Une nouvelle décision d’adéquation (temporaire) pour le Royaume-Uni !

Depuis le Brexit, une grande incertitude règne concernant les retombées de la sortie du Royaume Uni de l’Union Européenne.

En effet, le Brexit peut avoir des conséquences non négligeables dès l’instant où votre entreprise ou vos activités présentent un lien avec l’Angleterre.

Quelle est la situation actuelle ?

• En matière de droit des marques, aucun accord n’a été pris à ce jour. Par conséquence, si vous disposez d’une marque de l’Union européenne, qui vous protégeait également sur le territoire du Royaume-Uni, cette protection n’existe plus sur le territoire anglais (plus d’informations ici).
• En matière de protection des données à caractère personnelles, ça bouge !

Pour rappel, la Commission européenne avait adopté le 28 juin 2021 une décision d’adéquation en faveur du Royaume-Uni.

Alors que cette décision devait expirer le 27 juin 2025, l’European Data Protection Board (EDPB) a récemment rendu un avis favorable sur la proposition de la Commission européenne visant à en prolonger la validité de six mois.

Cette prolongation concerne tout à la fois la décision d’adéquation prise au titre du RGPD, et celle relative à la protection des données dans le cadre de la coopération policière et judiciaire en matière pénale.

Le 24 juin 2025, la Commission européenne a finalement officiellement adopté la décision (UE) 2025/1226, prolongeant la validité des décisions d’adéquation jusqu’au 27 décembre 2025.

Que signifie l’adoption de cette décision d’adéquation ?

Jusqu’au 27 décembre 2025, tout transfert de données à caractère personnel vers le Royaume-Uni est autorisé. Après avoir analysé la situation et la législation anglaise, la Commission a décidé que le Royaume-Uni offrait pour l’instant un niveau de protection des données équivalent à celui imposé dans les États Membres de l’Union Européenne par le RGPD.

Attention : une décision d’adéquation ne signifie pas que tout transfert de données est et restera autorisé en tout état de cause :

• Même si le transfert en lui-même est autorisé, il n’en reste pas moins que les autres règles du RGPD s’appliquent. Si le transfert de données est né d’une situation de sous-traitance de données au sens du RGPD, il faut impérativement que le responsable du traitement et le sous-traitant concluent un accord de sous-traitance. Cet accord doit contenir toutes les mentions légales rendues obligatoires par l’article 28 du RGPD.
• De plus, la décision d’adéquation en elle-même peut être remise en cause :
• La prolongation de la décision d’adéquation ne vaut que pour 6 moisà l’issue desquels il faudra évaluer à nouveau la situation. Si le Royaume-Uni ne protège plus suffisamment les données, la décision d’adéquation pourra être retirée.
• Une invalidation jurisprudentielle de la décision d’adéquation ne peut pas être exclue. Comme elle l’a déjà fait 2 fois concernant les USA, la Cour de Justice pourrait décider que la législation du pays de destination ne permet pas, en pratique, une protection suffisante. Dans ce cas, la Cour invaliderait la décision d’adéquation.

Attention : Bien qu’il dispose de cette décision d’adéquation, le Royaume-Uni reste un pays tiers au sens du RGPD dès lors qu’il ne fait plus partie de l’Union Européenne.

Par conséquent, l’entreprise anglaise qui n’a pas d’établissement dans l’UE, doit désigner un “représentant GDPR”.

Cette obligation de désigner un représentant sur le territoire de l’Union reste pleinement applicable à toute entreprise établie au Royaume-Uni.

L’autorité de protection des données néerlandaise a par exemple imposé une lourde amende à une entreprise qui n’avait pas désigné de représentant dans l’Union. L’autorité a condamné cette société à une amende de 525.000 EUR mais ce n’est pas tout. Elle a également obligé cette société à désigner son représentant UE sous peine de devoir payer la somme de 20.000 EUR pour chaque période de 2 semaines passée sans s’être conformé à cette injonction.