Brexit et risques pour la confidentialité et la gouvernance des données

Pensez à votre écosystème

Les entreprises doivent également considérer leur écosystème de données comme faisant partie de leur stratégie de gouvernance. Il est primordial de s’engager avec des organisations tierces qui font partie de leur chaîne d’approvisionnement afin que la transparence des transactions de données soit répandue et que la conformité soit respectée entre les juridictions.

Une fois de plus, la responsabilité s’étend au-delà du traitement que l’on effectue et donc les mêmes questions sur le partage, l’affichage et le traitement des données s’appliquent. Les contacts d’une entreprise relèvent-ils des dispositions de la Commission européenne en matière d’adéquation ou lui fournissent-ils les garanties dont elle a besoin? De plus, comment l’entreprise obtient-elle confiance dans son respect de ces garanties? Que les entreprises utilisent des clauses contractuelles standard ou des conditions plus précises, celles-ci doivent être justes.

Si l’entreprise reçoit des données personnelles d’un pays, d’un territoire ou d’un secteur visé par une décision d’adéquation de la Commission européenne, la transparence s’étend à la façon dont l’expéditeur des données se conformera à ses lois locales sur les transferts internationaux.

GDPR, PECR et autres initiatives de conformité

L’interaction entre la législation clé de l’UE – le Règlement général sur la protection des données (GDPR), le Règlement sur la protection de la vie privée et les communications électroniques (PECR), la directive sur le commerce électronique – et le Brexit introduira certaines complications qui doivent être envisagées avant la fin de l’année.

Il s’agit notamment de la nomination d’un représentant dans l’UE, de l’identification d’une autorité de surveillance de l’UE (SA) en tant qu’autorité principale, des modalités d’une nouvelle autorité responsable des règles d’entreprise contraignantes basées dans l’UE ou de l’accessibilité d’un agent de protection des données (DPO) basé au Royaume-Uni à tous les sujets de données dans l’UE. En outre, il est également possible que des amendes multijuridictionnelles soient imposées aux infractions matérielles Et données de l’UE.

Les organisations doivent faire le point sur les données à caractère personnel qu’elles détiennent pour faire la distinction entre les données acquises avant la fin de la période de transition et après afin de se conformer à la législation de l’UE en matière de protection des données ou aux dispositions de protection des données d’un accord de retrait.

Alors que d’autres initiatives de conformité – telles que les règles du PECR – continueront d’appliquer la directive sur le commerce électronique ne s’appliqueront plus au Royaume-Uni à la fin de la période de transition, les organisations pourraient donc devoir s’assurer qu’elles sont conformes aux exigences pertinentes dans chaque pays de l’UE où elles opèrent. Les entreprises doivent être claires sur la façon dont elles gèrent leur programme de conformité à l’avenir, d’autant plus que le Royaume-Uni et l’Europe disposent d’un système à deux vitesses.

FondsIl reste essentiel que les entreprises disposent de l’information dont elles ont besoin pour suivre où se trouvent leurs actifs de données et comment les données entrent, autour et hors de l’organisation. Le GDPR fournit le cadre pour que les entreprises puissent gérer cette situation et s’assurer qu’il fonctionne bien et qu’il est bien compris par le personnel.

Possibilité de réfléchir

En plus des exigences réglementaires et de la réponse immédiate au Brexit, les entreprises ont l’occasion de réfléchir aux données qu’elles recueillent, d’examiner à quoi elles servent exactement, de suivre une formation de sensibilisation précoce sur les implications du Brexit pour les fonctions clés afin de les tenir au courant des changements potentiels et de décider s’ils investissent ou non dans la technologie pour l’analyser correctement. Par exemple, il existe des outils pour anonymiser les données recueillies et effectuer des analyses, tout en préservant l’anonymat des individus.

Le Brexit ne devrait pas consister à empêcher les entreprises d’arrêter ce qu’elles faisaient auparavant, mais à veiller à ce que les mesures de prudence soient prises pour répondre aux exigences modifiées.

Regard vers l’avenir

En fin de compte, le Brexit ne change pas notre responsabilité de protéger les données des individus, et il reste une partie fondamentale et intégrale de la façon dont le Royaume-Uni fait des affaires. Ce qu’il fait, c’est changer les mécanismes sur lesquels nous nous sommes déjà appuyés et exige peut-être que les entreprises aient une vision claire et une compréhension de ce qu’elles font avec leurs données.

L’environnement réglementaire dans l’UE est également en train de changer. La récente décision de la Cour de justice européenne sur Schrems II a annulé l’accord UE-US Sur le bouclier de protection de la vie privée et remis en question certains éléments de clauses contractuelles standard. La DG Justice, la branche de la Commission européenne responsable, a récemment lancé une consultation sur la façon dont les entreprises utilisent les clauses contractuelles standard en réponse à la décision. Les entreprises devraient être en mesure de modifier à l’avenir l’environnement réglementaire régissant la protection des données.

L’organisme de réglementation ne fera que se concentrer davantage et, par conséquent, le monde dans lequel nous vivons aujourd’hui sera un environnement beaucoup plus réglementé afin que le Royaume-Uni continue d’être compétitif et de protéger les données des consommateurs.

Paul Smith est associé associé en conseil en risques chez EY UK&I; Krittika Singh est consultante principale en conseil en risques chez EY UK&I.