Village de la Justice Village-justice.com
Quel impact d’un no deal au 30 mars 2019 sur les data ? Par Aleksandra Thélot, Juriste en PI.
mercredi 20 février 2019
Adresse de l'article original :
https://www.village-justice.com/articles/quel-impact-deal-mars-2019-sur-les-data,30752.html
Reproduction interdite sans autorisation de l'auteur.

Suite au rejet de l’accord négocié de sortie de l’Union Européenne par les députés britanniques le 15 janvier 2019, le scénario le plus probable est donc le « non deal » : un retrait sans accord de l’UE [1].
La procédure de sortie de l’UE doit s’achever le 29 mars 2019, mais jusqu’à cette date, le Royaume-Uni reste un Etat membre de l’Union européenne.

Depuis le 25 mai 2018, le Règlement UE n°2016/679 sur la Protection des Données à caractère personnel (RGPD) est entrée en vigueur. Dans la mesure où il s’agit d’un règlement européen, et non pas d’une directive, le texte est entré en application directement et en même temps dans tous les Etats membres de l’Union européenne, sans transposition.

Avec le Brexit, se pose la question des conséquences sur le RGPD et plus largement, sur le sort des opérations de transfert des données à caractère personnel vers le Royaume-Uni.

I. RGPD : un territoire d’application étendu.

Le RGPD avait pour objectif d’étendre la portée du champ d’application de la législation de l’UE concernant la protection des données. C’est pourquoi, son champ d’application s’applique à tout traitement de données à caractère personnel :

Ainsi, peu importe la nationalité de la personne concernée, seuls comptent les critères de l’établissement des acteurs impliqués dans le traitement et le territoire où est situé la personne. En raison de sa portée extraterritoriale, pour la majorité des acteurs britanniques le RGPD continuera de s’appliquer dans leurs relations avec leurs partenaires européens.

II. Le transfert des données vers le Royaume-Uni.

Faute d’accord, le 30 mars 2019, le Royaume-Uni deviendra un pays tiers au sens du RGPD. En principe, les transferts de données à caractère personnel hors du territoire de l’UE sont interdits, à moins que le pays ou le destinataire n’assure un niveau de protection suffisant.

Conformément à l’article 44 du RGPD, tout transfert de données à caractère personnel vers un pays tiers doit être réalisé :

III. Le transfert des données du royaume-uni vers l’UE et les pays tiers.

Adoptée le 23 mai 2018, la loi britannique sur la protection des données (dite « DPA ») fournit un cadre juridique adapté aux règles européennes sur le plan national, et continuera à s’appliquer après le Brexit. Le Gouvernement britannique a d’ailleurs publié un guide relatif aux futurs amendements à la législation nationale de protection des données dans l’hypothèse d’un Brexit sans accord (No Deal Scenario). Ainsi, le Gouvernement britannique semble mettre en avant trois hypothèses possibles sur la question du transfert des données :

Finalement, à la lecture de ce Guide, le Gouvernement affirme que les mêmes standards du RGPD vont continuer à s’appliquer au Royaume-Uni et l’Information Commissionner Office (ICO) restera le régulateur indépendant de la protection des données au Royaume-Uni.

Par conséquent, l’enjeu pour les acteurs est d’examiner si les biens et/ou services des filiales, partenaires et/ou prestataires sont fournis au sein du Royaume-Uni pour ensuite adopter les stratégies notamment contractuelles pour rester en conformité avec les exigences du Règlement sur la protection des données.

Aleksandra THÉLOT Juriste en Propriété Intellectuelle thelot@regimbeau.eu www.regimbeau.eu

[1Voir l’article du Cabinet Régimbeau : Quel impact d’un BREXIT sans accord de retrait au 30 mars 2019 sur vos actifs de PI, brevets, marques, dessins & modèles, noms de domaine notamment ?