Le RGPD et le Brexit

Plusieurs clients nous ont récemment demandé quels seront les effets du Brexit sur l’application du Règlement Général sur la Protection des Données (RGPD). Pour ceux d’entre vous qui l’ignorent encore, le RGPD est une nouvelle loi européenne qui est entrée en vigueur en mai de cette année, dont vous pouvez tout découvrir dans notre article à ce sujet.

Bien que le Royaume-Uni est en voie de quitter l’Union européenne, (il devrait quitter le bloc en mars 2019) il n’y a aucune raison de penser qu’il sera exempté de ce réglementation. Il est vrai que le RGPD, en tant que loi européenne, ne s’appliquera pas directement aux entreprises basées en Royaume-Uni après le Brexit. Il est vrai aussi que les britanniques, eux, vont perdre leur nationalité européenne, et donc tous les droits qu’elle leurs accorde actuellement – y compris la protection offerte par le RGPD.

Éviter un gros casse-tête

Cependant, le Royaume-Uni reconnaît aussi bien que l’UE l’importance de ce nouveau réglementation. En fait, le Royaume-Uni est en train d’élaborer sa propre version du RGPD, qui porte le nom The 2018 Data Protection Act. Ce réglementation a été prévu pour actualiser les lois britanniques existantes sur la protection des données pour assurer qu’elles conforment avec les nouvelles normes européennes.

Le 2018 DPA est plus ou moins du copier-coller, étant une reproduction exacte du RGPD pour la législation britannique. Et même si rien n’empêche le parlement britannique de modifier unilatéralement cette loi après le Brexit, cela lui serait complètement sans intérêt.

Cela est dû au fait que le RGPD impose des règles strictes concernant le transfert des données d’un état-membre vers un pays tiers, comme le sera bientôt le Royaume-Uni. Tout tentative de la part du gouvernement britannique de s’écarter du RGPD peut très vite devenir un cauchemar pour toute entreprise basée au Royaume-Uni avec des clients, des fournisseurs ou des partenaires au sein de l’union européenne. Il est donc dans l’intérêt du Royaume-Uni de suivre l’exemple de l’UE et de maintenir les mêmes réglementations concernant les données qu’ont ses voisins continentaux.

L’important, c’est l’objet des données

Le point crucial concernant le RGPD est que cette loi n’est ni concernée par l’emplacement physique de la personne qui détient les données, ni de qui s’agit-il le détenneur. L’important c’est lui qui fait l’objet des données. Toute entreprise qui a pour client, pour fournisseur ou pour partenaire des citoyens européens est concernée par le RGPD – même les entreprises britanniques.

Ce point est bien soulevé dans cet article sur le site web de Privacy Sense (en anglais) :
« Peu importe que vos données soient gérées ou non par vous-même, quelles soient détenues dans un pays européenne ou ailleurs, ou que ça soit un citoyen européen qui les traite ou non… Le moment qu’on parle des données des européennes, le RGPD s’applique. »

En conclusion

Le RGPD est une loi européenne, mais elle a une portée mondiale. Que le Brexit ait lieu ou non, toute entreprise britannique qui a des clients, des fournisseurs, ou des partenaires au sein de l’UE sera obligé de la respecter. Essentiellement, personne ne puisse échapper au RGPD !

INFORMATIONS IMPORTANTES : Cet article ne constitue pas un avis juridique, dont Port 80 n’a dans aucun cas le droit de fournir. Nous recommandons fortement que vous obtenez un avis juridique pour être sur que vous vous conformez au RGPD.