Le 12 mars 2018, la Commission européenne a publié un avis sur les conséquences du Brexit dans le domaine de la sécurité des systèmes d'information et des réseaux (SSIR). Sous réserve des dispositions transitoires contenues dans un éventuel accord de retrait, les règles de l'UE relatives aux SSIR cesseront de s'appliquer au Royaume-Uni à compter de la date de son retrait de l’Union Européenne (UE), soit le 29 mars 2019. À ce stade, le Royaume-Uni deviendra un «pays tiers». Le règlement de l'UE. Cela aura des conséquences importantes pour les vente internet et les plateformes de e-commerce voire même pour la gig-économie ; dans le contexte des ventes dématérialisées de biens et de services (non financiers) transfrontalières, ainsi que pour tous les autres services numériques en ligne tels que les moteurs de recherche et les logiciels SAAS par exemple.

Développement rapide

Selon la Commission européenne, le secteur du commerce de détail est le secteur le plus important de l'économie marchande non financière de l'UE en termes de nombre d'entreprises et de personnes employées. La vente au détail est également étroitement liée à d'autres secteurs de l'économie tels que le commerce de gros, l’industrie lourde, l’agriculture, les transports et la logistique et des services aux entreprises généralement. Avec le développement rapide du commerce électronique, la sécurité du secteur qui apporte des biens et des services du monde entier aux consommateurs de l'UE et des pays tiers est essentielle.  Parallèlement, la numérisation des processus dans le secteur du commerce de détail influence non seulement les habitudes de consommation des personnes, mais elle modifie également les achats en ligne ou hors ligne. En plus des plateformes de vente de biens et produits pour la consommation courante (comme Amazon ou Shopify), cette règlementation protège aussi leurs utilisateurs dans le contexte des services, tels que la mise à disposition de travaux de freelance que les pigistes dans les secteurs des médias, del'informatique et de les arts (comme par Upwork et Guru) vont effectuer contre un salaire.  Il comprend également les commerçants (tels que Uber, Airbnb,) et les services de mise à disposition d’ouvriers ou de garde d’enfants ou d’animaux, ou encore de réparation des biens immobiliers (MyBuilder et Rated People en Angleterre) qui annoncent et vendent leurs services numériquement à des consommateurs de plus en plus confiants.

Sécurité en jeu

Les conséquences de la date de retrait de l’Angleterre de l’UE (pour le moment le 29 mars 2018) sont les suivantes :

1. Lorsqu'un prestataire de services numériques (PSN) est établi dans l'UE, ce dernier est soumis à la juridiction de l'État membre dans lequel il a son établissement principal, ce qui correspond en principe au lieu où le fournisseur dispose de son siège dans l’UE.

2. Lorsqu'un PSN n'est pas établi dans l’UE mais offre des services numériques dans l’UE, il doit désigner un représentant situés dans l’UE. Si le PSN enfreint globalement le régime général de protection des données (GDPR) ou les règles de sécurité des systèmes d'information et des réseaux (SSIR), la désignation d'un représentant ne préjuge pas des actions en justice qui pourraient être engagées contre le fournisseur de services numériques lui-même, dans toutes les juridictions concernées.

3. Si l'établissement principal du PSN se trouvait au Royaume-Uni avant la date de retrait, et :

3.1 S'il maintient un ou plusieurs établissements dans les 27 États membres de l'UE, il sera considéré comme relevant de la compétence du droit européen et devra s’enregistrer en Europe, par exemple s’il est établi aussi en France, il devra changer son autorité compétente pour la CNIL.

3.2 Si le PSN n'est plus établi dans l'UE27 mais il offre des services numériques dans les États membres de l'UE27, il sera soumis à l'obligation de désigner un représentant dans un État membre de l'UE27.

4. Si un PSN n'est ni établi dans l'UE27 ni au Royaume-Uni mais soumis à la juridiction du Royaume-Uni avant la date de retrait parce qu'il a désigné un représentant au Royaume-Uni, ce PSN, à la date de retrait, sera soumis à l'obligation de désigner un représentant dans un État membre de l'UE27 où les services sont offerts par ce dernier. Comme les détaillants et les fournisseurs de services accumulent de vastes quantités d'informations personnelles précieuses sur leurs clients, les risques liés aux violations de la protection des données augmentent de jour en jour dans l’industrie du commerce en général. Au Royaume-Uni, la directive SSRI a été promulguée le 9 mai 2018 et le régime général de protection des données (ou « GDPR » en anglais) a été promulgué le 25 mai 2018.