Un avis d’expert rédigé pour les lecteurs de Solutions Numériques par Jennifer Bossi, Senior Corporate Counsel, EMEA de PeopleDoc.
Depuis quelques semaines, les plans de Theresa May concernant le Brexit ont été rejetés, laissant les employeurs du Royaume-Uni (ainsi que du reste du monde) avec un certain nombre de questions. En principe, tous les règlements européens cesseront de s’appliquer au Royaume-Uni dès son départ de l’UE. Qu’il s’agisse d’une nouvelle réglementation ou de la sortie d’un pays d’un accord international, les employeurs doivent toujours être préparés aux changements de conformité. L’une des principales préoccupations pour les entreprises est ainsi de maintenir la conformité avec le Règlement Général sur la Protection des Données (RGPD) si le Royaume-Uni quitte l’Union Européenne avant la conclusion d’un accord. Bien que beaucoup de points restent obscures, voici trois idées à prendre en compte au sujet de la protection des données sur les employés dans le cas d’un Brexit sans transaction.
Continuer à appliquer les exigences du RGPD aux données des employés basés au Royaume-Uni.
Le Royaume-Uni a largement adopté le contenu du RGPD dans ses propres normes de protection des données par le biais de la loi sur la protection des données, entrée en vigueur en 2018. Cela signifie que tant que vos données au Royaume-Uni sont conformes au RGPD, elles devraient généralement l’être également après le Brexit.
Poursuivre le transfert des données personnelles des employés britanniques vers l’UE.
Selon les indications du gouvernement britannique, reconnaissant le degré d’alignement sans précédent entre les régimes de protection des données du Royaume-Uni et de l’UE, celui-ci continuerait, au point de sortie, à permettre la libre circulation des données à caractère personnel du Royaume-Uni vers l’UE. À long terme, le Royaume-Uni envisage de collaborer avec l’UE afin de mettre en place une décision d’adéquation, qui permettra le transfert international gratuit des données relatives aux employés entre le Royaume-Uni et l’UE.
Envisager d’autres méthodes conformes pour transférer les données des employés de l’UE vers le Royaume-Uni.
Le transfert des données des employés de l’UE vers le Royaume-Uni deviendra probablement plus complexe, du moins à court terme. Pour de nombreux employeurs, cela signifiera créer ou mettre à jour des clauses contractuelles types, également appelées CSC. C’est aujourd’hui la pratique courante dans la plupart des pays tiers. Les processus des centres de protection des données à caractère personnel sont convenus contractuellement dans les CCN, ce qui facilite le transfert en toute sécurité des données à caractère personnel. Le bureau du commissaire à l’information du Royaume-Uni a ainsi publié des directives que les employeurs peuvent utiliser lors de l’examen des clauses contractuelles types.
Quoi qu’il advienne en Europe, Brexit ne doit pas rimer avec recul du Royaume-Uni sur le terrain de la protection des données des employés. Pour cela, il est impératif pour les entreprises d’adopter certains réflexes pour anticiper les possibles effets d’un Brexit sur la protection des données et être prêt en cas de sortie sans transaction.