Qu’advient-il du Règlement général sur la protection des données personnelles (RGPD) vis-à-vis du Royaume-Uni à présent que celui-ci ne fait plus partie de l’Union européenne ? Depuis le 31 janvier 2020, date officielle du Brexit, le Royaume-Uni est entré dans une période transitoire durant laquelle le droit de l’Union européenne continue de s’appliquer jusqu’au 31 décembre 2020. Quelques jours avant cette échéance, les deux parties ont convenu le 28 décembre que le RGPD serait prolongé de six mois, c'est-à-dire jusqu'au 1er juillet 2021. Après cette date, plusieurs options se profilent concernant le cadre réglementaire de la protection des données.
1 - Un probable contrat-cadre dans six mois
Le prolongement du RGPD au Royaume-Uni n'est pas une surprise car cette disposition était prévue. Selon Alexandre Lazarègue, avocat spécialisé en droit du numérique, le scénario le plus probable serait que le Royaume-Uni conclut entre temps un contrat-cadre avec l’Union européenne qui répliquerait les dispositions du RGPD. Dans ce scénario, les citoyens européens qui verraient leurs données personnelles transférées de l’Union européenne au Royaume-Uni bénéficieraient exactement de la même protection qu'avec le RGPD.
Un tel contrat-cadre pourrait être conclu rapidement selon l’avocat, qui table sur six mois pour obtenir un résultat "assez concret". Ce délai serait relativement court car le Royaume-Uni étant précédemment membre de l’UE, il est déjà au niveau des exigences du RGPD. Quelques autres contrat-cadres de ce type ont déjà été noués avec l’UE. Ils concernent l’Argentine, Israël, ou encore le Canada. Une négociation est en cours avec le Maroc.
2 - Des dispositifs déjà existants au Royaume-Uni
Le Royaume-Uni est déjà préparé à l’après RGPD car il y existe déjà des dispositifs de protection de données personnelles : le Data Protection Act ainsi que le Privacy and electronic communication regulations. Ces lois britanniques reprennent point par point le RGPD, à quelques différences près concernant les données des administrations. En effet, les lois britanniques – par prévention du terrorisme – sont plus souples à l’égard de plusieurs instances comme les autorités chargées de l’application de la loi, l’Information commissioner’s office (ICO) ainsi que la défense.
3 - RGPD et pays tiers
Si aucun accord de substitution n'est trouvé après le 1er juillet 2021, les transferts de données personnelles issues de l'Union européenne vers le Royaume-Uni devront respecter les dispositions du RGPD relatifs aux transferts de données vers les pays tiers. « Dans l’attente que la Commission européenne reconnaisse que le Royaume Uni garantit un niveau de protection adéquat, les flux de données personnelles vers le Royaume-Uni devront être encadrés au moyen de garanties appropriées prévues par le RGPD pour les transferts vers les pays tiers, » ajoute Alexandre Lazarègue.
Concrètement, les entreprises devront alors s’adapter à différents niveaux. Les multinationales auront la possibilité de mettre en place des règles d’entreprise contraignantes (des building cooperation rules) qui permettent de transmettre des données entre les filiales UE et hors UE dans un cadre contrôlé. Les plus petites entreprises devront pour leur part mettre en place des clauses contractuelles qui permettent aux exportateurs et importateurs de données d'être en conformité avec les standards européens pour tous les transferts rattachés au contrat.
Enfin, Alexandre Lazarègue insiste sur la nécessité pour les entreprises de mettre à jour leur registre de traitement des données personnelles. Selon l'article 30 du RGPD, « ce registre documente les traitements au moyen d’une fiche établie pour chaque activité de traitement et précise notamment les transferts vers un pays tiers et les garanties prévues pour ces transferts. Il importe donc de mettre à jour la documentation interne afin d’y inscrire les transferts vers le Royaume-Uni à compter de la date de retrait. »
