• Bernard Neumeister

Données personnelles : Le RGPD s'appliquera au Royaume-Uni jusqu'au 1er juillet 2021

Mis à jour : mars 31


GCTI RGPD Cloud Europe

Jusqu'au 1er juillet 2021, les entreprises françaises n'auront pas besoin d’encadrer les flux de données personnelles vers le Royaume-Uni au moyen de garanties appropriées prévues par le RGPD pour les transferts vers les pays tiers. En effet, dans le cadre du Brexit, l'Union européenne vient de trouver un accord avec Londres.


Alors que le Brexit prendra effet le 1er janvier 2021, le Royaume-Uni et l'Union européenne se sont accordés sur l'application du Règlement général pour la protection des données personnelles (RGDP), rapporte la Commission nationale de l'informatique et des libertés (Cnil). Ce texte restera applicable de "manière transitoire" au Royaume-Uni jusqu'en juillet 2021 maximum.


Bientôt un pays tiers ?


A l'issue de cette période de 6 mois, toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers dans le cas où la Commission européenne ne prendrait pas "une décision d'adéquation". Ce mécanisme permet de reconnaitre qu'un Etat situé en dehors de l'Union européenne assure un niveau de protection adéquat des données personnelles.


Mais cette décision d'adéquation est très loin d'être acquise, principalement en raison des préoccupations de l'UE et de la société civile concernant le régime de surveillance du Royaume-Uni et de son adhésion à l'alliance pour le renseignement militaire "Five Eyes" avec l'Australie, le Canada, la Nouvelle-Zélande et les États-Unis.


"Nous ne savons pas si le Royaume-Uni va introduire ou non, dans sa législation nationale, des changements qui pourraient s'écarter de la ligne générale du RGPD", expliquait la vice-présidente de la Commission européenne chargée des valeurs et de la transparence, Vera Jourová, au début de l'année. En effet, le Premier ministre Boris Johnson a suggéré à plusieurs reprises que le Royaume-Uni opterait sûrement pour une réglementaire plus légère que le RGPD, une fois sortie de l'UE.


Un coût d'1,8 milliard d'euros en l'absence d'accord


Les conséquences pourraient être dramatiques pour les entreprises britanniques. En effet, une étude menée par le groupe de réflexion New Economics Foundation et l'University College London estime que ces sociétés devront payer jusqu'à 1,8 milliard d'euros si le gouvernement de Boris Johnson ne parvient pas à convaincre l'Union européenne d'accorder une décision d'adéquation.

Les sociétés britanniques devront payer jusqu'à 1,8 milliard d'euros si le gouvernement de Boris Johnson ne parvient pas à convaincre l'Union européenne d'accorder une décision d'adéquation"

Par ailleurs, malgré l'accord conclu, le mécanisme du "guichet unique" – qui a pour vocation d'harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers – ne sera plus applicable au Royaume-Uni à partir du 1er janvier 2021.


Nommer un représentant de l'union


Par conséquent, les responsables du traitement et les sous-traitants établis uniquement au Royaume-Uni et dont les activités de traitement sont soumises à l'application du RGPD doivent désigner "un représentant de l'Union". En revanche, les responsables du traitement ou sous-traitants peuvent bénéficier du mécanisme du guichet unique pour les cas transfrontaliers dès lors qu’ils possèdent un établissement principal établi dans l’Espace économique européen (EEE).


Obligation de désigner un représentant européen


Vous êtes un responsable de traitement ou un sous-traitant basé au Royaume-Uni et vous ne disposez pas de bureaux dans l’EEE, ni de succursale ou d’établissement. Mais, vous offrez des biens ou des services à des individus situés dans l’EEE ou vous surveillez le comportement d’individus situés dans l’EEE. l'ICO vous recommande de désigner un représentant européen.


Obligation de désigner un représentant britannique


Vous êtes soumis à une telle obligation si vous êtes un responsable de traitement ou un sous traitant non basé au Royaume-Uni (vous n’y avez pas de bureaux, de succursales ou d’autres établissements) et que vous offrez des biens ou services à des individus au sein du Royaume-Uni ou surveillez le comportement d’individus situés au Royaume-Uni.


  • Les cas d'exception en cas de décision d'adéquation

Il existe trois exceptions permettant d’être dispensé d’une représentation européenne. Elles concernent :

1. les autorités publiques

2. les traitements qui ne sont qu’occasionnels, ne présentent qu’un faible risque pour les droits des personnes en matière de protection des données et n’impliquent pas l’utilisation à grande échelle de données relatives à des catégories particulières (appelées auparavant « données sensibles ») ou à des infractions pénales

3. les entreprises qui ont un établissement principal au sein d’un pays de l’EEE (dans ce cas, leurs activités européennes sont couvertes par le RGPD et le mécanisme du guichet unique s’applique).

GCTI RGPD Cloud Europe

Source 1

Source 2

Source 3

Source 4


25 vues