Le 1er janvier 2021, le Royaume-Uni a quitté l’Union européenne. Après avoir signé in extremis un accord le 23 décembre, c’est un Brexit moins radical qui prend effet. Néanmoins, tous les détails ne sont pas réglés, comme c’est le cas du Règlement général sur la protection des données (RGPD). Ainsi, la Commission nationale de l’informatique et des libertés (CNIL) rapporte que le RGPD « restera applicable de manière transitoire au Royaume-Uni pour une durée supplémentaire maximale de 6 mois ».

Exception à la règle : le guichet unique. Dès le 1er janvier 2021, cette procédure mise en place par le RGPD, qui vise à harmoniser les décisions des autorités en matière de protection des données sur les traitements transfrontaliers, ne sera plus applicable au Royaume-Uni. Pour les responsables du traitement et les sous-traitants établis exclusivement dans le royaume britannique, cela signifie qu’ils ont l’obligation de désigner un représentant de l’Union. Deuxième exception à la règle : si les responsables du traitement et les sous-traitants détiennent un établissement dans l’Espace économique européen, une délimitation qui compte plus de pays que l’Union européenne, le guichet unique perdure.

« En conséquence, jusqu’au 1er juillet 2021 toute communication de données personnelles vers le Royaume-Uni continuera de se faire dans le cadre actuel et ne sera pas considérée comme un transfert de données vers un pays tiers », détaille la CNIL. Au terme de cette phase transitoire, si la Commission européenne n’adopte pas de décision générale sur le transfert de données vers le Royaume-Uni, le pays sera répertorié comme un pays tiers. Ce qui sous-entend une mise en place de garanties prévues par le RGPD, comme des clauses contractuelles types ou règles contraignantes d’entreprise.

La mise en place d’un accord pour juillet 2021 reste aujourd’hui floue et promet des rebondissements. Vera Jourová, la vice-présidente de la Commission européenne chargée des valeurs et de la transparence expliquait au début de l’année 2020 : « Nous ne savons pas si le Royaume-Uni va introduire ou non, dans sa législation nationale, des changements qui pourraient s’écarter de la ligne générale du RGPD ». Le Premier ministre britannique, Boris Johnson, a lui évoqué à plusieurs reprises une réglementation moins contraignante que le RGPD.

Le Royaume-Uni est membre des « Five Eyes », une alliance entre les services de renseignements britannique, australien, canadien, néo-zélandais et américain. Cette position pourrait complexifier l’adoption d’un accord, comme c’est le cas avec la réglementation américaine. En juillet 2020, le Privacy Shield, accord avec les États-Unis sur la protection des données, a été invalidé par la Cour de justice de l’Union européenne, et un nouvel accord est en discussion.

Rien n’est donc gagné d’avance. Sans accord sur les données personnelles, d’après une étude réalisée par New Economics Foundation et l’University College London, pour les entreprises britanniques le coût pourrait s’élever à 1,8 milliard d’euros.