Remote Work and Productivity
Maximiser la productivité tout en respectant les limites d'heures de travail au Canada.
Lucas Botzen
Founder
Taxation et conformité
Conformité au RGPD après le Brexit : le RGPD britannique et le RGPD de l'UE.
Publié le :
June 4, 2024
Écrit par :
Lucas Botzen
Principaux points à retenir :
- Le RGPD britannique est basé sur le RGPD de l'UE, et ils partagent de nombreuses similitudes quant à la manière dont les données doivent être collectées, stockées et protégées.
- Les principales différences que les entreprises naviguant dans le RGPD britannique doivent prendre en compte concernent les exemptions pour les autorités publiques, les exigences pour les délégués à la protection des données et les exigences de notification des violations de données.
- En général, les différences incluent également l'organisme de réglementation qui régit le RGPD, à qui il s'applique et comment les données sont transférées à travers les frontières.
Table des matières
- Qu'est-ce que le RGPD de l'UE ?
- 1. Légalité, Équité et Transparence
- 2. Limitation de la Finalité
- 3. Minimisation des Données
- 4. Exactitude
- 5. Limitation de la Conservation
- 6. Intégrité et Confidentialité (Sécurité)
- 7. Responsabilité
- Qu'est-ce que le RGPD britannique ?
- Dans quels cas le RGPD britannique s'applique-t-il ?
- Quelles sont les autorités de régulation pertinentes ?
- Quelle est la différence entre le RGPD britannique et le RGPD de l'UE ?
- Le RGPD britannique est adapté au cadre juridique du Royaume-Uni
- Transferts de données personnelles
- Différences pour les représentants
- Mécanismes OSS
- Amendements et mises à jour
- Pénalités et amendes
- Considérations et défis en matière de conformité
- 1. Applicabilité double
- 2. Transferts de données
- 3. Exigences différentes
- 4. Responsabilité accrue
- Pourquoi est-il important de rester conforme aux RGPD de l'UE et du Royaume-Uni ?
- Meilleures pratiques pour les entreprises naviguant dans les RGPD du Royaume-Uni et de l'UE
- FAQ
Le RGPD est la loi européenne sur la confidentialité et la sécurité des données. Il détermine un ensemble de règles pour la collecte et l'utilisation des données personnelles des citoyens de l'UE, tant pour les entreprises de l'UE que pour les entreprises étrangères. Le RGPD couvre les règles clés pour la collecte et l'utilisation des données personnelles. Il exige que votre entreprise soit équitable et claire sur la manière dont vous utilisez les données collectées auprès de vos clients. Vous ne devez également collecter et utiliser les données que pour les objectifs dont vous avez informé votre base de clients. Les directives du RGPD s'appliquent également au stockage des données personnelles et régissent la durée de conservation et la manière de les protéger. La sécurité des données implique l'utilisation de mesures techniques telles que le chiffrement et l'authentification à deux facteurs. Elle comprend également des mesures organisationnelles telles que la formation du personnel et la limitation de l'accès aux données. Le Royaume-Uni, avant le Brexit, était également soumis au RGPD. Cependant, après le Brexit, le Royaume-Uni a créé son propre ensemble de règles pour le RGPD. Il est maintenant couramment appelé le RGPD britannique. Il est donc important de comprendre ce qu'est le RGPD britannique si vous souhaitez collecter et utiliser les données des citoyens britanniques. Voyons comment il diffère du RGPD de l'UE, et quelles sont les lois et réglementations régissant les données au Royaume-Uni.
Qu'est-ce que le RGPD de l'UE ?
Le RGPD de l'UE est une loi sur la protection des données entrée en vigueur en 2018 dans l'UE. La loi vise à donner aux individus le contrôle de leurs données personnelles. Elle oblige également les entreprises à rendre des comptes sur la manière dont elles utilisent et stockent les données de leurs clients. C'est aussi un aspect important de la paie internationale, il est donc important de se familiariser avec ses réglementations. Le RGPD de l'UE comporte sept règles et responsabilités clés que chaque entreprise doit suivre. Elles incluent :
1. Légalité, Équité et Transparence
Le RGPD exige que : "les données personnelles doivent être traitées de manière légale, équitable et transparente." Votre entreprise doit avoir une bonne raison d'utiliser les données de quelqu'un. Cela pourrait être la permission de la personne, un besoin légal ou un intérêt légitime. Vous ne pouvez pas collecter des données simplement parce que c'est pratique. Le RGPD exige une raison légale, et vous devez être clair et honnête avec vos clients sur les raisons pour lesquelles vous en avez besoin.
2. Limitation de la Finalité
Lorsque votre entreprise collecte des données personnelles, vous devez avoir une raison spécifique et les utiliser uniquement à cette fin. Vous devez également informer vos clients de la raison de la collecte de leurs données et avoir des documents expliquant l'utilisation prévue. Il est important de revoir régulièrement le traitement des données. Si nécessaire, mettez à jour rapidement la documentation et les procédures.
3. Minimisation des Données
En vertu du RGPD, les entreprises doivent collecter uniquement les données dont elles ont besoin. En collectant moins de données, vous réduisez le risque de problèmes en cas de violation de données. Cela impose de ne pas demander d'informations inutiles, mais uniquement celles nécessaires pour accomplir une raison spécifique.
4. Exactitude
Les données que vous collectez doivent être exactes et mises à jour. Si quelqu'un vous informe que ses informations ont changé, vous devez les mettre à jour. Cela signifie vérifier et corriger régulièrement les données pour s'assurer qu'elles sont toujours correctes.
5. Limitation de la Conservation
Ne conservez pas les données personnelles plus longtemps que nécessaire. Une fois que vous n'avez plus besoin des données pour la raison pour laquelle vous les avez collectées, vous devez les supprimer ou les anonymiser. Cela garantit que les informations des personnes ne sont pas conservées indéfiniment, ce qui pourrait être risqué.
6. Intégrité et Confidentialité (Sécurité)
Vous devez protéger les données personnelles contre la perte, le vol ou l'accès par des personnes non autorisées. Cela inclut l'utilisation de mots de passe forts, le chiffrement des données et la garantie que seules certaines personnes peuvent voir ou utiliser les données. En cas de violation de données, vous devez le signaler dans les 72 heures pour minimiser les dommages.
7. Responsabilité
Les organisations doivent assumer la responsabilité des données qu'elles collectent. Elles doivent également prouver qu'elles respectent les règles du RGPD. Cela signifie avoir des politiques claires, former le personnel et être capable de montrer comment elles protègent les données. S'il y a un risque élevé de problème de données, elles doivent effectuer une évaluation d'impact sur la protection des données pour identifier et résoudre les problèmes potentiels avant qu'ils ne se produisent. Cette loi rend également difficile pour les entreprises de tromper les consommateurs avec un langage confus ou vague. Elle garantit que les entreprises. notifier les visiteurs de leur site web qu'ils collectent leurs données. En vertu du RGPD, les clients et les consommateurs consentent explicitement à cette collecte d'informations. Les sites doivent demander leur consentement en leur demandant de cliquer sur un bouton ou de prendre une autre action. De plus, les sites doivent informer rapidement les visiteurs si leurs données personnelles sont compromises en raison d'une violation. Enfin, la loi impose également une évaluation de la sécurité des données du site. Elle détermine également si l'entreprise doit engager un délégué à la protection des données (DPO) dédié. Dans certains cas, un membre du personnel existant peut remplir ce rôle.
Qu'est-ce que le RGPD britannique ?
Le Règlement général sur la protection des données du Royaume-Uni (RGPD britannique) est la loi britannique régissant la protection des données. Il est basé sur le RGPD de l'UE et présente de nombreuses similitudes avec celui-ci. Le RGPD britannique post-Brexit conserve les valeurs fondamentales du RGPD de l'UE, garantissant le maintien des normes de protection des données.
Dans quels cas le RGPD britannique s'applique-t-il ?
L'une des principales différences entre le RGPD britannique et le RGPD de l'UE réside dans leur applicabilité. Le RGPD de l'UE s'applique à toutes les organisations, tant au sein de l'UE qu'à l'extérieur. Toute entreprise qui souhaite collecter et traiter les données des citoyens de l'UE doit se conformer au RGPD de l'UE, quel que soit le lieu où elle est basée. En revanche, le RGPD britannique a une application beaucoup plus restreinte. Il s'applique à toute entreprise qui collecte les données personnelles des citoyens britanniques. Il s'applique aux entreprises enregistrées au Royaume-Uni et en dehors des frontières britanniques. Les entreprises collectant des données à la fois des citoyens britanniques et de l'UE doivent se conformer à la fois au RGPD de l'UE et au RGPD britannique.
Quelles sont les autorités de régulation pertinentes ?
Les autorités de régulation pertinentes qui appliquent les règles et règlements du RGPD diffèrent également. Dans l'UE, chaque pays doit établir un ou plusieurs organismes de régulation qui superviseront et appliqueront les règles et règlements du RGPD de l'UE. Ceux-ci sont connus sous le nom d'autorités de contrôle. En plus d'au moins une autorité de contrôle dans chaque pays membre, le RGPD de l'UE est également régi par le Comité européen de la protection des données (CEPD). Le comité veille à ce que tous les pays membres appliquent le RGPD de manière cohérente. Il résout également les litiges qui peuvent survenir entre eux. Le CEPD promeut également la coopération entre les différentes autorités de contrôle. Au Royaume-Uni, l'autorité de régulation qui gouverne, supervise et applique le RGPD britannique est le Bureau du Commissaire à l'information (ICO). L'ICO a une fonctionnalité similaire à celle d'une autorité de contrôle. Le Département britannique de la science, de l'innovation et de la technologie parraine le fonctionnement de l'ICO.
Quelle est la différence entre le RGPD britannique et le RGPD de l'UE ?
Il existe plusieurs différences entre le RGPD britannique et le RGPD de l'UE. Les deux premières, l'applicabilité et les autorités de contrôle, sont couvertes en détail. Cependant, il existe plusieurs autres différences qu'une entreprise collectant des données clients à la fois au Royaume-Uni et dans l'UE devrait considérer.
Le RGPD britannique est adapté au cadre juridique du Royaume-Uni
Étant donné que le RGPD de l'UE regroupe plusieurs pays sous le même parapluie, sa loi RGPD fait référence aux institutions de l'UE. Le RGPD britannique localise cela aux institutions à l'intérieur du pays. Le RGPD de l'UE se concentre sur tous les pays sous sa juridiction. Le RGPD britannique décrit les processus de coopération entre les institutions britanniques et européennes. La plupart des normes de protection des données sont les mêmes dans le RGPD de l'UE et le RGPD britannique, mais le RGPD britannique présente plusieurs différences. Il prévoit des exemptions pour certaines autorités publiques. Il impose également la nomination de délégués à la protection des données. Le Royaume-Uni a également des exigences plus strictes en matière de notifications de violation de données que son homologue européen.
Transferts de données personnelles
Les transferts de données personnelles dans l'UE sont beaucoup plus simples en vertu du RGPD de l'UE. En essence, le RGPD de l'UE considère tous les pays sous sa juridiction comme le même marché. Cela signifie que les entreprises de l'UE peuvent transférer des données vers d'autres pays de l'UE. Cependant, elles doivent rester conformes aux principes généraux de protection des données. Le Brexit a conduit à ce que le Royaume-Uni soit considéré comme une juridiction distincte aux yeux du RGPD de l'UE, similaire au Canada ou aux États-Unis. En conséquence, davantage de garanties sont mises en place pour le transfert de données entre les deux entités. Par exemple, les entreprises transférant des données vers le Royaume-Uni peuvent. doivent utiliser des clauses de protection des données standard ou des règles d'entreprise contraignantes pour protéger les données.
Différences pour les représentants
Une autre différence significative entre les deux réside dans la manière dont ces deux lois traitent les représentants. En effet, le RGPD de l'UE exige que les entreprises de pays tiers qui collectent des données personnelles de leurs citoyens aient un représentant dans le pays où elles collectent les données. Le Royaume-Uni exige un représentant, mais il n'a pas besoin d'être situé au Royaume-Uni. De même que pour le RGPD de l'UE, ce représentant agit comme point de contact. Son objectif principal est d'assurer une coopération fluide entre l'organisation et les organismes de réglementation concernés. Cependant, le Royaume-Uni n'exige pas de présence locale. Les entreprises opérant sous les deux RGPD peuvent devoir établir des représentants distincts en fonction des juridictions impliquées.
Mécanismes OSS
Les entreprises naviguant dans le RGPD de l'UE craignent souvent d'être impliquées avec de nombreuses autorités de contrôle. Cependant, le RGPD de l'UE dispose d'une disposition appelée le mécanisme OSS, qui permet un processus plus simplifié pour les entreprises. Le mécanisme OSS permet aux entreprises de traiter avec une seule autorité de contrôle. Il laisse néanmoins le processus ouvert aux suggestions d'une autre autorité de contrôle si la situation l'exige. Le RGPD du Royaume-Uni ne dispose pas de telles dispositions, étant localisé dans un seul pays. Le Bureau du Commissaire à l'information (ICO) est le seul équivalent à une autorité de contrôle. Il est responsable de toutes les décisions du RGPD du Royaume-Uni.
Amendements et mises à jour
Le processus d'amendement et de mise à jour du RGPD varie également. Avec le RGPD de l'UE, tous les changements se font par le biais du processus législatif de l'UE. C'est un processus qui implique une prise de décision collective et plusieurs organismes de réglementation. Cependant, le RGPD du Royaume-Uni est sous l'autorité du gouvernement britannique. Le gouvernement britannique a le pouvoir de modifier et de mettre à jour le RGPD. Bien qu'il s'efforce de maintenir un niveau élevé de sécurité des données similaire à celui offert par le RGPD de l'UE, il peut le modifier de manière indépendante.
Pénalités et amendes
La dernière différence réside dans les pénalités et les amendes. Tant le RGPD de l'UE que celui du Royaume-Uni peuvent décider d'infliger des amendes aux entreprises ignorant les règles du RGPD avec des frais fixes. Ou bien, ils peuvent prendre un pourcentage du chiffre d'affaires annuel de l'entreprise. Les frais dépendront de ce qui est le plus élevé. En vertu du RGPD de l'UE, les entreprises peuvent être condamnées à une amende de 10 millions d'euros, ou 2 % pour des infractions mineures. L'amende peut aller jusqu'à 20 millions d'euros, ou 4 % pour des infractions plus graves. Le RGPD du Royaume-Uni reconnaît également les infractions mineures et majeures. Les infractions mineures sont sanctionnées par une amende de 8 700 000 £, ou 2 %. Les infractions plus importantes peuvent coûter à l'entreprise 17 500 000 £, ou 4 %.
Considérations et défis en matière de conformité
Naviguer à la fois dans le RGPD de l'UE et du Royaume-Uni peut être difficile, il est donc important que les entreprises soient conscientes en détail des différences entre les deux. Voici quelques défis auxquels vous pourriez être confronté lors de la navigation dans le RGPD dans ces deux pays :
1. Applicabilité double
Bien qu'il existe de nombreuses similitudes entre les deux, il est important de prendre en compte les deux lors de la création de la politique de sécurité des données. Les entreprises opérant à la fois au Royaume-Uni et dans l'UE doivent s'assurer que leurs pratiques de protection des données respectent les normes de l'UE et du Royaume-Uni.
2. Transferts de données
Étant donné qu'il n'existe pas de termes convenus pour le transfert de données entre le Royaume-Uni et l'UE, vous devriez essayer de mettre en œuvre un mécanisme de transfert de données approprié. Cela pourrait signifier créer des règles d'entreprise contraignantes ou s'appuyer sur des clauses contractuelles standard.
3. Exigences différentes
Il existe des différences significatives entre les deux RGPD, il est donc important de comprendre ce qu'elles sont. Lors de la collecte de données auprès des citoyens du Royaume-Uni et de l'UE, vous devez être conscient des deux RGPD et de leurs différences pour maintenir la conformité.
4. Responsabilité accrue
La principale raison de suivre le RGPD pourrait être que vous souhaitez que vos clients et clients vous fassent confiance. Pour d'autres entreprises, c'est pour éviter des pénalités et des frais élevés. Si ce dernier est important pour vous, vous devriez envisager et planifier en conséquence. responsable en vertu des deux RGPD.
Pourquoi est-il important de rester conforme aux RGPD de l'UE et du Royaume-Uni ?
Comme mentionné précédemment, il est important de rester conforme aux RGPD de l'UE et du Royaume-Uni si vous collectez des données auprès de résidents du Royaume-Uni ou de l'UE. L'une des principales raisons pour lesquelles vous devriez envisager de suivre le RGPD dans votre entreprise est qu'il vous permet de créer un climat de confiance avec vos clients. Il favorise également la transparence et une bonne communication entre vous. Une bonne communication et la confiance seront bénéfiques pour la réputation de votre entreprise.
Le RGPD peut également vous aider à rationaliser vos processus de protection et de collecte des données. Avec son accent sur la collecte des seules données nécessaires, il peut guider votre entreprise vers les meilleures pratiques de sécurité et de stockage. Cela vous aidera à éviter de collecter et de gérer des données inutiles, et vous évitera de devoir mettre en place des processus complexes et coûteux pour les gérer.
Cependant, le plus grand avantage pour les entreprises est probablement de maintenir la conformité avec la loi. En d'autres termes, cela aide à éviter des amendes et des pénalités lourdes qui peuvent survenir. Si vos clients et consommateurs sont mécontents de la manière dont vous gérez leurs données, ils peuvent engager des poursuites judiciaires contre vous. Au Royaume-Uni, les pénalités pour non-conformité au RGPD peuvent atteindre 17,5 millions de livres sterling. Dans l'UE, les amendes peuvent s'accumuler jusqu'à 20 millions d'euros.
Meilleures pratiques pour les entreprises naviguant dans les RGPD du Royaume-Uni et de l'UE
En tant qu'entreprise devant naviguer à travers les RGPD du Royaume-Uni et de l'UE, il existe quelques meilleures pratiques que vous pouvez suivre pour maintenir la conformité. Il existe, bien sûr, des différences significatives selon le type d'entreprise que vous dirigez, mais en général, vous devriez :
- Comprendre en profondeur les différences entre les RGPD du Royaume-Uni et de l'UE.
- Déterminer si votre entreprise nécessite une conformité avec les deux, ou seulement avec le RGPD du Royaume-Uni ou de l'UE.
- Mettre en œuvre toutes les mesures de protection des données requises. Gardez-les en ligne avec les recommandations énoncées par les règles et règlements pertinents du RGPD.
- Enfin, vous devriez revoir et mettre à jour régulièrement vos politiques de sécurité des données, et rester au courant de tout changement dans le RGPD.
Si vous n'êtes pas sûr du RGPD qui s'applique à votre entreprise et à votre secteur d'activité, vous pouvez également envisager de faire appel à des experts pour s'en occuper pour vous. Consultez les autorités compétentes pour vous assurer que votre entreprise est conforme au RGPD du Royaume-Uni, au RGPD de l'UE, ou si nécessaire, aux deux.
FAQ
Le Royaume-Uni suit-il toujours le RGPD de l'UE ?
Le Royaume-Uni suit le RGPD du Royaume-Uni, qui partage de nombreuses similitudes avec le RGPD de l'UE. Si vous êtes une entreprise opérant au Royaume-Uni, mais collectant des données sur des clients de l'UE, vous devrez toujours adhérer au RGPD de l'UE.
Quels sont les 7 principes du RGPD au Royaume-Uni ?
Les sept principes du RGPD au Royaume-Uni incluent la licéité, l'équité et la transparence, la limitation des finalités, la minimisation des données, l'exactitude, la limitation du stockage, l'intégrité et la confidentialité, et la responsabilité.
Le RGPD du Royaume-Uni s'applique-t-il uniquement aux citoyens britanniques ?
Oui, le RGPD du Royaume-Uni s'applique aux citoyens britanniques. Chaque entreprise doit respecter les exigences du RGPD du Royaume-Uni lors du traitement des données des résidents britanniques.
Qu'est-ce qui est considéré comme un consentement conforme au RGPD du Royaume-Uni ?
Le RGPD du Royaume-Uni a des normes claires sur ce que signifie un consentement conforme. La demande de consentement doit être formulée de manière claire et sans ambiguïté. Elle doit impliquer que les utilisateurs et les visiteurs du site cliquent pour donner leur consentement. Le RGPD du Royaume-Uni interdit strictement les cases d'opt-in pré-cochées. Il exige également que les sites Web mettent en place des options de consentement "granulaires" pour différentes options de traitement.
