[Brèves] Brexit : applicabilité du « RGPD » jusqu’au 1er juillet 2021 et non applicabilité du « guichet unique » à partir du 1er janvier 2021 au Royaume-Uni

► Le Royaume-Uni et l’Union européenne sont convenus que le « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) restera applicable au Royaume-Uni jusqu'au 1^er juillet 2021 ; pendant cette durée de 6 mois, les données pourront continuer à y être transférées ;

En revanche, le « guichet unique » ne sera plus applicable au Royaume-Uni à partir du 1^er janvier 2021.

Applicabilité du « RGPD » jusqu’au 1^er juillet 2021 au Royaume Uni. Dans le cadre de l’accord de commerce et de coopération conclu le 24 décembre 2020, le Royaume-Uni et l’Union européenne sont convenus que le « RGPD » restera applicable de manière transitoire au Royaume-Uni pour une durée supplémentaire maximale de 6 mois.

En conséquence, jusqu’au 1^er juillet 2021, toute communication de données personnelles vers le Royaume-Uni continuera de se faire dans le cadre actuel et ne sera pas considérée comme un transfert de données vers un pays tiers.

À l’issue de cette période de 6 mois, et à défaut d’une décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni dite « décision d’adéquation », toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers. De tels transferts ne pourront s’effectuer qu’avec la mise en place de garanties appropriées, telles que prévues par le « RGPD » (ex : clauses contractuelles types, règles contraignantes d’entreprise, etc.) et à la condition que les Européens disposent de droits opposables et de voies de droit effectives, conformément à l’article 46 du « RGPD » (transferts moyennant des garanties appropriées).

Fin du « guichet unique » pour les responsables de traitement et les sous-traitants à partir du 1^er janvier 2021. Malgré l’accord conclu, le mécanisme de supervision et coopération réglementaire du « guichet unique » ne sera plus applicable au Royaume-Uni à partir du 1^er janvier 2021 et l’autorité britannique de protection des données (ICO) n’y participera donc plus.

Pour rappel, le guichet unique facilite les démarches pour les entreprises établies en Union européenne car il permet d’harmoniser les décisions concernant les traitements transfrontaliers, en s’appuyant sur une autorité chef de file, qui est l’unique interlocuteur pour les responsables de traitements et la seule autorité auprès de laquelle les différentes obligations prévues par le « RGPD » doivent être accomplies.

Dans ces circonstances, les responsables du traitement et les sous-traitants établis uniquement au Royaume-Uni et dont les activités de traitement sont soumises à l'application du « RGPD » en vertu de l'article 3, § 2, du « RGPD » (champ d'application territorial) seront tenus à partir du 1^er janvier 2021 de désigner un représentant dans l’Union conformément à l'article 27 du « RGPD » (représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union).

Ce représentant peut être contacté par les autorités de contrôle et les personnes concernées sur toute question liée aux activités de traitement afin de garantir le respect du « RGPD ».

Bénéfice du mécanisme du guichet unique conditionné à la possession d’un établissement principal établi dans l’Espace économique européen (EEE). En l’absence d’établissement principal sur le territoire de l’EEE, ces responsables du traitement ou sous-traitants tenus de désigner un représentant dans l’Union, ne peuvent bénéficier du mécanisme de guichet unique.

En effet, les responsables du traitement ou sous-traitants peuvent bénéficier du mécanisme du guichet unique pour les cas transfrontaliers dès lors qu’ils possèdent un établissement principal établi dans l’EEE. Seuls les responsables du traitement et sous-traitants, qui ont mis en place un nouvel établissement principal dans l'EEE conformément aux dispositions de l'article 4, § 16, du « RGPD » (définitions), pourront continuer de bénéficier de ce mécanisme.  

La CNIL et ses homologues au niveau européen réunis au sein du CEPD ont entretenu des contacts avec l’ICO au cours des derniers mois afin de permettre une transition ordonnée vers cette nouvelle situation, en veillant à ce que les autorités de l'Union suivent une approche coordonnée dans le traitement des plaintes existantes et des cas transfrontaliers impliquant l'ICO, afin de minimiser les éventuels retards et inconvénients pour les plaignants concernés.

Formalités pour les organismes en France et au Royaume-Uni. S’agissant de la communication de données personnelles vers le Royaume-Uni, aucune formalité additionnelle pour les organismes en France ou au Royaume-Uni n’est nécessaire jusqu’au 1^er juillet 2021. En particulier, il n’est pas requis d’encadrer les flux de données personnelles vers le Royaume-Uni au moyen de garanties appropriées prévues par le « RGPD » pour les transferts vers les pays tiers.

© Reproduction interdite, sauf autorisation écrite préalable