Out-Law / Votre briefing quotidien

Les entreprises de l’UE doivent avoir une représentation au Royaume-Uni dans le cas d’un Brexit sans accord

Actualités Out-Law | 23 Apr 2019 | 9:53 am | 2 min. de lecture

À partir de la fin du mois de mars 2019, les entreprises basées en Europe continentale devront éventuellement utiliser un représentant au Royaume-Uni pour traiter toutes leurs questions liées à la protection des données.

Le gouvernement britannique a confirmé la semaine dernière que certains contrôleurs de données non britanniques seront obligés de nommer un représentant basé au Royaume-Uni pour se conformer aux nouvelles réglementations concernant la protection des données en cours de préparation dans le cadre d’un éventuel Brexit sans accord.

Le gouvernement britannique a fait savoir que cette réglementation, qui n’entrerait en vigueur qu’en l’absence d’un accord sur les conditions du retrait du Royaume-Uni de l’UE au moment de son départ, reproduirait les dispositions du règlement général sur la protection des données (RGPD).

Outre le traitement des données à caractère personnel par des organisations établies au sein de l’UE, le RGPD concerne également le traitement des données à caractère personnel de personnes situées dans l’UE par des organisations basées en dehors de l’Union lorsque ce traitement concerne l’offre de biens ou de services ou le suivi de leur comportement dans la mesure où ce comportement se déroule au sein de l’Union. L’effet extraterritorial du RGPD est confirmé par l’article 3, paragraphe 2.

Dans ce type de cas, les sociétés non européennes sont généralement tenues de désigner un représentant basé au sein de l’Union européenne, à moins qu’une exemption ne s’applique. Ces représentants sont chargés de traiter toutes les questions liées au traitement des données par les entreprises non-britanniques soumises au régime de protection des données du Royaume-Uni « afin de garantir le bon respect » de ces règles. Ils sont responsables d’assurer la liaison avec les autorités chargées de la protection des données ou les sujets des données au nom de l’entreprise.

L’obligation de nommer un représentant ne s’applique pas aux autorités publiques ou dans les cas où ce traitement n’est qu’occasionnel, à faible risque et ne comporte pas de données de catégorie spéciale ou de nature criminelle à grande échelle.

Dans sa note d’orientation, le gouvernement britannique a indiqué qu’il « a l’intention de reproduire cette disposition pour contraindre les contrôleurs basés en dehors du Royaume-Uni à nommer un représentant au Royaume-Uni ».

D’autres réglementations concernant la protection des données dans le cadre d’un Brexit sans accord seront publiées « dans les prochaines semaines », a déclaré le gouvernement, dont notamment de nouvelles réglementations visant à « préserver les normes du RGPD de l’UE en matière de droit interne » et à « maintenir la portée extraterritoriale du cadre de protection des données britanniques » en cas de Brexit sans accord.

Ces nouvelles réglementations viseront également à assurer la libre circulation des données à caractère personnel du Royaume-Uni dans l’éventualité d’un scénario sans accord. Le gouvernement a par ailleurs déclaré qu’il « considèrera comme « adéquats » à titre transitoire tous les pays de l’EEE (y compris les États membres de l’UE) et Gibraltar, afin de poursuivre le flux des données du Royaume-Uni vers l’Europe », et « préservera l’effet des décisions d’adéquation de l’UE actuelles à titre transitoire ».

Le gouvernement britannique a également déclaré que les clauses contractuelles types de l’UE qui facilitent les transferts de données devront être reconnues dans le droit britannique, précisant que l’Office du commissaire de l’information (OCI) sera autorisé à émettre de nouvelles clauses en matière de protection des données.

D’autres réglementations permettront aux entreprises ayant des « règles d’entreprise contraignantes » (BCR) approuvées avant la date du Brexit d’employer ces BCR pour assurer leurs transferts de données après le Brexit. L’OCI continuera d’autoriser de nouvelles BCR en vertu du droit interne après le Brexit.

L’Office du commissaire de l’information (OCI) a émis la semaine dernière ses propres orientations sur la protection des données dans le cadre d’un Brexit sans accord.  L’experte en droit sur la protection des données Kathryn Wynn de Pinsent Masons, le cabinet d’avocats responsable de Out-Law.com, avait alors souligné la façon dont les transferts de données au sein du Royaume-Uni pourraient être concernés par un Brexit sans accord.

Le Royaume-Uni devrait quitter l’UE le 29 mars 2019. Bien que le gouvernement britannique ait négocié un accord de retrait avec les 27 autres pays de l’UE, ce dernier n’a pas encore été ratifié et fait l’objet de vifs débats parmi les députés du gouvernement et des partis d’opposition au Royaume-Uni.