Brexit et RGPD (2/2)

Le Royaume-Uni (RU) a quitté l’Union Européenne (UE) le 31 janvier 2020. Cette date marque le début d’une période transitoire, post Brexit, de onze mois qui s’étendra du 1er février 2020 au 31 décembre 2020. La période pendant laquelle le RU a le statut de pays tiers pourra cependant être prolongée, sur décision conjointe de l’UE et du RU, une fois pour une durée maximale d’un à deux ans. Cette sortie ne signe pas la fin de tout lien avec le RU, puisqu’il reste membre du marché unique européen jusqu’au 31 décembre 2020.

Parmi toutes les questions que soulèvent le Brexit, faisons un focus sur deux enjeux majeurs qu’il pose. Après avoir analysé dans un précédent article ce que la sortie du RU de l’UE impliquait pour les droits de propriété industrielle, étudions l’impact de cette sortie sur l’application du RGPD par le peuple d’Outre-Manche.Brexit et RGPD

 

Pendant la période de transition

Tout d’abord, le RGPD continuera de produire ses effets au Royaume-Uni pendant cette période, tout comme les lignes directrices du CEPD. Le RGPD s’applique en effet aux entreprises et organisations établies au Royaume-Uni lorsqu’elles effectuent des traitements de données personnelles visant à fournir des biens et des services aux résidents européens ou à les « cibler ».

De surcroît, l’article 71 de l’accord de retrait précise à ce sujet que le droit de l’UE s’applique en cas de traitement au RU de données à caractère personnel de personnes concernées en dehors du RU. A minima, ce traitement doit faire l’objet d’un niveau de protection adéquat, sinon d’un « niveau de protection essentiellement équivalent à celui garanti par le droit de l’Union relatif à la protection des données à caractère personnel. »

 

Après la période de transition

Ensuite, une fois la période de transition achevée, et en l’absence de tout accord, la position par défaut sera celle du Brexit sans deal. Le RGPD serait introduit dans la législation britannique sous le nom de « UK GDPR » et des développements seraient à prévoir sur des points particuliers, tels que les transferts de données entre le Royaume-Uni et l’UE.

Par ailleurs, le gouvernement britannique souhaite que le RGPD britannique s’applique également aux responsables et aux sous-traitants établis en dehors du Royaume-Uni si leurs activités de traitement sont liées à :

  • l’offre de biens ou de services à des particuliers au Royaume-Uni ; ou
  • la surveillance du comportement des personnes ayant lieu au Royaume-Uni.

Enfin, les responsables de traitement et sous-traitants britanniques qui ont un établissement ou dont le traitement de données personnelles cible des résidents au sein de l’EEE doivent s’attendre à des répercussions. Le RGPD de l’UE s’appliquera toujours à ce traitement de données personnelles, mais des changements, dont la portée reste encore à définir, sont à prévoir avec la manière d’interagir avec les autorités européennes de protection des données.

Pour conclure

En conclusion, cette période de transition doit être l’occasion pour le Royaume-Uni de prendre d’ores et déjà toutes les mesures utiles et nécessaires pour garantir la pérennité des droits de propriété industrielle et pour perpétuer, à l’issue de la période transitoire, la protection des données personnelles de ses résidents mais également des personnes situées sur le territoire de l’UE et dont les données sont traitées en lien avec le RU.


Publié le 9 juin 2020 par Cindy Fleurdorge

Pour voir d’autres articles réalisés par la promotion MSI 2020 : cliquez ici

Sources

L’accord de retrait : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:12020W/TXT&from=FR  

Brexit et RGPD :