Depuis le Brexit, une grande incertitude règne concernant les retombées de la sortie du Royaume Uni de l’Union Européenne.
En effet, le Brexit peut avoir des conséquences non négligeables dès l’instant où votre entreprise ou vos activités présentent un lien avec l’Angleterre.
Cependant, le Royaume-Uni et l’Union européenne travaillent de concert pour trouver des solutions et clarifier la situation.
- En matière de droit des marques, aucun accord n’a été pris à ce jour. Par conséquence, si vous disposez d’une marque de l’Union européenne, qui vous protégeait également sur le territoire du Royaume-Uni, cette protection n’existe plus sur le territoire anglais (plus d’informations ici).
- En matière de protection des données à caractère personnelles, ça bouge !
En effet, la Commission européenne a adopté le 28 juin 2021 une décision d’adéquation en faveur du Royaume-Uni.
Que signifie l’adoption de cette décision d’adéquation ?
Dès à présent, tout transfert de données à caractère personnel vers le Royaume-Uni est autorisé. Après avoir analysé la situation et la législation anglaise, la Commission a décidé que le Royaume-Uni offrait un niveau de protection des données équivalent à celui imposé dans les États Membres de l’Union Européenne par le RGPD.
Attention : une décision d’adéquation ne signifie pas que tout transfert de données est et restera autorisé en tout état de cause :
- Même si le transfert en lui-même est autorisé, il n’en reste pas moins que les autres règles du RGPD s’appliquent. Si le transfert de données est né d’une situation de sous-traitance de données au sens du RGPD, il faut impérativement que le responsable du traitement et le sous-traitant concluent un accord de sous-traitance. Cet accord doit contenir toutes les mentions légales rendues obligatoires par l’article 28 du RGPD.
- De plus, la décision d’adéquation en elle-même peut être remise en cause :
- La décision d’adéquation ne vaut que pour 4 ans à l’issue desquels il faudra évaluer à nouveau la situation. Si le Royaume-Uni ne protège plus suffisamment les données, la décision d’adéquation pourra être retirée.
- Une invalidation jurisprudentielle de la décision d’adéquation ne peut pas être exclue. Comme elle l’a récemment fait pour les USA, la Cour de Justice pourrait décider que la législation du pays de destination ne permet pas, en pratique, une protection suffisante. Dans ce cas, la Cour invaliderait la décision d’adéquation.
Attention : Bien qu’il dispose de cette décision d’adéquation, le Royaume-Uni reste un pays tiers au sens du RGPD dès lors qu’il ne fait plus partie de l’Union Européenne.
Par conséquent, l’entreprise anglaise qui n’a pas d’établissement dans l’UE, doit désigner un “représentant GDPR”.
Cette obligation de désigner un représentant sur le territoire de l’Union reste pleinement applicable à toute entreprise établie au Royaume-Uni.
Récemment, l’autorité de protection des données allemande a imposé une lourde amende à une entreprise qui n’avait pas désigné de représentant dans l’Union. L’autorité a condamné cette société à une amende de 525.000 EUR mais ce n’est pas tout. Elle a également obligé cette société à désigner son représentant UE sous peine de devoir payer la somme de 20.000EUR pour chaque période de 2 semaines passée sans s’être conformé à cette injonction.
Our advice:
- Faites de Lexing votre représentant RGPD !
Notre équipe d’avocats dispose de l’expérience et des compétences nécessaires pour faire de Lexing votre point de contact dans l’UE, un point de contact entre vous qui êtes responsable du traitement ou sous-traitant et les personnes concernées ou les autorités de contrôle européennes.
- Notre équipe reste à votre disposition pour toute question relative aux conséquences du Brexit sur vos activités.