Depuis notre dernier article sur le Brexit bon nombre de choses ont changé. Nous allons nous pencher sur l'impact du Brexit pour la législation du RGPD et les répercussions pour les entreprises opérant au Royaume-Uni et en Europe.
La période de transition du Brexit s'est achevée le 31 décembre 2020 et, bien que le RGPD de l'UE ne s'applique plus directement au Royaume-Uni, il a été adopté en tant que loi nationale avec plusieurs amendements afin de garantir son applicabilité sur le territoire britannique. C'est cette version modifiée, communément appelée « UK GDPR » (soit RGPD RU), qui régit désormais le traitement des données au Royaume-Uni. Comme le souligne l'ICO (Information Commissioner's Office) dans sa FAQ dédiée à la fin de la période de transition, d'autres règles telles que les réglementations PECR (Privacy and Electronic Communications Regulations) et NIS (Network and Information Systems Regulations) continueront d'être en vigueur au Royaume-Uni.
Mais qu'est-ce que cela signifie concrètement pour les entreprises ? D'après un article récent d'Osborne Clarke, « le RGPD de l'UE et celui du Royaume-Uni ayant tous deux un effet extraterritorial, les entreprises doivent réfléchir à l'impact qu'auront les deux régimes sur leurs flux de données, leurs relevés d'opérations de traitement, leurs contrats, leurs politiques et leurs procédures. Elles vont aussi devoir tenir compte des exigences relatives à la désignation de représentants établis dans l'UE pour les représenter quant à leurs obligations en matière de protection des données ».
De nombreuses entreprises seront soumises aux deux régimes de RGPD, car les versions européenne et britannique du RGPD ont toutes deux une portée extraterritoriale. En d'autres termes, cela signifie que vous serez soumis aux deux régimes si vous avez des bureaux à la fois dans l'UE et au Royaume-Uni, par exemple. Bien que le RGPD de l'UE et celui du Royaume-Uni sont en grande partie analogues, ils constituent deux ensembles distincts de réglementations sur la protection des données, auxquels les entreprises devront être disposées à se conformer.
L'un des changements immédiats résultant de l'adoption du régime britannique du RGPD concerne les nombreuses organisations qui vont devoir mettre à jour leurs contrats et politiques de confidentialité. Le rapport d'Osborne Clarke sur le sujet mentionne que « l'on s'attend à ce que l'ICO approuve en temps utile un nouvel ensemble de clauses contractuelles types qui devraient reproduire et s'aligner sur le nouveau projet de clauses contractuelles types publié par la Commission européenne en novembre 2020 ».
Lorsque l'on pense à de nouveaux contrats et de nouvelles politiques de confidentialité, c'est avant tout la charge de travail administratif associée qui nous vient à l'esprit ! Et ce à juste titre, car si votre entreprise a des bureaux en Europe et au Royaume-Uni et que vous devez traduire ces documents pour chaque pays où vous êtes implanté, cela peut impliquer une véritable multiplication de la paperasse. Notre équipe d'experts en traduction juridique est là pour vous assister tout au long du processus, en vous offrant une disponibilité 24h/24 et 7j/7, ainsi qu'un service de devis dans l'heure qui suit la demande.
En fonction de leur situation, des entreprises peuvent se voir investies de responsabilités réglementaires supplémentaires. Par exemple, certaines organisations devront désigner des délégués à la protection des données distincts pour l'UE et le Royaume-Uni dans les mois à venir. Les entreprises doivent également veiller à ce que leurs relevés d'opérations de traitement des données, leurs politiques de confidentialité et leurs contrats soient mis à jour pour refléter la position du Royaume-Uni en dehors de l'UE.
Les semaines précédant le Brexit ont été marquées par une forte incertitude quant aux conséquences d'une sortie de l'UE sans accord (« no deal Brexit ») pour le RGPD et les organisations qui ont besoin de transférer des données entre l'UE et le Royaume-Uni. L'UE doit encore se prononcer sur l'adéquation du niveau de protection des données offert par le Royaume-Uni, mais heureusement, l'accord de commerce et de coopération UE/Royaume-Uni (ACC) instaure une solution provisoire qui donne à l'UE un délai supplémentaire pour rendre sa décision. L'accord a validé de manière effective la légalité du transfert de données pour une période allant jusqu'à six mois, à compter du 1er janvier 2021. Comme le concluait le cabinet d'avocats DLA Piper dans son rapport sur les transferts de données entre l'UE et le Royaume-Uni, « les engagements qui ont été pris, ainsi que la période de transition de six mois instaurée par l'accord commercial, sont de bon augure pour les entreprises et devraient leur permettre de tabler avec sérénité sur une résolution rapide des questions d'adéquation ». D'autre part, le Royaume-Uni a déjà confirmé qu'il considère le niveau de protection des États membres de l'UE comme adéquat et que les flux de données peuvent continuer à circuler sans aucune modification supplémentaire. C'est une bonne nouvelle pour les entreprises européennes et britanniques.
En résumé, bien que les régimes des RGPD de l'UE et du Royaume-Uni sont en grande partie similaires, il convient de garder à l'esprit quelques points concernant les politiques et procédures de protection des données. N'hésitez pas à nous contacter si votre entreprise a besoin d'assistance pour la traduction de documents juridiques de toute nature, nous nous ferons un plaisir de vous aider.