Optimex Data présente les enjeux pour les organismes suite avec le Brexit et RGPD.
Brexit et RGPD
Vous le savez, le Royaume-Uni a décidé de quitter l’Union européenne : cette sortie est prévue pour le 31 janvier 2021 à minuit. Récemment, il a été convenu d’un accord entre le Royaume-Uni et l’Union Européenne pour que le RGPD reste applicable au sein du pays, pour une durée de 6 mois maximum, pendant laquelle les données pourront continuer à y être transférées.
Pour autant, le mécanisme du « guichet unique » (qui a pour vocation d’harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers) ne sera plus applicable au Royaume-Uni à partir du 1er janvier 2021.
« A l’issue de cette période de 6 mois et à défaut d’une décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni dite « décision d’adéquation », toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers. » CNIL, 28 décembre 2020
Le mécanisme de décision d’adéquation permet d’attester qu’un Etat situé en dehors de l’Union européenne assure un niveau de protection adéquat des données personnelles.
Brexit et RGPD, Quels enjeux pour les organismes ?
- Vous êtes concernés si :
- Votre organisme transfère des données personnelles vers un responsable de traitement ou un sous-traitant au Royaume-Uni ;
- Le flux de données perdurera en vertu de la sortie du Royaume-Uni de l’Union Européenne ;
- Ces transferts ne pourront s’effectuer qu’avec la mise en place de garanties RGPD appropriées (clauses contractuelles types, règles contraignantes d’entreprises…)
- Les ressortissants européens devront disposer de droits opposables et de voies de droit effectives, conformément à l’article 46 du RGPD.
- Les responsables du traitement et les sous-traitants établis uniquement au Royaume-Uni dont les activités de traitement sont soumises à l’application du RGPD devront désigner un représentant de l’Union conformément à l’article 27 du RGPD.
L’obligation de nommer un représentant concerne les organismes étrangers n’étant pas établis dans l’Union Européenne. Cela exclut donc toute compagnie ayant installé un siège social au sein de l’UE comme de nombreux GAFA par exemple. L’équipe Optimex Data vous explique en détail le rôle et les qualités d’un représentant RGPD.
Nous vous tiendrons bien-sûr informés de l’accord qui sera conclut entre l’Union européenne et le Royaume-Uni. Décision d’adéquation, règles d’entreprise contraignantes ou encore dérogation particulière pour le Royaume-Uni : l’avenir nous le dira !
