Le Brexit est consommé et le Royaume-Uni a officiellement quitté l’Union européenne le 31 janvier 2020. Quid du règlement général sur la protection des données (RGPD) ? Nominet a publié une note clarificatrice (theukdomain.uk, 2020-02-20).
D’emblée, Nominet rappelle, à bon escient, que le Royaume-Uni et l’Union européenne sont entrés dans une période transitoire qui pose le status quo alors que de nouvelles négociations sur les relations post-Brexit sont en cours. Entre temps, le RGPD et le Data Protection Act 2018 (la loi britannique sur la protection des données à caractère personnel qui a transposé le RGPD) continueront de s’appliquer normalement. La période de transition doit, en principe, s’étendre jusqu’au 31 décembre 2020. La Commission apporte la précision suivante :
“Alors que le Royaume-Uni était membre de l’Union européenne, les organismes privés et publics au Royaume-Uni ont reçu des données à caractère personnel de sociétés et d’administrations dans d’autres États membres.
L’accord de retrait prévoit qu’après la fin de la période de transition, le Royaume-Uni continue d’appliquer les règles européennes en matière de protection des données à ce ‘stock de données à caractère personnel’, jusqu’à ce que la Commission ait établi, par le biais d’une décision d’adéquation formelle, que le niveau de protection prévu par le régime du Royaume-Uni offre des garanties en matière de protection des données qui sont ‘essentiellement équivalentes’ à celles qui sont garanties par l’UE.
La décision d’adéquation formelle prise par la Commission doit être précédée d’une évaluation du régime de protection des données applicable au Royaume-Uni. Dans le cas où la décision d’adéquation a été annulée ou abrogée, le Royaume-Uni doit garantir que les données reçues seront soumises à une norme de protection ‘essentiellement équivalente’ à la réglementation de l’UE en matière de protection des données” (Questions et réponses sur le retrait du Royaume-Uni de l’Union européenne le 31 janvier 2020, 2020-01-24)
Aucune information officielle n’est fournie quant à la durée possible de la procédure d’évaluation.
Selon Nominet, les dispositions du RGPD sont transposées dans la loi britannique et elles ne devraient pas être abrogées. En tout état de cause, le Royaume-Uni étant désormais un pays tiers, les entreprises doivent nécessairement se mettre en conformité avec les dispositions relatives aux transferts transfrontaliers de données à caractère personnel.
