Brexit : quelles conséquences sur le RGPD ?
Avec la sortie du Royaume-Uni de l’Union européenne, de nombreux changements auront lieu. Le RGPD sera bouleversé puisque les entreprises ne seront peut-être plus en mesure de transférer leurs données en outre Manche.
Alors que le Brexit approche à grands pas, les conditions de sortie du Royaume-Uni sont toujours aussi incertaines qu’il y a deux ans. Après une sortie longtemps prévue pour le 29 mars 2019, le Royaume-Uni a repoussé l’échéance au 12 avril, et maintenant, les journalistes évoquent peut-être un Brexit au 30 juin. Bref, tout le monde sait que le Royaume est censé quitter l’Union européenne, mais personne ne connaît la date exacte. Même si ce retard n’est pas forcément bon pour la pression artérielle des citoyens britanniques, les entreprises européennes peuvent en tirer parti pour mettre leurs affaires en ordre.
Personne n’est sans savoir que le Règlement européen sur la protection des données (RGPD) a provoqué un vent de panique pour les entreprises qui ont dû se mettre en conformité avant le 25 mai 2018. Peu d’entreprises étaient prêtes au moment de l’entrée en vigueur du règlement, et elles ont dû s’empresser de rentrer dans les clous le plus rapidement possible. Certaines croyaient en avoir terminé avec la mise en conformité, mais à cause du Brexit, il va sûrement falloir demander au DPO de revenir à plein temps. En effet, si vos données étaient transférées vers le Royaume-Uni, des changements sont de rigueur. Si ce n’est pas déjà fait, il est temps de prendre les devants et de profiter de l’indécision politique des dirigeants anglais pour réfléchir à une stratégie de rapatriement des données au sein de l’Union.
Avant, c’était mieux…
Tant que le Royaume-Uni était dans l’Union européenne, tout était plus simple concernant le RGPD…
Rappel des règles : une entreprise peut transférer ses données vers n’importe quel État membre de l’Union. Voilà la règle du RGPD, qui n’impose pas de contrainte administrative particulière si les données ne sortent pas du territoire européen. Par conséquent, des entreprises européennes avaient peut-être transféré quelques données au Royaume-Uni parce qu’elles y possèdent des filiales ou que les données étaient contenues dans un data center.
Cependant, ce transfert « libre » ne sera plus possible d’ici peu de temps. Lorsque le Brexit sera définitif, les données seront considérées comme transférées en dehors du territoire européen, donc l’entreprise risque de se voir infliger une amende jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial pour non-respect des dispositions du RGPD.
Toutefois, la situation pourrait ne pas être si catastrophique pour les entreprises, à condition que les dirigeants politiques anglais et européens y mettent du leur pour négocier un accord de sortie. Ainsi, il y aurait deux hypothèses de sortie du Royaume-Uni, emportant chacune des conséquences pour les entreprises.
1ère hypothèse : le scénario idéal pour les entreprises (mais il ne faut pas rêver)
Cette situation serait parfaite pour les entreprises, car elle impliquerait que le Royaume-Uni ait signé une « décision d’adéquation » avec l’Union européenne avant sa sortie. Cet accord reconnaîtrait une protection suffisante des données personnelles des individus si elles sont transférées en outre-manche.
Aucune formalité ne devrait être accomplie dans ce scénario, et les entreprises n’auraient pas à rapatrier leurs données au sein de l’Union.
Pour résumer, les entreprises n’auraient rien à faire, et pourraient laisser leurs données en outre-manche.
À terme, ce scénario pourrait être envisageable puisque le Royaume-Uni remplit les trois critères nécessaires à cette reconnaissance d’adéquation :
- le Royaume-Uni d’un État respectueux des droits de l’homme et des libertés fondamentales ;
- une autorité de contrôle équivalente à la CNIL existe déjà au Royaume-Uni ;
- le droit anglais contient déjà une loi relative à la protection des données personnelles.
Tous ces critères sont indiqués par le RGPD. Comme ils sont déjà respectés, une décision d’adéquation est envisageable à terme.
Mais redescendez de votre nuage, ce scénario n’arrivera (probablement) pas. Au vu du désordre intersidéral des négociations, le RGPD ne sera sûrement pas la priorité de Theresa May. Les pourparlers sont au point mort depuis plus de deux ans avec les institutions européennes (et du Royaume-Uni), donc il relèverait de l’ordre du miracle qu’un accord soit trouvé pour le Brexit à seulement quelques jours de son application.
De ce fait, préparez-vous déjà pour le deuxième scénario…
2ème hypothèse : le scénario panique pour les entreprises (le plus probable)
Il s’agit du plus mauvais scénario, mais qui est sûrement celui qui va se produire. Si le Royaume-Uni quitte l’Union européenne sans avoir trouvé un accord avec les institutions, le RGPD cessera de s’appliquer du jour au lendemain de l’autre côté de la Manche.
Le pays sera considéré comme un État tiers, donc il sera interdit d’y transférer des données à caractère personnel. Si les entreprises n’anticipent pas cette hypothèse, elles risquent les sanctions administratives prévues par le RGPD, ce qui peut être très préjudiciable pour sa réputation et son chiffre d’affaires.
Pour continuer ce transfert de données sans être sanctionné, des formalités plus lourdes devront être effectuées. En effet, il faudra que le transfert présente des « garanties appropriées ». Plus clairement, l’entreprise européenne devra faire signer au sous-traitant ou au responsable de traitement anglais un contrat les obligeant à appliquer les dispositions relatives à la protection des données personnelles. De même, un code de conduite devra être approuvé par le destinataire des données dans le pays tiers pour garantir le bon traitement des données personnelles.
Bref, il s’agit de contraintes administratives supplémentaires pour une entreprise. Si le code de conduite n’est pas respecté ou que le contrat passé avec le destinataire des données omet certaines clauses essentielles, le transfert sera considéré comme illicite. On en revient encore à l’histoire de l’amende mentionnée un peu plus haut.
Et si je veux continuer à transférer des données à mes filiales, c’est grave, docteur ?
Même si le transfert a lieu vers une filiale anglaise, toutes les explications données précédemment sont toujours valables. Cependant, la procédure de transfert sera différente.
En effet, l’entreprise doit imposer des BCR (« biding corporate rules »), correspondant à des Règles d’entreprise contraignantes en français. Ce sont des règles pour les filiales, indiquant qu’elles doivent absolument traiter les données conformément au RGPD. Des obligations lourdes seront donc imposées aux filiales, qui risquent de ne pas apprécier les changements internes qui seront engendrés par le règlement européen.
Si la filiale ne respecte pas ces règles, l’entreprise européenne pourra être sanctionnée par une autorité de contrôle.
Par conséquent, les filiales situées au Royaume-Uni devront respecter ces BCR.
Bref, ne vous attendez pas à un miracle
Il vaut mieux que les entreprises anticipent la situation avant de se retrouver en porte-à-faux malgré elles.
Si des données sont stockées sur un serveur anglais, il est conseillé de trouver une solution alternative pour les transférer dans un autre État membre de l’Union européenne. De même, si l’entreprise faisait appel à un sous-traitant situé au Royaume-Uni, elle devrait trouver un autre prestataire européen pour effectuer les mêmes services.
Bien évidemment, il est possible de laisser les données au Royaume-Uni et de conclure un accord de garantie appropriée, mais cette option demeure risquée, surtout qu’il existe plein d’alternatives au sein de l’Union qui seront moins compliquées à mettre en œuvre.
Si toutes ces procédures vous semblent fastidieuses ou impossibles à mettre en place, ne vous inquiétez pas ! La Ziwit Academy s’engage à répondre à toutes vos questions sur le sujet du Brexit pour toute inscription à notre formation sur RGPD.
