Lorsque le RGPD est entré en vigueur en mai 2018, le Royaume-Uni était encore un État membre de l’UE. Bien que les négociations pour la sortie du Royaume-Uni de l’UE (Brexit) soient en cours depuis le référendum de 2016, le Royaume-Uni est resté tenu de se conformer au RGPD.
Cependant, à l’issue de la période de transition, le Royaume-Uni a cessé d’être un État membre de l’UE le 31 décembre 2020.
Cela a suscité une grande confusion quant à savoir si les organisations britanniques doivent toujours se conformer au RGPD. Et aussi, qu’est-ce qui remplace le RGPD dans la législation britannique.
Pour dissiper toute confusion restante, nous expliquerons dans cet article comment le RGPD s’applique désormais au Royaume-Uni. Nous aborderons également l’état actuel de la législation britannique sur la protection des données.
Le RGPD s’applique-t-il au Royaume-Uni ?
À partir du 1er janvier 2021, le RGPD de l’UE ne s’applique plus pleinement au Royaume-Uni. Cependant, le Royaume-Uni – comme tous les pays non membres de l’UE – est toujours lié par les effets extraterritoriaux du RGPD.
Deux principaux effets extraterritoriaux affectent les organisations non européennes :
- Lors de la vente de biens et de services à des citoyens de l’UE. Ici, la collecte de données personnelles est toujours réglementée et doit être conforme au RGPD. Cela signifie qu’il faut suivre les sept principes fondamentaux et s’assurer que le consentement est donné activement.
- Le suivi de l’activité des utilisateurs est également couvert, par exemple, la collecte de cookies. Ici, toutes les données collectées pour surveiller un citoyen de l’UE doivent respecter le RGPD.
Le non-respect du RGPD à la lettre entraînera une amende de 20 millions d’euros ou un chiffre d’affaires annuel mondial de 4 %, le montant le plus élevé étant retenu. Pour les organisations britanniques, cela est plus susceptible d’être punissable devant les tribunaux compte tenu du respect récent et strict de la législation européenne.
Cela ne s’applique pas aux organisations britanniques qui ne s’adressent pas aux citoyens de l’UE, par exemple, un restaurant local. Elle ne s’applique pas non plus aux communications personnelles ou familiales.
Qu’est-ce qui a remplacé le RGPD de l’UE ?
En prévision du Brexit, le gouvernement britannique a transféré une grande partie de la législation de l’UE dans le droit britannique. Cela inclut le RGPD de l’UE. En 2018, la loi sur la protection des données (DPA) a déjà transposé les exigences du RGPD de l’UE dans la loi britannique. Cependant, d’autres modifications ont été apportées à la LPD (2018) avec le DPPEC (Protection des données, confidentialité et communications électroniques (amendements, etc.) (Sortie de l’UE)) en 2019. Cette législation a fusionné la DPA (2018) avec le RGPD de l’UE pour créer un nouveau régime de protection des données spécifique au Royaume-Uni.
C’est ce qu’on appelle le RGPD britannique.
Qu’est-ce que le RGPD britannique ?
Le RGPD du Royaume-Uni est un texte législatif distinct, distinct du RGPD de l’UE. Cependant, le RGPD britannique partage un grand nombre des mêmes principes clés, droits et obligations en raison de son histoire. À l’instar du RGPD de l’UE, le RGPD du Royaume-Uni repose sur deux principes clés :
- Les organisations qui collectent les données personnelles des citoyens britanniques doivent s’assurer qu’elles le font de manière limitée et sécurisée. Cela réduit la collecte massive de données et empêche la probabilité de violations de données.
- Les citoyens britanniques ont le droit de consentir à la collecte de leurs données et peuvent annuler leur consentement ultérieurement. Ils doivent être correctement informés de la manière dont leurs données sont utilisées avant de pouvoir prendre une décision.
Le RGPD britannique a également des implications pour les organisations non britanniques. À l’instar du RGPD de l’UE, le RGPD du Royaume-Uni exerce un « effet extraterritorial ». Cela signifie que les organisations situées en dehors du Royaume-Uni doivent respecter le RGPD britannique dans les circonstances suivantes :
– S’ils commercialisent des biens ou des services à des citoyens basés au Royaume-Uni (payants ou gratuits).
– S’ils surveillent le comportement en ligne des citoyens britanniques lorsqu’ils accèdent à leur site Web.
Dans les deux cas, les données personnelles des citoyens britanniques sont soumises à une législation stricte. Ainsi, les entreprises du Royaume-Uni et de l’UE doivent se conformer aux RGPD du Royaume-Uni et de l’UE, même si les deux sont réglementés séparément.
Encore une fois, à l’instar du RGPD de l’UE, il existe quelques exceptions notables. Le RGPD britannique ne régit pas les communications personnelles ou les entreprises qui ne s’adressent pas aux citoyens britanniques. Par exemple, une librairie locale à Prague, en Tchéquie.
Que se passe-t-il si vous ne respectez pas le RGPD britannique ?
Le non-respect du RGPD britannique entraîne également des amendes : soit 17,5 millions de livres sterling, soit 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Ce n’est pas la liste complète des activités d’application de la loi possibles. L’Information Commissioner’s Office (ICO) du Royaume-Uni se réserve également le droit de faire respecter les infractions au RGPD au Royaume-Uni par d’autres moyens, notamment :
– Émettre des avertissements et des réprimandes
– Imposer une interdiction temporaire ou définitive du traitement des données
– Ordonner la rectification, la limitation ou l’effacement des données
– Suspension des transferts de données vers des pays tiers
Le RGPD britannique classe également les infractions et impose différents niveaux de sanctions. Il existe deux niveaux de pénalité :
- Niveau inférieur. Amendes pouvant aller jusqu’à 8,7 millions ou 2 % du chiffre d’affaires annuel mondial. Délivré pour les infractions à l’article suivant :
un. Article 8 : Conditions du consentement de l’enfant
b. Article 11 : Traitement ne nécessitant pas d’identification
c. Articles 25 à 39 : Obligations générales des sous-traitants et des responsables du traitement
d. Article 42 : Certification
e. Article 43 : Organismes de certification - Niveau supérieur. Amendes pouvant aller jusqu’à 17,5 millions de livres sterling, soit 4 % du chiffre d’affaires annuel mondial. Problèmes pour les infractions à l’article suivantes :
un. Article 5 : Principes de traitement des données
b. Article 6 : Licéité du traitement
c. Article 7 : Conditions du consentement
d. Article 9 : Traitement de catégories particulières de données
e. Articles 12 à 22 : Droits des personnes concernées
f. Articles 44 à 49 : Transferts de données vers des pays tiers ou des organisations internationales
Conclusion
Pour récapituler : en prévision du Brexit, le gouvernement britannique a transféré et consolidé la législation existante dans le RGPD britannique. Ce règlement reflète le RGPD de l’UE à bien des égards. Elle oblige les organisations non britanniques à respecter la loi lors de la collecte et de l’utilisation des données des citoyens britanniques.
Par conséquent, les entreprises doivent se familiariser avec la législation et ses exigences.
Sources:
https://www.itgovernance.co.uk/dpa-and-gdpr-penalties
https://ico.org.uk/for-organisations/dp-at-the-end-of-the-transition-period/data-protection-and-the-eu-in-detail/the-uk-gdpr/
https://article27representative.eu/brexit/brexit-and-the-gdpr/
https://www.itgovernance.co.uk/eu-gdpr-uk-dpa-2018-uk-gdpr
https://www.legislation.gov.uk/uksi/2019/419/introduction/made
https://www.gdpr.associates/gdpr-brexit/