27 Oct Brexit, DPD et représentants légaux : vers un dédoublement de fonctions ?

27 Oct Brexit, DPD et représentants légaux : vers un dédoublement de fonctions ?

5/5 - (2 votes)

Après le 31 décembre 2020, le droit européen n’aura plus d’effet dans l’ordre juridique anglais. En matière de protection des données, de nombreuses questions surgissent. Parmi celles-ci, la possible obligation de désigner un second DPD et un second représentant sur le sol européen par les responsables du traitement anglo-saxons.

Une situation légale encore floue ?

Ce 31 décembre 2020 sonne le glas de la période de transition prévue par l’accord de retrait. Le droit européen n’aura plus aucun effet dans l’ordre juridique britannique. Toutefois, les effets extraterritoriaux du RGPD continueront à s’appliquer. Même si les sociétés britanniques n’ont pas d’établissement sur le territoire de l’Union européenne, le Règlement trouvera à s’appliquer si elles offrent des biens ou des services ou surveillent le comportement des personnes résidant dans l’Union européenne.

En parallèle, le RGPD sera transposé et deviendra une loi à part entière de l’ordre juridique britannique. Fatalement, ce « RGPD à l’anglaise » s’appliquera à toute entreprise établie au Royaume-Uni qui traite des données personnelles. De plus, tout comme son alter-ego européen, il pourra s’appliquer à toutes les sociétés étrangères n’ayant pas d’établissement sur le sol britannique dans le cas où elles offriraient des biens ou des services aux personnes résidant au Royaume-Uni ou surveilleraient leurs comportements.

Un possible dédoublement ?

Dans le cas de la nomination du délégué à la protection des données, une question plane : les sociétés se situant hors de l’Union européenne, qui ont actuellement un DPD au Royaume-Uni devront-elles désigner un DPD sur le sol européen ?

Selon le Règlement, le DPD doit être facilement joignable que ce soit par l’autorité de contrôle, par l’entreprise dont il dépend ou par les personnes concernées. Un DPD situé sur le sol anglais n’irait pas à l’encontre de ce principe d’accessibilité. Toutefois, pour être considéré comme tel, le Groupe 29 a estimé que le délégué devait être localisé dans l’Union européenne.  Même si les opinions et les recommandations du G29 ne sont pas légalement contraignantes, il est fort probable que les entreprises les plus avisées déplacent leur DPD vers un pays de l’Union européenne.

En outre, un dédoublement risque bel et bien de se produire. En effet, le « RGPD » anglais obligera lui aussi de nommer un délégué à la protection des données sur son territoire.

Quant est-il du représentant légal ?

Dans le cas du représentant légal, la réponse est plus claire. Selon le Règlement, les responsables du traitement ou les sous-traitants établis hors de l’Union européenne doivent désigner un représentant au sein de l’Union. Par conséquent, les entreprises, qui ont actuellement leur représentant au Royaume-Uni, devront le déplacer sur le sol de l’Union européenne afin de respecter les prescrits légaux.

À l’inverse, les responsables du traitement ou les sous-traitants établis hors de Grande-Bretagne et qui tombent sous le coup du « RGPD anglais » devront eux aussi nommer un représentant légal sur le sol britannique afin d’être conformes à la loi locale.

Notre aide

Si vous désirez plus d’informations concernant l’impact du Brexit sur votre politique de protection des données, n’hésitez pas à contacter Privacy Praxis. Nous offrons une large gamme de services relatifs à la protection des données et à la mise en conformité de vos systèmes d’informations au RGPD. De plus, nous pouvons être votre DPO aussi bien au Royaume-Uni qu’en Europe et vous présentez nos partenaires qui pourront être nommés comme représentants légaux.