RGPD et Brexit – votre entreprise est-elle préparée ?
Dans le cas où le Royaume-Uni quitterait l’UE le 29 mars 2019 sans accord, les entreprises britanniques devront s’assurer qu’elles continuent de se conformer à la loi sur la protection des données. Pour les entreprises britanniques qui opèrent à l’international ou échangent des données personnelles avec des partenaires dans d’autres pays, des changements devront peut-être être apportés avant que le Royaume-Uni ne quitte l’UE afin de garantir un risque minimal de perturbation.
Il est important que les entreprises examinent si elles seraient concernées. Pour ceux qui seraient concernés, une action précoce est conseillée, car la mise en œuvre des changements peut prendre un certain temps.
Comment les données personnelles traversent actuellement les frontières :
- Les données personnelles sont protégées par le RGPD (Règlement Général sur la Protection des Données). Cela donne aux individus des droits sur leurs données : savoir qui les possède, les rectifier, les supprimer, les déplacer etc.
- Le RGPD stipule que les données ne peuvent être déplacées au-delà des frontières que si des protections équivalentes existent dans le pays où les données sont destinées.
À l’heure actuelle, les données personnelles peuvent traverser les frontières comme suit :
- Où il reste dans l'UE (car tous les pays de l'UE doivent appliquer le RGPD)
- Plus les États de l'EEE : Norvège, Islande, Lichtenstein et autres territoires britanniques comme Gibraltar
- Pays dans lesquels la Commission européenne a déterminé qu'il existe des protections adéquates : Andorre, Argentine, Canada (organisations commerciales), îles Féroé, Guernesey, Israël, île de Man, Jersey, Nouvelle-Zélande, Suisse, Uruguay et États-Unis d'Amérique (limité à le cadre Privacy Shield) comme offrant une protection adéquate
- Si aucune des conditions ci-dessus ne s'applique, par exemple lorsque les données personnelles sont envoyées en Inde ou en Australie, les données ne peuvent être envoyées que lorsqu'il existe des « clauses contractuelles types » (SCC) ou des « règles d'entreprise contraignantes » (BCR).
- SCC et BCR étendent essentiellement les droits du RGPD aux données transférées vers une juridiction de pays tiers
- A noter : SCC ne couvre que certaines relations de transfert de données et BCR ne couvre que le transfert de données au sein d'une même entreprise.
Quelles données personnelles traversent les frontières ?
De nombreuses données personnelles traversent les frontières chaque jour. Lorsque vous parlez à un centre d’appels dans un autre pays ou achetez des biens ou des services en ligne, les données personnelles sont souvent transférées vers une autre juridiction.
De nombreuses prestations sont externalisées à l’international et peuvent impliquer des traitements de données personnelles :
- Service à la clientèle
- Facturation et comptes payables et recevables
- Paie
De nombreux services interentreprises fonctionnent dans le Cloud, et cela peut s'effectuer au-delà des frontières. Par exemple:
- Google ne dispose pas de centre de données au Royaume-Uni, la plupart des données britanniques étant probablement conservées à Dublin.
- Facebook ne dispose pas de centre de données au Royaume-Uni, la plupart des données britanniques étant probablement conservées à Dublin
- Amazon Web Services dispose d'un centre de données au Royaume-Uni, mais celui-ci est relativement nouveau et une grande partie sera à Dublin, Francfort et Luxembourg.
- Microsoft possède des centres de données britanniques parmi plus de 100 dans le monde
Certains secteurs, de par leur nature, impliquent des données transfrontalières. Par exemple:
- Secteur financier – paiements internationaux, etc.
- Sciences de la vie – la nature mondiale de la recherche médicale
- Transport – données passagers
Que doivent faire les entreprises ?
Ils doivent comprendre leurs flux de données. Ont-ils affecté les flux transfrontaliers de données personnelles ? Ont-ils mis en place des clauses contractuelles types ou des règles d’entreprise contraignantes ?
Le gouvernement a publié des conseils aux entreprises en septembre, cliquez here pour l'information.
L'ICO (Information Commissioner's Office) fournit de bonnes informations :
ICO quitter l'UE en six étapes (https://ico.org.uk/media/2553958/leaving-the-eu-six-steps-to-take.pdf)
Outil ICO pour déterminer si SCC fonctionnera pour vous (https://ico.org.uk/for-organisations/data-protection-and-brexit/standard-contractual-clauses-for-transfers-from-the-eea- outil-interactif-au-royaume-uni/)
De plus amples informations sur tous les travaux menés par British Marine à ce jour sur les négociations de sortie de l'UE, ainsi qu'une série de documents d'orientation, sont disponibles pour les membres sur le Site Web de la Marine britannique.