Depuis son introduction par l’Union européenne (UE) en 2016, le Règlement général sur la protection des données (RGPD) a provoqué un énorme changement dans la façon dont nous percevons et traitons les données au Royaume-Uni. En particulier, les grandes entreprises, les entreprises et même les petites et moyennes entreprises ont été obligées de s’embarquer et de comprendre que la façon dont elles collectent et traitent les données doit changer. Et ce n’est un secret pour personne que de nombreuses entreprises ne comprennent toujours pas pleinement ce que signifie GDPR ou quelles sont ses implications.
Lorsque le Royaume-Uni a quitté l’UE, il a laissé le marché britannique faiblir. Il y avait une confusion quant à ce qui se passerait avec le RGPD de l’UE. Par la suite, le Royaume-Uni a utilisé le RGPD de l’UE comme base pour créer ses propres lois sur le RGPD. Ceux-ci sont entrés en vigueur en 2018. Mais les entreprises britanniques ont eu du mal car elles devaient se conformer à la fois au GDPR du Royaume-Uni Et RGPD de l’UE : tous sauf deux ans d’intervalle. Bien sûr, de nombreuses entreprises britanniques ont des questions communes sur le RGPD auxquelles elles doivent répondre, par exemple doivent-elles nommer un représentant RGPD et embaucher un DPO en tant que service (Data Protection Officer) ?
Dans cet article, nous répondrons à 6 des questions les plus courantes sur le RGPD et les affaires au Royaume-Uni.
1. Qu’est-ce que le RGPD ?
RGPD signifie Règlement général sur la protection des données. Elle est entrée en vigueur le 25 mai 2018 par l’UE pour remplacer la directive sur la protection des données (DPD) et la loi britannique sur la protection des données de 1998.
Le RGPD concerne la protection des données personnelles et les droits des individus sur leurs données. Il a essayé de voir les données comme un droit humain, plaçant les individus au-dessus de la société. Son objectif principal est de protéger et de faciliter la circulation des flux de données et de garantir aux personnes les droits et le contrôle sur leurs données.
2. A qui s’applique le RGPD ?
Aux termes du RGPD établi par l’UE, le RGPD s’applique peu importe organisation qui traite des données d’individus résidant dans l’UE, que l’organisation elle-même réside dans l’UE ou non. Le RGPD britannique s’applique aux « contrôleurs » et aux « sous-traitants ». Un responsable du traitement détermine la finalité et les moyens du traitement des données. Et un responsable du traitement est responsable du traitement des données personnelles pour le compte d’un responsable du traitement.
Si vous êtes un responsable du traitement des données, le RGPD du Royaume-Uni a des obligations légales spécifiques que vous devez respecter. Par exemple, vous êtes tenu de conserver les enregistrements de données personnelles et les activités de traitement de ceux avec qui vous traitez. Vous serez également responsable de toute violation de ces données.
Si vous êtes un responsable du traitement, le RGPD britannique vous impose des obligations supplémentaires. Vous respecterez les mêmes règles que vous le feriez en tant que responsable du traitement et vous vous assurerez également que tous vos contrats sont conformes au RGPD britannique.
Le RGPD du Royaume-Uni s’applique aux organisations opérant au Royaume-Uni qui traitent des données et aux organisations offrant des biens et des services aux personnes au Royaume-Uni. Cependant, le RGPD du Royaume-Uni ne s’applique pas à certaines activités, y compris le traitement couvert par la directive sur l’application de la loi, le traitement à des fins de sécurité nationale et le traitement de données effectué par des individus dans un cadre personnel/familial.
3. Quelles sont les principales responsabilités du RGPD pour les entreprises ?
Bien qu’il existe certaines différences entre le RGPD de l’UE et du Royaume-Uni, il existe de nombreuses autres obligations qui se chevauchent et que les entreprises doivent respecter.
Dans le cadre du RGPD, les entreprises doivent respecter six principes de protection des données chaque fois qu’elles traitent du traitement de données personnelles. Cela inclut de s’assurer que l’utilisation des données personnelles est légale, juste et transparente. Ces données ne doivent être collectées qu’à des fins déterminées et légitimes. Et ces données doivent être exactes, mises à jour et conservées uniquement le temps nécessaire. Et les organisations qui collectent des données personnelles doivent les protéger contre les abus et l’exploitation.
Les violations de données ont été un sujet sérieux et un problème répandu à mesure que les données deviennent plus importantes. Se conformer au GDPR signifie que si une violation de données se produit, y compris des données perdues et volées, les organisations sont tenues de signaler des types spécifiques de violations à l’autorité de surveillance compétente (au Royaume-Uni, il s’agit de l’ICO) dans les 72 heures suivant le moment où elles deviennent au courant de l’incident.
4. Les entreprises britanniques doivent-elles désigner un représentant GDPR dans l’UE ?
Oui, les entreprises britanniques traitant du traitement, de la gestion et de la conservation des données des personnes résidant dans n’importe quel pays de l’UE doivent nommer un représentant GDPR. Cela s’applique à toutes les organisations, même si elles n’ont pas de base physique au sein de l’UE. Les représentants du GDPR doivent résider dans l’un des États de l’UE où l’organisation traite les données. Et ils seront chargés de signaler et de résoudre les problèmes de traitement des données au nom de l’entreprise au sein de l’UE.
5. Les entreprises ont-elles besoin d’un DPO ?
Oui, le RGPD introduit l’obligation de désigner un DPO si vous êtes une autorité ou un organisme public ou si vous effectuez certains types d’activités de traitement. Les DPD sont conscients de la réglementation relative aux données et contribuent au contrôle interne de la conformité. Ils informent et conseillent sur les obligations en matière de protection des données. Et ils vous conseillent, entre autres, sur vos obligations en matière de protection des données. Ils peuvent travailler en interne ou en externe, de nombreuses entreprises choisissant d’embaucher des DPO en tant que service externe afin de les avoir à disposition pour conseiller et rendre compte aux autorités nécessaires sans perturber les opérations quotidiennes.
6. Comment le Brexit affecte-t-il le RGPD ?
Les entreprises qui traitent des données personnelles dans le cadre de la vente de biens et de services à des citoyens d’autres pays de l’UE doivent se conformer au RGPD. Depuis le 1er janvier 2021, le RGPD de l’UE ne protège plus les citoyens britanniques. Mais le gouvernement britannique a son propre ensemble de RGPD basés sur le RGPD de l’UE. Le régime GDPR s’applique à la plupart des entreprises et organisations britanniques dans le cadre du règlement général sur la protection des données du Royaume-Uni (UK GDPR), adapté de la loi sur la protection des données de 2018.