Pour les entreprises
Digital Signatures Client Access Portals Practice Manager Client Onboarding Vente de services : Devis et propositions ID Verification Services
Pour les particuliers
E-Sign & Stockage
Par fonction
Ventes Opérations Conformité Ressources humaines
Vendre des services professionnels Automate Client Onboarding Gestion de documents en nuage sans papier Deal Rooms for Mergers & Acquisitions Gestion de cabinet Accélérer l'intégration des employés beta
Présentation de l'application Assistance technique Nouveautés Base de connaissances
Intégrations
See All Integrations Office365 Zoho CRM Xero
Blog Tarification
Se connecter
🇬🇧UK 🇺🇸US 🇵🇱PL 🇺🇦UA 🇪🇸ES 🇩🇪DE 🇫🇷FR 🇳🇱NL 🇵🇹PT 🇮🇹IT
Démarrer l’essai gratuit

Protection des données après le Brexit – et maintenant ?

MyDocSafe Team

La protection des données après le Brexit est un sujet complexe et évolutif, ce qui n'est pas de bon augure pour les entreprises britanniques. Les PME seront probablement les plus durement touchées, au même titre que les grandes entreprises.

Le principal problème réside dans le fait que la protection des données n'est pas suffisamment abordée dans l'accord commercial, bien qu'il comprenne un mécanisme transitoire pour la libre circulation des données personnelles entre l'UE/EEE et le Royaume-Uni. Nous savons que le gouvernement britannique élabore actuellement sa stratégie et a indiqué que les données devraient être considérées comme une opportunité plutôt que comme une menace, une approche plus proche de celle des États-Unis que de celle de l'UE. Avec le temps, il est probable que le modèle britannique de protection des données évolue et diverge de celui de l'UE. Actuellement, plusieurs régimes s'appliquent :

  • Régime RGPD britannique : il s’agit de la nouvelle version britannique sur mesure du RGPD, basée sur le RGPD de l’UE.
  • Règlement général sur la protection des données (RGPD) de l'UE : il s'agit du RGPD original qui s'applique aux 27 États membres de l'Union européenne ainsi qu'à la Norvège, à l'Islande et au Liechtenstein.
  • Lacune d'adéquation ou régime RGPD hérité – ceci ne s'appliquera pas si le Royaume-Uni reçoit une décision d'adéquation définitive de l'UE.

    • La Commission européenne a élaboré un projet de décision indiquant que le RGPD britannique et la loi britannique sur la protection des données de 2018 (DPA 2018) garantissent un niveau de protection des données personnelles transférées depuis l'UE/EEE essentiellement équivalent à celui garanti par le RGPD de l'UE. Cette décision doit encore être approuvée et des considérations politiques et des risques pourraient retarder sa ratification.

Envoi de données à l'étranger :

  • Les règles d'entreprise contraignantes (REC) restent la référence absolue.
    • Les BCR sont conçues pour permettre aux entreprises multinationales de transférer des données personnelles de l'EEE vers leurs sociétés du groupe situées en dehors de l'EEE (y compris le Royaume-Uni depuis le 31 décembre 2020).
  • Les clauses contractuelles types (CCT) sont des modèles de clauses approuvés qui garantissent le respect des normes du RGPD (à condition que les termes des CCT soient respectés).

    • L'ICO prévoit de publier de nouvelles clauses contractuelles types (CCT) britanniques en 2021. Elle a élaboré une version modifiée des CCT européennes existantes afin de les adapter au contexte britannique. À terme, les CCT européennes pourraient ne plus être valides pour les transferts en provenance du Royaume-Uni.

    • Ces mesures font actuellement l'objet de consultations et une période de transition d'un an est prévue après leur approbation. Elles seront probablement valides là où le RGPD de l'UE s'applique. L'approbation du Royaume-Uni reste à confirmer, mais dans le cas contraire, elles seront invalides pour les transferts de données hors du Royaume-Uni en vertu du RGPD britannique.

  • Autres exceptions à la règle (voir diapositives et enregistrement ci-dessous).

Qu’en est-il des délégués à la protection des données (DPO) ?

  • Si vous êtes actuellement tenu de désigner un DPO, cette obligation demeure, que ce soit en vertu du RGPD britannique ou du RGPD européen. Vous pouvez conserver un DPO couvrant le Royaume-Uni et l'EEE. Ce DPO peut continuer d'être situé au Royaume-Uni.
  • Toutefois, les RGPD britannique et européen exigent tous deux que votre DPO soit facilement accessible depuis chaque établissement situé dans l'EEE et au Royaume-Uni, et qu'il possède une connaissance approfondie des deux réglementations.

Que devriez-vous faire maintenant ?

  • La première étape cruciale consiste à comprendre vos flux de données et les lieux concernés (il est essentiel de distinguer le traitement au Royaume-Uni de celui au sein de l'UE). Priorisez les flux contenant des volumes importants de données, des données sensibles ou des données relatives aux condamnations et infractions pénales, les transferts critiques pour l'activité et ceux impliquant des zones à haut risque comme les États-Unis. MyDocSafe a développé un outil RGPD permettant d'enregistrer et de cartographier ces flux de données. Cet outil sert à la fois de plateforme d'audit et de gestion de la confidentialité. Il est actuellement réservé aux nouveaux clients entreprises ; veuillez nous contacter pour en savoir plus.
  • Fort de votre compréhension des flux de données, vous devrez ensuite décider s'il convient de prendre des mesures supplémentaires telles que :
    • Comment obtenir des conseils juridiques pour mettre à jour vos BCR, SCC, vos mentions légales et vos accords de traitement des données, et comment se tenir informé des évolutions législatives ?
    • Nommer des représentants de l'UE, du Royaume-Uni et des pays de la CEI ?
    • Définissez votre autorité de supervision principale appropriée
    • Assurez-vous que votre DPO soit facilement joignable depuis n'importe quel établissement du Royaume-Uni et de l'EEE et qu'il possède une expertise dans tous les régimes concernés.

Notre verdict

Nous estimons que le cadre juridique actuel est défavorable aux PME britanniques, qui risquent d'avoir des difficultés à s'y conformer, voire d'ignorer complètement le sujet. Celles qui opèrent au Royaume-Uni pensent probablement qu'elles n'ont pas à s'inquiéter outre mesure tant que leurs données restent au Royaume-Uni. Or, la plupart d'entre elles ignorent même si c'est le cas. Lors de l'introduction du RGPD, peu d'entreprises se sont montrées disposées à entreprendre les démarches nécessaires. Nous avons recueilli des témoignages indiquant que peu d'entre elles ont réalisé la cartographie de leurs données, et encore moins ont utilisé les outils logiciels adéquats. C'est en partie pour cette raison que notre outil GDPR Dashboard, conçu spécifiquement à cet effet et que nous proposions gratuitement à l'époque, n'est plus accessible aux nouveaux clients PME.

Tags

Gestion sécurisée des documents
← Retour au blog
Nous utilisons des cookies pour améliorer votre expérience de navigation et analyser le trafic du site. En cliquant sur "Accepter", vous consentez à notre utilisation des cookies. Politique de confidentialité