Le Royaume-Uni a quitté l’Union européenne le 31 janvier. S’ouvre depuis une période transitoire qui pourra être prorogée d’un à deux ans pour assurer le passage de relai.
Durant cette période, « rien ne change » sur le terrain des données personnelles. Ainsi, selon une fiche réalisée par la CNIL, les règles prévues « le Règlement Général sur la Protection des Données (RGPD) continueront d’être applicables au Royaume-Uni » jusqu’à ce terme. Le pays ne sera donc pas considéré comme un tiers à l’UE.
Au-delà de la période transitoire, « les transferts de données personnelles […] devront être encadrés par les outils prévus par le RGPD, à moins qu’une décision prise par la Commission européenne ne reconnaisse que le Royaume-Uni garantit un niveau de protection adéquat ».
Commentaires (3)
#1
Non. Le GDPR continuera de s’appliquer pour les européens qui traiteraient avec des sites au UK, comme pour le reste du monde (comme aux US ou ailleurs, les sociétés faisant du business avec des internautes européens sont censées appliquer le GDPR)
Ou alors j’interprète mal la loi ?
#2
C’est juste que tu es à côté du sujet.
Là ce n’est pas la question de savoir si le volet “protection des données des européens vis à vis des entités de pays extérieurs à l’UE” s’applique ou pas, celle là s’applique de toute façon à tout pays Tiers (ce que sera le RU sous peu), mais de la partie : “simplification, garanties et état supposé” de la gestion et protection des Données Personnelles par tout Pays de l’UE, qui fait qu’il y a des contrôles et autorisations dont ils se passent.
Donc dans la période transitoire, on considère, de fait, le RU comme un pays de l’UE pour ce volet là, et après, suaf accord spécifique, on le considérera comme n’importe quel pays Tiers.
(ce qui accessoirement veut dire que le RU va se gaver en données Perso EU pendant des mois/années pour en fair ce qu’il veut, parce qu’ils en auront rien à foutre, controleront rien et autoriseront tout pour du pognon :().
#3
Il y a deux cas à prendre en comptes.
Premier cas, tu utilises un site dans un autre pays.
Dans ce cas ce site doit effectivement être conforme à l’application du RGPD et est responsable de tes données (en principe, l’atteindre judiciairement ne sera peut-être pas simple).
Deuxième cas. Tu es une entreprise en Europe qui gère des données personnelles.
Tu collecte les données de tes clients et tu les exploites pour un motif légitime (envoyer les commandes). Dans ton process tu passes par un sous traitant qui est situé dans un autre pays. Tu dois pouvoir garantir que ce sous-traitant, qui n’a pas un accès directe et qui effectue des tâches à ta demande, va gérer et stocker les données comme toi, européen, a obligation de le faire.
Dans ce cadre il y a trois listes de pays, ceux de l’union qui doivent être conformes. Ceux des pays de confiances définis par l’EU. Et les autres.
Cette question ici posée ne concerne donc que les sous-traitant d’entreprise responsables de traitement (et éventuellement les co-traitants).