Brexit, DPD et représentants légaux : vers un dédoublement de fonctions ?

Brexit, DPD et représentants légaux : vers un dédoublement de fonctions ?

Après le 31 décembre 2020, le droit européen n’aura plus d’effet dans l’ordre juridique anglais. En matière de protection des données, de nombreuses questions surgissent. Parmi celles-ci, la possible obligation de désigner un second DPD et un second représentant sur le sol européen par les responsables du traitement anglo-saxons.

Une situation légale encore floue ?

Ce 31 décembre 2020 sonne le glas de la période de transition prévue par l’accord de retrait. Le droit européen n’aura plus aucun effet dans l’ordre juridique britannique. Toutefois, les effets extraterritoriaux du RGPD continueront à s’appliquer. Même si les sociétés britanniques n’ont pas d’établissement sur le territoire de l’Union européenne, le Règlement trouvera à s’appliquer si elles offrent des biens ou des services ou surveillent le comportement des personnes résidant dans l’Union européenne.

En parallèle, le RGPD sera transposé et deviendra une loi à part entière de l’ordre juridique britannique. Fatalement, ce « RGPD à l’anglaise » s’appliquera à toute entreprise établie au Royaume-Unis qui traite des données personnelles. De plus, toute comme son alter-ego européen, il pourra s’appliquer à toutes les sociétés étrangères n’ayant pas d’établissement sur le sol britannique dans le cas où elles offriraient des biens ou des services aux personnes résidant au Royaume-Unis ou surveilleraient leurs comportements.

Un possible dédoublement ?

Dans le cas de la nomination du délégué à la protection des données, une question plane : les sociétés se situant hors de l’Union européenne, qui ont actuellement un DPD au Royaume-Unis devront- elles désigner un DPD sur le sol européen.

Selon le Règlement, le DPD doit être facilement joignable que ce soit pour l’autorité de contrôle, pour l’entreprise dont il dépend ou pour les personnes concernées. Un DPD situé sur le sol anglais n’irait pas à l’encontre de ce principe d’accessibilité. Toutefois,  pour être considéré comme tel, le Groupe 29 a estimé que le délégué devait être localisé dans l’Union européenne.  Même si les opinions et les  recommandations du G29 ne sont pas légalement contraignantes, il est fort probable que les entreprises les plus avisées déplacent leur DPD vers un pays de l’Union européenne.

En outre, un dédoublement risque bel et bien de se produire. En effet, le « RGPD » anglais obligera lui aussi de nommer un délégué à la protection des données sur son territoire.

Quant est-il du représentant légale ?

Dans le cas du représentant légal, la réponse est plus claire. Selon le Règlement, les responsables du traitement ou les sous-traitants établis hors de l’Union européenne doivent désigner un représentant au sein de l’Union. Par conséquent, les entreprises, qui ont actuellement leur représentant au Royaume-Unis, devront le déplacer sur le sol de l’Union européenne afin de respecter les prescrits légaux.

À l’inverse, les responsables du traitement ou les sous-traitant établis hors de Grande-Bretagne  et qui tombe sous le coup du « RGPD anglais » devront eux-aussi nommés un représentant légal sur le sol britannique afin d’être conforme à la loi locale.

Notre aide

Si vous désirez plus d’informations concernant l’impact du Brexit sur votre politique de protection des données, n’hésitez pas à contacter Privacy Praxis. Nous offrons une large gamme de services relatif à la protection des données et à la mise en conformité de vos systèmes d’informations au RGPD. De plus, nous pouvons être votre DPO aussi bien au Royaume-Unis qu’en Europe et vous présentez nos partenaires qui pourront être nommés comme représentants légaux.