Uni ».

Cette solution provisoire ne saurait cependant perdurer et il est nécessaire d’œuvrer pour organiser durablement les échanges et garantir un partenariat équitable pour l’avenir.

L’article 3 du RGPD est particulièrement éclairant à ce sujet puisqu’il énonce que le règlement peut s’appliquer aux responsables de traitements situés en dehors de l’Union lorsque leurs activités de traitement sont liées :

  1. A l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
  2. Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

Les responsables de traitements devront à ce titre respecter le RGPD et ce, malgré la sortie de l’Union. Des représentants seront donc assignés au sein de l’espace économique européen pour s’assurer de leur compliance à ce niveau.

De même, le gouvernement britannique a l’intention d’intégrer le RGPD à son droit interne, avec des modifications nécessaires pour adapter ses dispositions au Royaume-Uni (le « UK GDPR »). Il sera accompagné d’une version modifiée du Data Protection Act de 2018. Cette solution idéale n’est cependant pas la seule envisageable et à l’heure actuelle, un flou juridique perdure.

En effet, il est probable que les négociations n’aboutissent pas et que la période transitoire se termine sur un « no-deal ». Cette situation ne signerait cependant pas la fin totale des relations économiques avec le Royaume-Uni. Dans ce cas, d’autres procédures, plus ou moins complexes, sont prévues au sein de l’Union pour organiser le régime.

Il conviendra alors à la Commission européenne d’intervenir pour établir que le Royaume-Uni assure un niveau de protection adéquat pour continuer à collaborer.

Dans le cas contraire, il devra se tourner vers d’autres solutions : Certificats européens, clauses contractuelles, code de conduite ou encore des règles d’entreprise contraignantes (BCR).

A l’aube de la sortie du pays, la question de l’application de RGPD est donc encore loin d’être réglée. Il faudra s’armer de patience pour savoir quel avenir sera réservé outre-Manche à la protection des Données.

Pour toute question à ce sujet, votre avocat est disponible pour vous conseiller et vous assister.

Capucine D.