
Alors que le Brexit prendra effet le 1er janvier 2021, le Royaume-Uni et l'Union européenne se sont accordés sur l'application du Règlement général pour la protection des données personnelles (RGDP), rapporte la Commission nationale de l'informatique et des libertés (Cnil). Ainsi, ce texte restera applicable de "manière transitoire" au Royaume-Uni jusqu'en juillet 2021 maximum.
Bientôt un pays tiers ?
A l'issue de cette période de 6 mois, toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers dans le cas où la Commission européenne ne prendrait pas "une décision d'adéquation". Ce mécanisme permet de reconnaitre qu'un Etat situé en dehors de l'Union européenne assure un niveau de protection adéquat des données personnelles.
Mais cette décision d'adéquation est très loin d'être acquise, principalement en raison des préoccupations de l'UE et de la société civile concernant le régime de surveillance du Royaume-Uni et de son adhésion à l'alliance pour le renseignement militaire "Five Eyes" avec l'Australie, le Canada, la Nouvelle-Zélande et les États-Unis.
"Nous ne savons pas si le Royaume-Uni va introduire ou non, dans sa législation nationale, des changements qui pourraient s'écarter de la ligne générale du RGPD", expliquait la vice-présidente de la Commission européenne chargée des valeurs et de la transparence, Vera Jourová, au début de l'année. En effet, le Premier ministre Boris Johnson a suggéré à plusieurs reprises que le Royaume-Uni opterait sûrement pour une réglementaire plus légère que le RGPD, une fois sortie de l'UE.
Un coût d'1,8 milliard d'euros en l'absence d'accord
Les conséquences pourraient être dramatiques pour les entreprises britanniques. En effet, une étude menée par le groupe de réflexion New Economics Foundation et l'University College London estime que ces sociétés devront payer jusqu'à 1,8 milliard d'euros si le gouvernement de Boris Johnson ne parvient pas à convaincre l'Union européenne d'accorder une décision d'adéquation.
Par ailleurs, malgré l'accord conclu, le mécanisme du "guichet unique" – qui a pour vocation d'harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers – ne sera plus applicable au Royaume-Uni à partir du 1er janvier 2021.
Nommer un représentant de l'Union
Par conséquent, les responsables du traitement et les sous-traitants établis uniquement au Royaume-Uni et dont les activités de traitement sont soumises à l'application du RGPD doivent désigner "un représentant de l'Union". En revanche, les responsables du traitement ou sous-traitants peuvent bénéficier du mécanisme du guichet unique pour les cas transfrontaliers dès lors qu’ils possèdent un établissement principal établi dans l’Espace économique européen (EEE).
Réagir