Droit européen. Sans préjudice d’une possible période de transition encore en discussion, il est acquis qu’à partir du 30 mars 2019, premier jour où le Royaume-Uni sera effectivement sorti de l’UE, tout transfert de données à caractère personnel (DCP) vers le RU devra être réalisé conformément à :
– une éventuelle décision d’adéquation de la Commission européenne ; ou
– la présentation de garanties appropriées par le responsable du traitement ou le sous-traitant telles que :
- des clauses contractuelles type fournies par la Commission européenne ; ou
- des Binding Corporate Rules (BCR), qui sont des accords en matière de protection de DCP approuvés par une autorité de contrôle compétente applicable à l’ensemble des entreprises d’un même groupe ; ou
- des codes de conduite ou des certifications ; ou
- des dérogations spécifiques : consentement de la personne concernée, exécution d’un contrat, exercice des droits de la défense ou pour un motif d’intérêt public.
Le RGPD entrera en application le 25 mai 2018. Or, à cette date le RU sera encore membre de l’UE et sera tenu à ce titre de l’appliquer en tant qu’Etat membre jusqu’à la date de sortie ou la fin d’une possible période de transition.. A cet égard, sans attendre le 30 mars 2019, il faut d’ores-et-déjà se référer aujourd’hui aux principes de la Commission du 20 septembre 2017 portant sur l’utilisation des données et la protection des informations obtenues ou traitées avant la date de sortie du RU.
Droit anglais. En outre, le gouvernement britannique a annoncé le 7 août 2017 son intention de réformer la législation nationale en matière de DCP. A cet égard, le ministre Matt Hancock a déclaré que les dispositions du RGPD favorables à la protection des DCP devraient être reprises, mais dans le respect des intérêts des acteurs de l’économie numérique nationale et sans leur imposer des contraintes réglementaires excessives.
Recommandation. En tout état de cause et quelle que soit l’issue des négociations entre l’UE et le RU, ainsi que des projets de réforme de la loi anglaise, il est vivement conseillé aujourd’hui à tout responsable de traitement ou sous-traitant ayant des relations commerciales avec des entreprises britanniques d’analyser l’opportunité de désigner un délégué à la protection des données (DPO)[1] ou du moins un représentant domicilié sur le territoire français (cf. RGPD art. 27 relatif aux responsables de traitement ou sous-traitants non établis dans l’UE), ainsi que de mettre en place un encadrement des transferts de DCP vers le RU.
[1] Le DPO ne pourra être localisé au RU que si le responsable de traitement ou le sous-traitant ne possède pas d’établissement dans l’UE (cf. G29 avis WP243 du 13 déc. 2016 sur le DPO p. 13).
Lire aussi :
Brexit – Accord sur les conditions de sortie
Propriété intellectuelle et Technologies de l’information : lettre d’information Juillet – Août 2017