📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Transferts de données vers le Royaume-Uni : ce que change le projet de loi britannique

Actualités RGPD

Sommaire

Suite à la sortie du Royaume-Uni de l’Union européenne (Brexit), il a fallu mettre en place un cadre juridique pour garantir que les données personnelles des citoyens européens restent suffisamment protégées lorsqu’elles sont transférées vers le Royaume-Uni. Or, l’adéquation de ce cadre juridique pourrait bientôt être remis en cause. 

Si votre entreprise échange des données avec des partenaires britanniques (clients, fournisseurs, prestataires) ou si vous avez une filiale au Royaume-Uni, il est essentiel de comprendre les enjeux du nouveau projet de loi britannique sur les données personnelles et les conséquences possibles pour votre conformité RGPD.

En quoi cela concerne votre entreprise ? 

En tant qu’entreprise française, vous vous demandez sûrement en quoi la législation britannique vous concerne. Pourtant, vous êtes visé si : 

  • Vous travaillez avec un prestataire situé au Royaume-Uni (hébergement, marketing, SAV…).
  • Vous avez des clients ou des partenaires commerciaux britanniques.
  • Vous utilisez des outils SaaS (CRM, emailing…) hébergés au Royaume-Uni.
  • Vous avez une filiale au Royaume-Uni

En effet, dans ces différents cas, des transferts de données personnelles peuvent avoir lieu. Or, le RGPD impose des règles strictes pour garantir que les données des citoyens européens restent protégées, même lorsqu’elles sortent de l’UE. 

Le cadre actuel : deux décisions d’adéquation temporaires 

Depuis 2021, le Royaume-Uni bénéficie de deux décisions d’adéquation. Si vous ne savez pas ce que c’est, pas de panique ! C’est simplement un mécanisme permettant de transférer des données avec un certain pays sans qu’il soit nécessaire d’appliquer des mesures supplémentaires (comme des clauses contractuelles types, des Binding Corporate Rules etc.). Il est donc actuellement possible d’échanger des données avec des entreprises britanniques sans prévoir de garanties complémentaires. 

Toutefois, les deux décisions d’adéquation sont temporaires et ne sont valables que jusqu’au 27 décembre 2025. C’est la raison pour laquelle un projet de loi a été déposé devant le Parlement britannique en octobre 2024. Celui-ci apporte une série de modifications.

Cet article pourrait aussi vous intéresser : Transferts de données UE – USA :  vers l’annulation de la décision d’adéquation sous Trump ?

Le projet de loi britannique : un cadre moins protecteur  

Le Royaume-Uni envisage une réforme profonde de sa législation sur les données personnelles avec le projet de loi Data Use and Access Bill (DUA). S’il est adopté, ce texte modifierait plusieurs aspects fondamentaux de la loi britannique de 2018, calquée initialement sur le RGPD. Ces changements visent à simplifier certaines obligations pour les entreprises, mais pourraient aussi fragiliser le niveau de protection des données actuellement reconnu comme « adéquat » par l’Union européenne. Le projet de loi prévoit notamment : 

  • une plus grande place pour la prise de décision automatisée. Actuellement, les citoyens ont le droit de ne pas faire l’objet d’une décision prise à l’égard d’une personne, uniquement par le biais d’algorithmes, sans qu’aucun humain n’intervienne dans le processus. Toutefois, le projet de loi permettrait de lever cette interdiction dans de nombreux cas (contrat, autorisation de la personne, etc.). Le recours à un tel type de décision serait donc facilité.  

  • moins de garanties pour les traitements réalisés par les autorités judiciaires. Les autorités seraient exemptées des obligations de transparence et pourraient recourir plus facilement aux prises de décisions automatisées pour de nombreuses raisons, telles qu’à la poursuite d’infractions pénales. Cela s’effectuerait sans obligation claire d’informer les personnes concernées, sauf s’il est « raisonnablement possible » de le faire après coup. Cette disposition pose ainsi un risque évident en cas d’erreur ou d’abus.

  • une autorité de contrôle moins indépendante. L’actuel Information Commissioner’s Office (ICO) serait remplacé par une nouvelle Commission de l’information, dont les membres seraient nommés directement par le Secrétaire d’État. Cette nouvelle entité aurait par ailleurs pour mission de protéger les données, mais aussi de promouvoir l’innovation, la compétitivité et la lutte contre la criminalité. Ces objectifs économiques et sécuritaires risquent de diluer la mission principale de protection de la vie privée.

Si le projet subsistait avec ces dispositions actuelles, il n’est ainsi pas certain que la Commission européenne décide d’adopter une nouvelle décision d’adéquation. 

Cet article pourrait aussi vous intéresser : Cybersécurité : chaque salarié a un rôle à jouer

Que faire si une nouvelle décision d’adéquation n’est pas adoptée ? 

L’éventuelle absence de décision d’adéquation ne signifie pas l’interdiction pure et simple de transferts de données au Royaume-Uni, mais cela impose des garanties supplémentaires, comme : 

  • des clauses contractuelles types (CCT) 
  • des règles d’entreprise contraignantes (BCR)
  • un code de conduite approuvé incluant l’engagement des destinataires hors UE de mettre en oeuvre des garanties appropriées 
  • un mécanisme de certification approuvé incluant l’engagement des destinataires hors UE de mettre en oeuvre des garanties appropriées 

Concrètement les clauses contractuelles types et les règles d’entreprise contraignantes sont les mécanismes les plus fréquemment utilisés. 

Des analyses d’impact des transferts des données (AITD) pourront également être réalisées. 

Nous vous conseillons aussi d’adopter les mesures suivantes afin d’anticiper dès maintenant : 

  • Faites l’inventaire de vos transferts de données vers le Royaume-Uni.
  • Vérifiez vos contrats et les engagements de vos partenaires britanniques en matière de protection des données
  • Réalisez régulièrement une veille juridique afin d’être informé de l’évolution du cadre relatif aux transferts de données entre l’UE et le Royaume-Uni.
  • Se faire accompagner par un DPO qui saura vous conseiller 

Conclusion 

Le projet de loi britannique soulève de nombreuses interrogations, notamment en ce qui concerne le maintien du niveau de protection jugé « adéquat » par l’Union européenne. Ainsi, il est possible que la Commission européenne n’adopte pas de décision adéquate, estimant que le cadre juridique britannique n’offre pas un niveau de protection suffisant. Une telle situation aurait des conséquences très concrètes pour les entreprises européennes qui transfèrent des données vers le Royaume-Uni. C’est pourquoi il est indispensable d’anticiper et de mettre en place les mesures nécessaires afin d’encadrer ces transferts. 

Confiez-nous votre conformité
on saura la faire passer de 😡 à 😎
Prendre RDV maintenant
Partager le post

Articles connexes

Joséphine Iachino
Joséphine Iachino
Juriste en protection des données / Master 2 Droit Algorithmique et Gouvernance des Données.
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.