La nouvelle réglementation européenne relative à la protection des données GDPR (General Data Protection Regulation) implique de nouvelles contraintes sur la manière dont votre entreprise gère les données, qui en est responsable, et sur la gestion de la perte de données. Et des pénalités sont prévues pour les entreprises qui ne seraient pas en conformité.
Le résultat du récent référendum britannique sur la sortie de l’Union européenne (Brexit) a créé une incertitude juridique quant à la mise en œuvre au Royaume-Uni de la réglementation européenne présente et à venir. Bien que la position de Bruxelles soit claire – tant que le Royaume-Uni reste dans l’Union, il est tenu de respecter l’ensemble de la réglementation européenne et ses obligations d’État membre – il est inévitable que les investisseurs, les autorités de régulation, la classe politique et les responsables de la conformité évoquent la possibilité de « sélectionner » les mesures à appliquer pendant le processus de sortie de l’Union.
Avenir du GDPR au Royaume-Uni
Tout dépend de la nature de la nouvelle relation, des concessions acceptées de chaque côté, et du calendrier des négociations une fois l’article 50 officiellement activé. Dans la sphère des technologies, l’une des grandes questions est de savoir si, suite au Brexit, le règlement général sur la protection des données (GDPR) s’appliquera, ou non, au Royaume-Uni. Et quel sera le rôle du Commissaire à la protection des données, l’organisme de régulation indépendant qui devrait encadrer l’application du GDPR outre-Manche.
Le calendrier laisse penser que le GDPR, dont l’entrée en vigueur est fixée au 25 mai 2018, concernera le Royaume-Uni, puisqu’il s’agit d’un règlement directement applicable dans tous les États membres. Même si l’article 50 est activé le 31 mars 2017 (comme le laisse entendre le gouvernement britannique dans ses dernières déclarations), le délai de deux années qu’il prévoit prendra fin le 31 mars 2019. Par conséquent, le GDPR s’appliquerait au Royaume-Uni et créerait des obligations légales pendant la période où le pays conserverait son statut d’État membre à part entière.
Compte tenu du calendrier existant et sachant qu’il est fortement probable que les négociations entre le Royaume-Uni et l’UE prendront du temps, on peut raisonnablement penser que, sauf accord contraire entre les parties, le GDPR entrera pleinement en vigueur au Royaume-Uni.
Poursuite des relations
Le Brexit ne devrait pas rompre toutes les relations entre l’UE et le Royaume-Uni. La position du Royaume-Uni indique même que l’objectif politique est de conserver un accès au marché unique.
La Suisse, que les partisans du Brexit citent souvent comme exemple d’une coopération réussie entre l’UE et un pays extérieur, a obtenu un statut d’équivalence essentielle en matière de protection des données, statut couvert par la législation européenne. Le Royaume-Uni étant un pôle majeur des technologies de l’information en Europe, il semble difficile qu’il puisse s’assurer un accès au marché unique numérique sans se soumettre aux exigences réglementaires relatives au traitement des données à caractère personnel.
Conséquences pour les entreprises britanniques en Europe
Il convient également de rappeler que le GDPR s’applique à toutes les entreprises souhaitant vendre des produits ou services sur le territoire européen. L’économie numérique britannique étant largement tournée vers l’exportation, nombre de sociétés établies au Royaume-Uni, ainsi que leurs fournisseurs, devront conformer leurs processus internes aux dispositions du GDPR, indépendamment de la « loi du pays », car cette conformité réglementaire sera une condition à remplir pour conduire des affaires en Europe. Par conséquent, certaines des obligations strictes du GDPR, notamment sur la sécurité, la notification des fuites de données, les transferts de données transfrontaliers, le droit d’accès et le droit de suppression, s’appliqueront « de manière détournée », par le biais des politiques internes et des obligations contractuelles des entreprises.
S’il est compréhensible que l’impact du Brexit sur le GDPR soulève des interrogations, il apparaît que le règlement européen s’appliquera au Royaume-Uni sous une forme ou une autre. En fait, les autres États membres ont même intérêt à insister sur l’applicabilité du GDPR, car si le Royaume-Uni devait accéder au marché unique numérique sans respecter les règles de protection des données, il bénéficierait d’un avantage compétitif exclusif.
Conséquences probables du Brexit
Néanmoins, le Brexit pose certains problèmes pour l’économie numérique britannique. Par exemple, l’impact du Brexit sur la Charte des droits fondamentaux de l’UE soulève des inquiétudes quant à la possibilité pour les agences de sécurité du Royaume-Uni d’accéder aux données à caractère personnel des citoyens de l’UE, même si la législation britannique en la matière est essentiellement équivalente au GDPR. Il en résultera probablement des accords semblables au bouclier de protection des données UE-États-Unis pour les transferts de données transfrontaliers impliquant le Royaume-Uni.
Se pose également la question de la participation au comité européen de la protection des données du Commissaire britannique à la protection des données (ICO). L’avis de cet organisme de régulation perçu comme progressiste et efficace pourrait faire défaut à la communauté réglementaire.
Certes, le Brexit laisse planer l’incertitude sur de nombreux aspects réglementaires, mais la protection des données est relativement épargnée. Les entreprises opérant dans plusieurs pays d’Europe, dont le Royaume-Uni, doivent continuer de se préparer à l’application du GDPR, tout en surveillant de près l’avancée des négociations sur le Brexit, car elles détermineront à terme les obligations exactes au Royaume-Uni.