Qu'est-ce que le UK GDPR ? Explication des relations avec le GDPR et des points clés à retenir
À la suite du Brexit, le UK GDPR (Règlement Général sur la Protection des Données du Royaume-Uni) a été mis en application le 1er janvier 2021.
Le GDPR, ou RGPD en français (Règlement Général sur la Protection des Données), est une réglementation de l’UE qui régit le traitement et le transfert des données personnelles. Les entreprises japonaises qui offrent des services aux clients au sein de l’UE doivent se conformer au RGPD. Le UK GDPR est la version britannique de ce règlement.
Cet article détaille la relation entre le GDPR et le RGPD de l’UE, et fournit une explication approfondie du RGPD de l’UE. Connaître les points essentiels à maîtriser et les lois à anticiper est crucial pour les entreprises qui envisagent de se développer en Europe, y compris au Royaume-Uni.
Le RGPD du Royaume-Uni mis en œuvre suite au Brexit
Le Royaume-Uni a quitté l’Union européenne (UE) le 31 janvier 2020, et en conséquence, le UK GDPR a été mis en œuvre sur la base du GDPR de l’UE.
Au sein du GDPR de l’UE, le Royaume-Uni est considéré comme un “tiers pays”, et les entreprises britanniques fournissant des services aux consommateurs de l’UE doivent se conformer à la fois au GDPR du Royaume-Uni et à celui de l’UE.
GDPR (Règlement général sur la protection des données de l’UE) | Loi mise en œuvre en 2018. Les entreprises fournissant des biens ou des services aux personnes dans l’UE ou surveillant leur comportement doivent prendre des mesures de protection des données. |
UK GDPR (Règlement général sur la protection des données du Royaume-Uni) | Loi mise en œuvre suite au Brexit en 2020. Les entreprises et organisations établies au Royaume-Uni, ou celles fournissant des services aux utilisateurs au sein du Royaume-Uni, doivent prendre des mesures de protection des données. |
Article connexe : Qu’est-ce que le GDPR ? Comparaison avec la loi sur la protection des données personnelles et points à prendre en compte par les entreprises japonaises[ja]
Article connexe : Explication des points clés pour créer une politique de confidentialité conforme au GDPR[ja]
Qu’est-ce que le UK GDPR ?
Le UK GDPR (Règlement Général sur la Protection des Données du Royaume-Uni) est une réglementation qui établit les exigences pour le traitement des données personnelles et leur transfert hors du Royaume-Uni, ainsi que les normes et obligations que les responsables de traitement ou de transfert doivent respecter.
La loi sur la protection des données de 2018 (Data Protection Act 2018), promulguée au Royaume-Uni, a mis à jour et remplacé le cadre de la loi sur la protection des données de 1998. Suite à la sortie du Royaume-Uni de l’Union européenne, cette loi a été amendée en vertu de la législation sur le Brexit de 2018 et est entrée en vigueur le 1er janvier 2021 (2021) en tant que UK GDPR.
Le UK GDPR s’applique au traitement des données personnelles effectué dans le cadre des activités d’établissement des responsables ou des processeurs au Royaume-Uni. De plus, le UK GDPR s’applique également, dans certains cas, au traitement des données personnelles par des responsables ou des processeurs qui ne disposent pas d’un établissement au Royaume-Uni.
Points clés à retenir concernant le UK GDPR
Dans ce chapitre, nous expliquerons les deux points clés suivants à maîtriser concernant le UK GDPR.
- Transfert de données personnelles
- Nomination d’un agent ou d’un représentant
Transfert de données personnelles
Concernant le transfert de données entre le Japon et le Royaume-Uni, le Japon continue d’appliquer à l’égard du Royaume-Uni la désignation basée sur l’article 24 de la loi japonaise sur la protection des données personnelles (l’article 24 de la loi sur la protection des données personnelles, avant la révision par l’article 50 de la loi sur la formation de la société numérique, en vigueur depuis le 1er avril de l’année Reiwa 4 (2022)), même après le Brexit.
De plus, le transfert de données personnelles entre le Royaume-Uni et l’UE peut se poursuivre sans encombre pendant la période de transition, comme c’était le cas auparavant.
Par conséquent, même après le Brexit, le transfert de données personnelles entre le Japon et le Royaume-Uni reste assuré.
Nomination d’un agent ou d’un représentant
Les entreprises britanniques qui n’ont pas de succursale ou de bureau dans l’UE doivent nommer un agent de l’UE et mettre à jour régulièrement leur notification de protection des données.
Agent | Les entreprises qui n’ont pas de base dans l’UE mais qui traitent des données personnelles au sein de l’UE sont tenues de nommer un agent dans l’UE. L’agent a pour rôle de coordonner avec les autorités de l’UE au nom de l’entreprise pour tout ce qui concerne le traitement des données personnelles. |
Représentant | Les entreprises ayant une base dans l’UE et qui traitent des données personnelles au sein de l’UE sont tenues de nommer un représentant dans l’UE. Le représentant assume la responsabilité du traitement des données personnelles de l’entreprise au sein de l’UE. |
L’agent fonctionnera comme un représentant en cas de présence de succursales ou de bureaux.
En outre, selon la législation britannique, les entreprises de l’UE qui détiennent des données personnelles sont également tenues de désigner un représentant au Royaume-Uni.
Par conséquent, les entreprises basées dans l’UE doivent réviser et séparer leurs dossiers pour déterminer si les informations traitées sont soumises à la réglementation du UK GDPR.
Les entreprises japonaises concernées par le RGPD du Royaume-Uni
Le RGPD du Royaume-Uni s’applique dans les deux cas suivants :
- Lorsqu’une entreprise établit une base et mène des activités au Royaume-Uni
- Lorsqu’une entreprise n’a pas de base au Royaume-Uni mais y déploie ses activités commerciales
Dans le second cas, le RGPD du Royaume-Uni s’applique dans des situations telles que :
- Lorsqu’un opérateur économique japonais lance un site de commerce électronique pour le marché global, y compris l’Europe
- Lorsqu’il mène des campagnes marketing ciblant le marché européen
- Lorsqu’un opérateur économique japonais génère des revenus depuis le marché européen
Plus précisément, cela concerne des cas comme les suivants :
- Lorsqu’un opérateur économique japonais distribue une application de jeu aux joueurs situés au Royaume-Uni et collecte des informations telles que les noms et les historiques de paiement des joueurs
- Lorsqu’un site de commerce électronique permet les paiements en livres sterling, mentionne la livraison au Royaume-Uni et collecte des informations telles que l’adresse, le nom et les informations bancaires des clients
- Lorsqu’un opérateur économique japonais gère les noms et adresses e-mail pour envoyer des newsletters à des individus situés au Royaume-Uni
- Lorsqu’un opérateur économique japonais obtient et analyse les données de localisation via une application pour des individus situés au Royaume-Uni
- Lorsqu’un opérateur économique japonais collecte des informations de cookies via un site Web pour analyser les préférences personnelles et diffuser des publicités ciblées
- Lorsqu’un opérateur économique japonais obtient et gère des informations relatives à la santé d’individus situés au Royaume-Uni via des appareils portables (comme des montres intelligentes)
Ci-dessous, vous trouverez le diagramme de flux de la portée d’application du RGPD du Royaume-Uni.
Référence : Manuel pratique sur le Règlement Général sur la Protection des Données (RGPD) du Royaume-Uni[ja] | Bureau de Londres du Département des études à l’étranger de l’Organisation Japonaise du Commerce Extérieur (JETRO)
Trois risques en cas de violation du UK GDPR
Dans ce chapitre, nous présentons trois risques encourus en cas de violation du UK GDPR (Règlement général sur la protection des données du Royaume-Uni).
- Risque d’être soumis à des sanctions pécuniaires importantes, y compris des amendes, par l’ICO
- Risque de faire face à des réclamations légales telles que des demandes de dommages et intérêts de la part des sujets des données
- Risque de perdre la confiance dans le milieu des affaires en raison d’une protection insuffisante des données personnelles
L’ICO (Information Commissioner’s Office) est une autorité indépendante britannique créée pour protéger les droits en matière d’information. En cas de violation des règles du UK GDPR, il est possible que l’ICO impose des amendes.
Les amendes peuvent être très élevées. En 2019, la compagnie aérienne britannique British Airways a été condamnée à une amende de 183 millions de livres sterling, ce qui équivaut à 1,5 % du chiffre d’affaires mondial annuel de la compagnie.
Marriott International, qui gère des hôtels renommés tels que Marriott et Ritz-Carlton, a également été condamné à une amende de 99 millions de livres sterling.
Ces sanctions sont rendues publiques, ce qui signifie que les entreprises risquent non seulement de payer des amendes élevées, mais aussi de voir leur valeur de marque diminuer. Il est extrêmement difficile de restaurer une marque d’entreprise une fois qu’elle a été ternie. Pour éviter de nuire à la force de la marque, il est essentiel de faire preuve de la plus grande prudence dans la gestion des données personnelles.
Résumé : Il est essentiel de suivre les évolutions de la réforme du UK GDPR
Le UK GDPR (Règlement Général sur la Protection des Données du Royaume-Uni) est l’une des lois relativement récentes qui a été modifiée le 1er janvier 2021 (Reiwa 3), suite au Brexit.
En outre, au Royaume-Uni, deux législations sont en vigueur : le UK GDPR, qui s’applique au niveau national, et l’EU GDPR, qui concerne les autres pays de l’UE.
Des révisions réglementaires concernant la protection des données personnelles sont actuellement en cours sur plusieurs fronts. Par conséquent, les entreprises japonaises qui ont déjà pénétré les marchés britannique et européen devraient rester attentives aux futures évolutions du UK GDPR.
En cas de violation du UK GDPR, les entreprises risquent non seulement de lourdes amendes, mais cela peut également entraîner une dégradation de leur image de marque. Il est donc crucial de réviser les systèmes de sécurité de votre entreprise, de suivre les changements réglementaires et de mettre en place les mesures appropriées.
Présentation des mesures proposées par notre cabinet
Le cabinet d’avocats Monolith possède une riche expérience dans les domaines de l’IT, et plus particulièrement d’Internet et du droit. Avec l’expansion croissante des affaires mondiales ces dernières années, la nécessité de contrôles juridiques par des experts est de plus en plus prégnante. Notre cabinet offre des solutions en matière de droit international des affaires.
Domaines d’intervention du cabinet d’avocats Monolith : Affaires internationales et opérations à l’étranger[ja]