Lorsque le 1er janvier 2021 la Grande-Bretagne franchira l’horizon vers sa souveraineté “Rule Britannia” retrouvée, les balises du GDPR changeront également.
En effet, à partir de ce jour, la Grande-Bretagne ne sera plus un pays européen sûr, auquel nous pourrions envoyer nos données personnelles en toute tranquillité.
“Grâce” au Brexit, et en attendant les accords nécessaires, ce pays retombera dans le même statut que les États-Unis. Pour aucun des deux pays, l’UE n’a décidé qu’il existe un niveau adéquat de protection des données (1).
Pour les États-Unis, cela est dû à l’abandon des initiatives Safe Harbor et Privacy Shield, tandis qu’aucun accord n’a encore été conclu avec la Grande-Bretagne
Le GDPR reste en vigueur
Le GDPR reste toutefois en vigueur pour toutes les entreprises britanniques qui développent des activités pour des résidents de l’UE. Elles doivent donc traiter les données personnelles de ceux-ci avec précaution.
Il est désormais difficile pour les entreprises de l’UE de s’assurer que les entreprises britanniques avec lesquelles elles souhaitent échanger des données personnelles font vraiment preuve de cette précaution.
Le GDPR fournit des réponses à ce sujet dans les articles 44 et suivants sur les “transferts de données personnelles vers des pays tiers”. À cette fin, les entreprises de l’UE peuvent inclure les clauses nécessaires (2) dans leurs contrats avec les entreprises britanniques, afin qu’il y ait des garanties suffisantes.
Les entreprises de l’UE doivent également prendre des mesures pour s’assurer que ces garanties sont effectivement respectées.
Des “règles d’entreprise contraignantes” sont également possibles pour l’échange de données à caractère personnel entre des établissements à l’intérieur et à l’extérieur de l’UE qui appartiennent au même groupe. Un code de conduite approuvé, ou un mécanisme de certification approuvé, peut également suffire.
Le Brexit en pratique
Reste à voir comment le Brexit se déroulera dans la pratique. Bien que nous soyons fort proches de la fin de la période de transition, de nombreuses questions restent sans réponse.
Si vous souhaitez vous couvrir contre les problèmes du GDPR, vous feriez probablement bien de contacter un spécialiste en la matière. Photo : Call Me Fred via Unsplash
(1) La liste des pays pour lesquels l’UE a pris une décision d’adéquation comprend : Andorre, Argentine, Canada (sociétés commerciales), îles Féroé, Guernesey, Israël, île de Man, Japon, Jersey, Nouvelle-Zélande, Uruguay et Suisse.
(2) L’UE publie des exemples de clauses appropriées (y compris des “clauses contractuelles types”).
