Le Royaume-Uni a quitté l’UE le 31 décembre 2020 et a mis en lumière une question clé: comment les organisations vont-elles transférer des données personnelles vers et depuis les États membres de l’UE?
Le gouvernement espère actuellement une décision d’adéquation, ce qui signifierait que les organisations pourraient continuer presque sans interruption, si elles étaient approuvées. Cependant, ce sera toujours une bataille difficile pour obtenir la décision de la Commission européenne avant le 31 décembre, le processus prenant généralement deux ans ou plus.
Les choses se sont également compliquées à l’époque avec l’invalidation du bouclier de protection des données UE-États-Unis et la possibilité d’un Brexit sans accord. Cela signifie qu’il semble que des changements majeurs sont en cours et que le Bureau des commissaires à l’information (ICO) conseille aux organisations d’agir maintenant.
Les organisations ont un an pour se mettre en forme après le réveillon du Nouvel An – et ce sont les trois choses que vous devez aborder dans un monde post-Brexit.
Sommaire
Avoir une base légale pour les transferts de données
Avant le Brexit, les données personnelles pouvaient être librement transférées entre l’UE et le Royaume-Uni, mais à la fin de la période de transition le 31 décembre, les organisations devaient établir une nouvelle base légale. Si nous supposons qu’une décision d’adéquation n’a pas été prise à temps, les organisations devront utiliser des clauses contractuelles standard (SCC) ou des règles d’entreprise contraignantes (BCR).
Les SCC sont des contrats juridiques qui décrivent les conditions générales des transferts de données et sont destinés à des transferts internes simples de données personnelles et aux organisations qui participent à un partage de données bidirectionnel. Lors de l’utilisation de SCC, les organisations et les régulateurs doivent mener une analyse au cas par cas pour déterminer si les protections concernant l’accès du gouvernement aux données sont conformes aux normes de l’UE.
Les BCR s’appliquent strictement aux multinationales et les aident à effectuer des transferts intra-organisationnels de données personnelles à travers l’UE.
Nommez un représentant de l’UE si vous en avez besoin
Un représentant de l’UE est une personne basée dans l’UE qui travaille au nom d’une organisation dans un pays tiers, ce que le Royaume-Uni deviendra si nous ne parvenons pas à une décision d’adéquation.
Le règlement général sur la protection des données (RGPD) stipule à l’article 28 que, à l’exception des organismes publics, les responsables du traitement qui ne sont pas basés dans un État membre – et qui traitent régulièrement les données personnelles des résidents de l’UE – doivent établir un représentant de l’UE.
Pour les organisations britanniques, cela englobera principalement le fait de servir de point de contact entre l’organisation, la personne concernée et les autorités de contrôle.
Le représentant de l’UE le fera en:
- Tenir des registres des activités de traitement des données de l’organisation.
- Répondre à toutes les questions des autorités de contrôle ou des personnes concernées concernant le traitement des données.
- Rendre les enregistrements de traitement de données accessibles à l’ICO.
Celles-ci ressemblent à des tâches similaires à celles d’un délégué à la protection des données (DPD), mais il est très important de ne pas confondre les deux rôles. Un DPO est un expert indépendant qui aide à faciliter et à évaluer les pratiques de conformité de l’organisation – un représentant de l’UE représente des organisations non basées dans l’UE en ce qui concerne leurs exigences GDPR. Des entreprises telles que GRCI Law peuvent également agir en tant que représentant d’une organisation dans l’UE – et prendre en charge toutes les activités de traitement des données personnelles et les exigences de conformité au RGPD si nécessaire.
Identifiez votre autorité de contrôle principale
L’autorité de contrôle principale (LSA) d’une organisation est l’organisme public responsable de la conformité en matière de protection des données (il s’agit de l’ICO au Royaume-Uni). Cependant, à partir du 31 décembre, l’ICO ne sera plus une autorité de surveillance en vertu du RGPD, les organisations basées au Royaume-Uni devront donc trouver une alternative – ce qui signifie identifier l’organisme de protection des données de l’UE qui est le plus approprié pour votre entreprise. Cela consiste généralement à identifier le pays qui prend la part du lion dans vos activités commerciales et à identifier son autorité de surveillance. Ainsi, par exemple, si vous traitez principalement les données personnelles des résidents espagnols, votre LSA doit être l’autorité espagnole de protection des données.
Une fois que vous avez identifié votre LSA, vous devrez savoir si elle oblige votre organisation à mener des actions spécifiques – il peut être obligatoire de s’inscrire auprès de la LSA et de payer des frais, par exemple. De plus, vous devez également examiner les différences entre la façon dont votre organisation et son nouveau LSA abordent la conformité au RGPD, puis ajuster vos pratiques si nécessaire. Par exemple, le règlement donne aux autorités de contrôle la possibilité d’ajuster l’âge auquel une personne n’est plus mineure – et d’interpréter ses règles comme bon lui semble.
De toute évidence, il y a un certain nombre de changements que les organisations doivent apporter lorsqu’il s’agit de traiter les données personnelles après le Brexit. Certains de ces changements sont évidents, mais il y a beaucoup plus à faire qu’il n’y paraît – ces trois exigences à elles seules génèrent environ 150 tâches plus petites que les organisations devront accomplir. La liste de contrôle gratuite pour le Brexit d’IT Governance Ltd. , la mise à jour des contrats régissant les transferts de données UE-Royaume-Uni pour incorporer des clauses contractuelles standard, et la mise à jour des politiques, procédures et documentation à la lumière de ces changements.
- Camilla Winlo, directrice du conseil chez DQM GRC.
