En 2018, le RGPD entré en vigueur pour réglementer au niveau européen la gestion des données personnelles. Suite au Brexit et à l’annonce de sa sortie de l’Union Européenne le 1er janvier 2021, le Royaume-Uni doit aujourd’hui trouver un accord avec Bruxelles pour statuer rapidement sur la nouvelle réglementation qui entrera en vigueur en juillet prochain. En effet, selon Antoine Baranger, manager spécialisé dans la sécurité informatique et la protection des données personnelles chez RSM, une non reconnaissance d’équivalence au RGPD pourrait avoir un fort impact administratif pour les entreprises britanniques et européennes.
DeplacementsPros.com : En fonction de l’accord trouvé avec Bruxelles, quelles pourraient être les formalités à suivre pour les entreprises en France et au Royaume-Uni ?
Antoine Baranger : Pour l’instant, nous sommes toujours basés sur l’accord du 24 décembre 2020 qui a fixé les modalités entre le Royaume-Uni et l’Union Européenne en matière de partage de données. Nous restons donc sur un statu quo en attendant le 1er juillet 2021, date où une décision devra être prise pour savoir si oui ou non l’Union Européenne reconnaît la réglementation du Royaume-Uni comme équivalente au RGPD en matière de protection des données.
L’impact sera totalement différent selon la reconnaissance ou pas de cette équivalence et, à ce jour, la Commission Européenne n’a pas statué là-dessus. Il y a donc deux cas de figure possibles : le premier où l’on continue avec ce statu quo et la réglementation du Royaume-Uni est alignée sur le RGPD européen, il n’y aura donc aucun changement ; ou bien Bruxelles ne reconnaît pas le règlement comme équivalent au RGPD et dans ce cas nous aurions des transferts importants de données personnelles entre l’UE et le Royaume-Uni. Dans le second cas, il faudra alors que tout soit encadré de façon contractuelle et il y aura un fort impact administratif pour les entreprises. Si à ce jour le Royaume-Uni semble favorable à vouloir rester avec le statut actuel, 2 points peuvent faire basculer la décision de la Commission Européenne : le Royaume-Uni est membre du Five Eyes, une alliance entre les services de renseignements, dont font partie l’Australie ou bien encore le Canada, et cette alliance pousse vers une utilisation assez forte des données personnelles ; d’un autre côté, le volume d’échanges de données entre l’UE et le Royaume-Uni est tellement important (environ 43% des grandes entreprises européennes du numérique ont leur siège au RU), que cela serait trop compliqué de faire machine arrière.
Quelles pourraient être les sanctions en cas du non-respect du RGPD ?
Les sanctions vont dépendre du statut défini par les autorités européennes. Dans le cas du premier scénario, les sanctions resteront les mêmes que celles relatives aux réglementations actuelles. Si en revanche le second scénario avait lieu, il faudra prévoir un nouvel encadrement pour le transfert des données et prévoir des sanctions en cas de non-respect de traitement des données en provenance de l’UE. A vrai dire, les entreprises n’ont pas de grand intérêt à se dédouaner du RGPD. Mais cette décision pourrait également être d’ordre politique donc rien n’est certain …
Quelles conséquences ces changements pourraient-ils avoir sur les relations commerciales et contractuelles entre le Royaume-Uni et l’UE ?
Selon le scénario choisi il y aura peu, voire pas beaucoup de conséquences d’un point de vue des relations commerciales et contractuelles. Si le second scénario est favorisé l’impact sera avant tout du côté des actions administratives (ex : binding corporates rules). On estime alors le coût pour les entreprises anglaises à environ 1,8 milliards d’euros pour une nouvelle mise en conformité. Tout en sachant que le RGPD a été adopté il y a seulement 3 ans, en 2018, et que cela avait déjà eu un coût considérable pour ces mêmes entreprises. Du côté des entreprises françaises, cela va demander une refonte globale de leur politique de partage des données, similaire à un partage avec un pays hors UE tels que les Etats-Unis.
Au sein des entreprises, quels sont le rôle et les missions du DPO face à la gestion des données personnelles en plein Brexit ? À quelles difficultés risque-t-il de faire face une fois la période transitoire terminée ?
Alors il y a un réel point qui risque d’engendrer de la complexité pour les DPO (délégué à la protection des données), l’ICO, qui est l’équivalent de la CNIL en France, a déclaré que de leur côté ils souhaitaient sortir du « guichet unique » créé par l’Union Européenne et accessible pour tous les pays membres. Ils en sont d’ailleurs déjà sortis. Ce portail permet une homogénéité des réglementations. Pour le DPO, il faudra ainsi se préoccuper des évolutions en temps réel pour être certain d’être aligné avec les réglementations en cours. Il y aura une vraie problématique de veille et le travail ne sera plus « prémâché » par les autorités locales. Une entreprise basée au RU et délivrant des services dans un pays membres de l’UE devra ainsi avoir un représentant de la protection des données personnelles dans le dit pays. Pour les sociétés, cela va représenter un vrai coût supplémentaire.
Si aujourd’hui nous en sommes toujours au même point depuis le 24 décembre dernier, je pense personnellement que l’on se tournera vers une réglementation équivalente au RGPD. Mais encore une fois, tout cela dépendra des considérations politiques et géopolitiques du gouvernement britannique et de leurs relations vis-à-vis de certains pays, notamment des Etats-Unis.
> A lire aussi : Selon une étude, le RGPD a produit un effet très positif pour les entreprises
