Taxation et conformité
15 mins de lecture
Auteur
Publié le:
Jun 4, 2024
Mis à jour le :
Apr 30, 2025
Notre solution Employer of Record (EOR) facilite l'embauche, la rémunération et la gestion des employés à l'échelle mondiale.
Réservez une démoGDPR est la loi européenne sur la confidentialité et la sécurité des données. Elle définit un ensemble de règles pour la collecte et l'utilisation des données personnelles des citoyens de l'UE, tant pour les entreprises de l'UE que pour les étrangères.
GDPR couvre les règles clés pour la collecte et l'utilisation des données personnelles. Elle exige que votre entreprise soit équitable et transparente sur la façon dont vous utilisez les données collectées auprès de vos clients. Vous ne devriez également collecter et utiliser les données que pour des finalités que vous avez informé votre clientèle.
Les directives GDPR s'appliquent également au stockage des données personnelles et régissent la durée pendant laquelle vous pouvez les conserver, ainsi que la manière de les protéger. La sécurité des données implique l'utilisation de mesures techniques telles que le chiffrement et l'authentification à deux facteurs. Elle inclut également des mesures organisationnelles comme la formation du personnel et la limitation de l'accès aux données.
Le Royaume-Uni, avant le Brexit, était également soumis au GDPR. Cependant, après le Brexit, le Royaume-Uni a créé son propre ensemble de règles pour le GDPR. Il est désormais communément appelé le UK GDPR.
Il est donc important de comprendre ce qu'est le UK GDPR si vous souhaitez collecter et utiliser les données des citoyens britanniques. Voyons comment il diffère du EU GDPR, et quelles sont les lois et réglementations régissant les données au Royaume-Uni.
Le EU GDPR est une loi sur la protection des données qui est entrée en vigueur en 2018 dans l'UE. La loi vise à donner aux individus le contrôle de leurs données personnelles. Elle responsabilise également les entreprises quant à la façon dont elles utilisent et stockent les données de leurs clients. C'est aussi un aspect important de la paie internationale, il est donc essentiel de se familiariser avec ses réglementations.
Le EU GDPR comporte sept règles et responsabilités clés que chaque entreprise doit suivre. Elles incluent :
Le GDPR exige que : « les données personnelles doivent être traitées de manière licite, loyale et transparente. » Votre entreprise doit avoir une raison valable pour utiliser les données de quelqu’un. Cela peut être le consentement de la personne, une nécessité légale, ou un intérêt légitime.
Vous ne pouvez pas collecter des données simplement parce que c’est pratique. Le GDPR exige une raison légale, et vous devez être clair et honnête avec vos clients sur la raison pour laquelle vous en avez besoin.
Lorsque votre entreprise collecte des données personnelles, vous devez avoir une raison précise et ne les utiliser que pour cette finalité. Vous devriez également informer vos clients de la raison de la collecte de leurs données, et disposer de documents expliquant l’utilisation prévue. Il est important de revoir régulièrement le traitement des données. Lorsqu'il est nécessaire, mettez à jour rapidement la documentation et les procédures.
Selon GDPR, les entreprises doivent ne collecter que les données dont elles ont besoin. En recueillant moins de données, vous réduisez le risque de problèmes en cas de violation de données. Cela impose de ne pas demander d’informations inutiles, mais uniquement celles nécessaires pour atteindre une finalité spécifique.
Les données que vous collectez doivent être exactes et tenues à jour. Si quelqu’un vous informe que ses informations ont changé, vous devez les mettre à jour. Cela implique de vérifier et de corriger régulièrement les données pour garantir leur précision.
Ne conservez pas les données personnelles plus longtemps que nécessaire. Une fois que vous n’avez plus besoin des données pour la raison pour laquelle vous les avez collectées, vous devriez les supprimer ou les anonymiser. Cela garantit que les informations des personnes ne sont pas conservées indéfiniment, ce qui pourrait présenter un risque.
Vous devez protéger les données personnelles contre la perte, le vol ou l’accès par des personnes non autorisées. Cela inclut l’utilisation de mots de passe forts, le chiffrement des données, et la garantie que seules certaines personnes peuvent voir ou utiliser les données. En cas de violation de données, vous devez la signaler dans les 72 heures pour minimiser les dommages.
Les organisations doivent assumer la responsabilité des données qu’elles collectent. Elles doivent également prouver qu’elles respectent les règles GDPR. Cela implique d’avoir des politiques claires, de former le personnel, et de pouvoir démontrer comment elles protègent les données. En cas de risque élevé pour les droits et libertés des personnes, elles doivent réaliser une Analyse d’Impact relative à la Protection des Données (DPIA) pour identifier et corriger les problèmes potentiels avant qu’ils ne surviennent.
Cette loi rend également difficile pour les entreprises de tromper les consommateurs avec un langage confus ou vague. Elle veille à ce que les entreprises informent leurs visiteurs qu’elles collectent leurs données.
Sous GDPR, les clients et consommateurs donnent leur consentement explicite à cette collecte d’informations. Les sites doivent demander leur consentement en leur demandant de cliquer sur un bouton ou de prendre une autre action. De plus, les sites doivent notifier rapidement les visiteurs si leurs données personnelles sont compromises suite à une violation.
Enfin, la loi impose aussi une évaluation de la sécurité des données du site. Elle détermine également si l’entreprise doit engager un DPO (Data Protection Officer). Dans certains cas, un membre du personnel existant peut remplir ce rôle.
Le UK GDPR, ou Règlement général sur la protection des données du Royaume-Uni, est la loi du Royaume-Uni régissant la protection des données. Il est basé sur le EU GDPR et présente de nombreuses similitudes. Le UK GDPR post-Brexit conserve les valeurs fondamentales du EU GDPR, en assurant le maintien des standards de protection des données.
L’une des principales différences entre le UK GDPR et le EU GDPR réside dans leur champ d’application. Le EU GDPR s’applique à toutes les organisations, à l’intérieur comme à l’extérieur de l’UE. Toute entreprise souhaitant collecter et traiter les données des citoyens de l’UE doit respecter le EU GDPR, peu importe où elle est basée.
En revanche, le UK GDPR a une application beaucoup plus limitée. Il s’applique à toute entreprise qui collecte les données personnelles des citoyens britanniques. Il concerne les entreprises enregistrées au Royaume-Uni ainsi que celles en dehors du Royaume-Uni.
Les entreprises collectant des données à la fois auprès des citoyens du Royaume-Uni et de l’UE doivent suivre à la fois le EU GDPR et le UK GDPR.
Les autorités réglementaires chargées d’appliquer les règles et réglementations GDPR diffèrent également.
Dans l’UE, chaque pays doit établir une ou plusieurs autorités de supervision qui veillent à l’application et à l’application du EU GDPR. Ces autorités sont appelées Autorités de Contrôle (Supervisory Authorities).
En plus d’au moins une Autorité de Contrôle dans chaque pays membre, le EU GDPR est également régulé par le European Data Protection Board (EDPB). Le conseil veille à ce que tous les pays membres appliquent le GDPR de manière cohérente. Il résout aussi les différends pouvant survenir entre eux. L’EDPB favorise également la coopération entre les différentes Autorités de Contrôle.
Au Royaume-Uni, l’autorité réglementaire qui supervise, contrôle et applique le UK GDPR est le Information Commissioner’s Office (ICO). L’ICO a une fonction similaire à celle d’une Autorité de Contrôle. Le Department for Science, Innovation, and Technology du Royaume-Uni finance l’activité de l’ICO.
Plusieurs différences existent entre le UK GDPR et le EU GDPR. Les deux premières, l’applicabilité et les autorités de supervision, sont abordées en détail. Cependant, d’autres différences doivent aussi être prises en compte par une entreprise qui collecte des données clients dans les deux juridictions.
Puisque le EU GDPR couvre plusieurs pays sous une même bannière, sa législation comporte des références aux institutions de l’UE. Le UK GDPR localise cela aux institutions du pays.
Le EU GDPR concerne tous les pays sous sa juridiction. Le UK GDPR décrit les processus de coopération entre le Royaume-Uni et les institutions de l’UE.
La plupart des standards en matière de protection des données sont identiques dans le EU GDPR et le UK GDPR, mais il existe plusieurs différences. Le UK GDPR prévoit des exemptions pour certains pouvoirs publics. Il impose aussi la nomination de DPO (Data Protection Officers). Le Royaume-Uni a également des exigences plus strictes pour la notification des violations de données que ses homologues européens.
Les transferts de données personnelles dans l’UE sont beaucoup plus simples sous le EU GDPR. En substance, le EU GDPR considère tous les pays sous sa juridiction comme un seul marché. Cela signifie que les entreprises de l’UE peuvent transférer des données vers d’autres pays de l’UE, tout en restant conformes aux principes de protection des données.
Le Brexit a conduit à considérer le Royaume-Uni comme une juridiction distincte dans le regard du EU GDPR, semblable au Canada ou aux États-Unis. Par conséquent, des mesures supplémentaires sont mises en place pour transférer des données entre les deux entités. Par exemple, les entreprises transférant des données vers le Royaume-Uni peuvent devoir utiliser des clauses types de protection des données ou des règles d’entreprise contraignantes pour garantir la sécurité des données.
Une autre différence notable concerne la manière dont ces deux lois traitent les représentants. En effet, le EU GDPR exige que les entreprises de pays tiers qui collectent des données personnelles de leurs citoyens aient un représentant dans le pays où elles collectent ces données.
Le UK GDPR exige aussi un représentant, mais celui-ci n’a pas besoin d’être situé au Royaume-Uni. Comme pour le EU GDPR, ce représentant agit comme point de contact. Son objectif principal est d’assurer une coopération fluide entre l’organisation et les autorités réglementaires concernées. Mais, le UK ne requiert pas de présence locale.
Les entreprises opérant sous les deux GDPR peuvent devoir établir des représentants séparés selon les juridictions concernées.
Les entreprises naviguant sous le EU GDPR s’inquiètent souvent de devoir traiter avec plusieurs Autorités de Contrôle. Cependant, le EU GDPR prévoit un mécanisme appelé OSS (One-Stop Shop), qui permet un processus plus simplifié pour les entreprises.
Le mécanisme OSS permet aux entreprises de traiter avec une seule Autorité de Contrôle. Il reste toutefois possible de faire appel à une autre Autorité si la situation le nécessite.
Le UK GDPR n’a pas de telles dispositions, étant localisé à un seul pays. L’Information Commissioner’s Office (ICO) est la seule autorité équivalente à une Autorité de Contrôle. Elle est responsable de toutes les décisions relatives au UK GDPR.
Le processus de modification et de mise à jour du GDPR diffère également. Avec le EU GDPR, toutes les modifications se font via le processus législatif de l’UE. Il s’agit d’un processus impliquant une décision collective et plusieurs autorités réglementaires.
Mais, le UK GDPR relève du gouvernement du Royaume-Uni. Ce dernier a le pouvoir d’apporter des amendements et des mises à jour au GDPR. Bien qu’il s’efforce de maintenir un haut niveau de sécurité des données similaire à celui du EU GDPR, il peut le modifier de manière indépendante.
La dernière différence concerne les sanctions et amendes. Le EU GDPR et le UK GDPR peuvent décider d’infliger des amendes aux entreprises qui ne respectent pas les règles, avec des montants fixes ou un pourcentage du chiffre d’affaires annuel. Le montant dépendra de la gravité de l’infraction.
Sous EU GDPR, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’entreprise pour les infractions mineures. Pour les infractions plus graves, elles peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires.
Le UK GDPR prévoit aussi des amendes pour infractions mineures ou majeures. Les infractions mineures peuvent être sanctionnées jusqu’à 8 700 000 £ ou 2 %. Les infractions plus importantes peuvent coûter jusqu’à 17 500 000 £ ou 4 % du chiffre d’affaires.
Naviguer à la fois dans le EU GDPR et le UK GDPR peut être complexe, il est donc important de connaître en détail la différence entre les deux. Voici quelques défis que vous pourriez rencontrer lors de la gestion du GDPR dans ces deux pays :
Bien qu’il existe de nombreuses similitudes, il est crucial de prendre en compte les deux réglementations lors de l’élaboration de la politique de sécurité des données. Les entreprises opérant dans les deux juridictions doivent s’assurer que leurs pratiques de protection des données respectent à la fois les standards de l’UE et du Royaume-Uni.
Étant donné qu’il n’y a pas de termes convenus pour le transfert de données entre le Royaume-Uni et l’UE, vous devriez essayer de mettre en œuvre un mécanisme de transfert approprié. Cela pourrait impliquer la création de règles d’entreprise contraignantes ou l’utilisation de clauses contractuelles types.
Il existe des différences importantes entre les deux GDPR, il est donc essentiel de comprendre lesquelles. Lors de la collecte de données auprès de citoyens du Royaume-Uni et de l’UE, il faut être attentif aux deux réglementations et à leurs différences pour rester en conformité.
La principale raison de suivre le GDPR pourrait être de gagner la confiance de vos clients et de vos consommateurs. Pour d’autres entreprises, c’est pour éviter des amendes lourdes. Si cette dernière raison vous concerne, il faut prévoir que vous serez responsable sous les deux GDPR.
Comme mentionné précédemment, il est crucial de respecter le EU GDPR et le UK GDPR si vous collectez des données de résidents du Royaume-Uni ou de l’UE.
L’une des principales raisons de suivre le GDPR dans votre entreprise est qu’il vous permet de renforcer la confiance de vos clients. Il favorise également la transparence et une bonne communication. Une communication efficace et la confiance seront bénéfiques pour la réputation de votre entreprise.
Le GDPR peut aussi vous aider à rationaliser vos processus de protection et de collecte de données. En insistant sur la collecte uniquement des données nécessaires, il peut guider votre entreprise vers les meilleures pratiques de sécurité et de stockage. Cela vous évitera de collecter et de gérer des données inutiles, et vous épargnera la mise en place de processus coûteux et complexes.
Cependant, le plus grand avantage pour les entreprises reste la conformité à la loi. Cela permet d’éviter des amendes importantes et des pénalités. Si vos clients ou consommateurs ne sont pas satisfaits de la façon dont vous gérez leurs données, ils pourraient engager des actions en justice contre vous.
Au Royaume-Uni, les pénalités pour non-conformité au GDPR peuvent atteindre 17,5 millions de livres sterling. Dans l’UE, les amendes peuvent atteindre 20 millions d’euros.
En tant qu’entreprise devant respecter à la fois le UK GDPR et le EU GDPR, voici quelques bonnes pratiques à suivre pour assurer la conformité. Bien qu’il existe des différences importantes selon le type d’activité, en général, il faut :
Comprendre en profondeur les différences entre le UK et le EU GDPR
Déterminer si votre activité nécessite une conformité aux deux, ou uniquement au UK ou EU GDPR.
Mettre en œuvre toutes les mesures de protection des données requises. Les aligner avec les recommandations des règles et réglementations GDPR concernées.
Enfin, revoir et mettre à jour régulièrement vos politiques de sécurité des données, et suivre toute évolution du GDPR.
Si vous n’êtes pas sûr de savoir quel GDPR s’applique à votre entreprise et à votre secteur d’activité, vous pouvez également envisager de faire appel à des experts pour gérer cela pour vous. Consultez les autorités compétentes pour vous assurer que votre entreprise respecte le UK GDPR, le EU GDPR, ou les deux si nécessaire.
Le Royaume-Uni suit-il encore le EU GDPR ?
Le Royaume-Uni suit le UK GDPR, qui partage de nombreuses similitudes avec le EU GDPR. Si vous êtes une entreprise opérant au Royaume-Uni, mais collectant des données sur des clients de l’UE, vous devrez toujours respecter le EU GDPR.
Quels sont les 7 principes du GDPR au Royaume-Uni ?
Les sept principes du GDPR au Royaume-Uni incluent la Licéité, l’équité et la transparence, la Limitation de la finalité, la Minimisation des données, l’Exactitude, la Limitation de la conservation, l’Intégrité et la confidentialité, et la Responsabilité.
Le UK GDPR ne s’applique-t-il qu’aux citoyens britanniques ?
Oui, le UK GDPR s’applique aux citoyens britanniques. Toute entreprise doit suivre les exigences du UK GDPR lors du traitement des données des résidents du Royaume-Uni.
Qu’est-ce qu’un consentement conforme au UK GDPR ?
Le UK GDPR établit des normes claires sur ce que signifie un consentement conforme. La demande de consentement doit être formulée de manière claire et sans ambiguïté. Elle doit impliquer que les utilisateurs et visiteurs du site cliquent pour donner leur accord (opt-in). Le UK GDPR interdit strictement les cases pré-cochées. Il exige aussi que les sites mettent en place des options de consentement « granulaire » pour différentes finalités de traitement.
Fondateur
Lucas Botzen est le fondateur de Rivermate, une plateforme mondiale de ressources humaines spécialisée dans la gestion de la paie internationale, la conformité et la gestion des avantages sociaux pour les entreprises à distance. Auparavant, il a cofondé Boloo, entreprise dont il a réussi la vente après l'avoir développée jusqu’à générer plus de 2 millions d’euros de revenus annuels. Lucas est passionné par la technologie, l’automatisation et le travail à distance, et il prône des solutions numériques innovantes pour faciliter l'emploi à l’échelle internationale.
Notre solution Employer of Record (EOR) facilite l'embauche, la rémunération et la gestion des employés à l'échelle mondiale.
Réservez une démo
Industry Insights and Trends
Le guide complet sur ce qu'est un Employer of Record (EOR), et pourquoi votre entreprise pourrait en avoir besoin.
Lucas Botzen
Remote Work and Productivity
Découvrez le pouvoir transformateur d'embrasser le changement dans nos vies ! Cet article de blog explore des histoires personnelles, des recherches scientifiques et des conseils pratiques pour vous montrer comment s’adapter au changement peut conduire à la croissance personnelle et à des opportunités inattendues. Inspirez-vous pour affronter le changement avec confiance et curiosité — continuez à lire pour apprendre comment transformer les changements inévitables de la vie en tremplins vers le succès.
Lucas Botzen
Business Expansion and Growth
15 avantages d'embaucher des Contractors internationaux dans le monde entier.
Lucas Botzen
