La situation au Royaume-Uni
Le Royaume-Uni est sorti de l’Union Européenne le 1er janvier 2021. A cette date, ce dernier a donc cessé d’être soumis au RGPD : il doit maintenant être considéré comme un État tiers.
Une période de transition a fait l’objet d’un accord, qui prévoit qu’à compter du 1er janvier 2021 et pendant 6 mois, les transferts de données personnelles entre le Royaume-Uni et l’Union Européenne ne seront pas soumis à l’obligation des garanties appropriées (de l’article 46 du RGPD).
Cependant, si le RGPD ne s’applique plus au Royaume-Uni, nos voisins d’outre-manche ont fait le choix de continuer à respecter les principes du RGPD et ont intégré ce dernier au droit interne britannique. Le Royaume-Uni est donc depuis le 1er janvier 2021 soumis à son propre RGPD intégré au droit interne (que nous appellerons par souci de clarté le « UK GDPR »). Cette loi reprend largement les principes du RGPD européen, avec la possibilité pourtant, puisqu’il s’agit d’une loi nationale, d’amender certaines parties de la loi dans le futur.
Aujourd’hui, la question pour un responsable de traitement britannique est de savoir sous quelle base légale les données sont collectées et traitées : les données collectées avant le 31 décembre 2020 sont traitées sur la base du RGPD européen, les données collectées au 1er janvier 2021 sont traitées sur la base du « UK GDPR ».
En outre, les sociétés britanniques possédant un établissement dans un pays de l’Union Européenne ou des clients citoyens européens, devront nommer un représentant RGPD au sein de l’Union Européenne.
Impacts pratiques pour les pays de l’Union Européenne
Ainsi que nous l’avons établi, jusqu’au 31 juillet 2021, aucune mesure supplémentaire n’est nécessaire pour transférer des données personnelles de l’UE vers le Royaume-Uni.
Passé cette date, deux issues sont encore possibles :
- Une décision d’adéquation est accordée au Royaume-Uni, et les transferts pourront continuer sur cette base
- Le Royaume-Uni ne bénéficie pas d’une décision d’adéquation, et l’article 46 du RGPD régissant les transferts vers les pays tiers s’appliquera à tout transfert de données vers ce dernier
Le Royaume-Uni ayant en effet très largement intégré le RGPD à son droit interne, la décision d’adéquation semble être l’outil privilégié pour protéger les transferts de données effectués depuis les pays de l’Union Européenne. La Commission Européenne a ainsi publié une première version de sa décision d’adéquation le 19 février 2021, dans laquelle elle reconnaissait que le Royaume-Uni offrait bien une protection adéquate. Le Comité Européen de la Protection des Données est à présent tenu de rendre son avis sur cette décision.