On pourrait presque s’exclamer “pas trop tôt !” : Grande-Bretagne et Union européenne se sont enfin accordés sur un texte, normalement en vigueur au 1er janvier 2021, permettant la sortie du Royaume-Uni de l’UE, ou Brexit pour les intimes. Parmi les très nombreuses dispositions contenues dans ce document, certaines sont relatives au cadre européen sur la protection des données personnelles. Le RGPD restera ainsi en vigueur outre-Manche jusqu’au 1er juillet 2021.
Le texte noircit quelque 1200 pages et couvre une grande variété de domaines, de la pêche aux passeports... et permet au Royaume-Uni de quitter l’UE, quatre ans et trois gouvernements britanniques après le référendum en faveur du Brexit et après 10 mois de négociations acharnées autour de ce nouvel accord de commerce et de coopération conclu le 24 décembre 2020.
Celui-ci doit encore faire l’objet d’un vote dans chacune des deux chambres du Parlement outre-Manche mais, sauf surprise, doit entrer en vigueur au 1er janvier. Mais, en ce qui concerne le RGPD, rien ne changera à cette date. En effet, le règlement restera en application en Grande-Bretagne pour encore six mois, jusqu’au 1er juillet 2021. Soit un semestre de sursis laissé aux entreprises et autres organisations afin qu’elles se mettent en conformité avec la réglementation européenne.
Car à compter de juillet, et faute d’une décision de la Commission allant dans le sens d’une autorisation générale des transferts de données vers le sol britannique (un Privacy Shield en somme), tout transfert sera considéré comme étant effectué vers un pays tiers, et non plus intra européen. Avec tout ce que cela implique en termes de garanties à mettre en place, des clauses contractuelles types aux droits opposables et aux voies de recours, nous dit la Cnil dans une fiche explicative.
Galère des deux côtés de la Manche
Mais attention toutefois, car plusieurs changements entreront en vigueur au 1er janvier. Notamment la fin du mécanisme de guichet unique en vigueur jusqu’à présent. L’ICO anglaise ne participera plus à ce “mécanisme de supervision et coopération réglementaire”. “Dans ces circonstances, les responsables du traitement et les sous-traitants établis uniquement au Royaume-Uni et dont les activités de traitement sont soumises à l'application du RGPD en vertu de l'article 3, paragraphe 2, du RGPD seront tenus à partir du 1er janvier 2021 de désigner un représentant dans l’Union conformément à l'article 27 du RGPD” explique la Cnil.
Le gendarme français des données personnelles précise que le CEPD, groupement des Cnil européennes, a travaillé ces derniers mois à mettre en place une transition aussi fluide que possible avec l’ICO, notamment au regard des plaintes existantes. Toutefois, tant que demeure le flou sur la mise en place d’un éventuel Privacy Shield avec le Royaume-Uni, la situation des transferts entre l’Europe et la Grande-Bretagne risque de sérieusement se compliquer dans six mois.