1. Un transfert des données personnelles sous l’égide du RGPD jusqu’au 1^er juillet 2021

« La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ». C’est en ces termes que l’article 1^er du RGPD pose la libre circulation des données au sein de l’Union européenne. Or, le vote du BREXIT en 2016 condamne le Royaume-Uni à redevenir un état tiers à compter du 31 décembre 2021.

En l’état actuel du droit, si un Etat tiers à l’Union européenne n’est pas identifié comme bénéficiant d’un niveau de protection adéquat par la Commission européenne, le transfert des données personnelles vers cet Etat est interdit sauf à être strictement encadré par d’autres outils juridiques tels que les BCR (Binding Corporate Rules) ou les CCT de la Commission (clauses contractuelles types).

Mais une situation inédite intervient au 24 décembre 2020 puisqu’un accord, le EU-UK Trade and Cooperation Agreement, est signé entre l’Union européenne et le Royaume-Uni autorisant l’application du RGPD de manière transitoire au Royaume-Uni pour une durée supplémentaire maximale de six mois.

Concrètement, l’entrée en vigueur de cet accord signifie que les données personnelles des citoyens européens ne pourront plus être envoyées et traitées par des entreprises dont les serveurs se trouvent sur le sol britannique au-delà du 1^er juillet 2021.

Tandis que les chances pour que la Commission européenne adopte une décision d’adéquation pendant la brève période transitoire sont minces, il apparait que le Royaume-Uni ne sera pas un pays de niveau de protection adéquat conformément au RGPD à compter du 1^er juillet 2021.

Dès lors, les entreprises disposent de deux options : soit elles rapatrient sur le sol européen l’ensemble du traitement des données personnelles concernant les citoyens européens, soit elles prennent le risque d’être en infraction avec le RGPD.

Pour rappel, les transferts de données personnelles en infraction avec les règles du RGPD relèvent des sanctions les plus élevées du RGPD à savoir 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros, la plus importante des deux sommes étant retenue.

Consciente de ce risque, l’ICO (autorité de protection des données personnelles britannique) a pu recommander aux entreprises implantées au Royaume-Uni et exerçant des transferts de données personnelles avec l’Union européenne d’anticiper les risques d’interruption desdits transfert vers le Royaume-Uni.

Appliquant ce conseil à la lettre, le 16 décembre 2020, le Financial Times annonce que Facebook expatriera la gestion des données de ses utilisateurs britanniques de l’Irlande aux Etats-Unis « en réponse au BREXIT ».

Pour se mettre en conformité, les entreprises disposant de serveurs sur le sol britannique seront donc contraintes de recourir aux instruments juridiques et exceptions prévues par le RGPD. A ce titre, les BCR ou les CCT relèvent de la pratique des entreprises tandis que le recours aux exceptions (consentement, traitement nécessaire, …) prévues à l’article 49 du RGPD est plus rare.

2. La fin du « guichet unique » à compter du 1^er janvier 2021

Malgré l’adoption du EU-UK Trade and Cooperation Agreement, le mécanisme de supervision et de coopération réglementaire du  guichet unique ne s’appliquera plus au Royaume-Uni à compter du 1^er janvier 2021 et par voie de conséquence, empêchera l’ICO d’y participer.

Pour rappel, le RGPD a envisagé d’apporter une réponse unique en cas d’atteinte aux données personnelles des citoyens de plusieurs pays européens. De fait, un guichet unique a été instauré s’agissant des traitements transfrontaliers définis à l’article 4 (23) du RGPD à l’appui de l’autorité chef de file qui représente l’unique interlocuteur des responsables de traitement.

Dès lors, les responsables de traitement et les sous-traitants uniquement établis au Royaume-Uni devront donc s’attacher à désigner un représentant dans l’Union européenne conformément à l’article 27 du RGPD, et ce dès le 1^er  janvier 2021.