L’accord de retrait du Royaume-Uni de l’Union Européenne, mis en œuvre le 1er janvier 2020, prévoyait (article 71) que les dispositions du Règlement général sur la protection des données à caractère personnel (« RGPD ») y demeureraient applicables jusqu’au 31 décembre 2020, afin de laisser aux deux parties le temps d’envisager les modalités de l’après-Brexit.
Le temps des négociations arrive à son terme sans qu’un accord n’ait été trouvé s’agissant de l’échange des données personnelles entre l’Union Européenne et l’Etat sortant, cette problématique s’inscrivant dans le cadre de l’accord de sortie dans son ensemble, pour lequel un équilibre peine à être trouvé entre les intérêts divergents en cause.
Dans le cas où aucun accord ne serait conclu (c’est l’hypothèse du « no deal »), les entreprises britanniques pourraient être contraintes d’organiser au cas par cas le transfert de leurs données depuis l’Union Européenne jusqu’au Royaume-Uni, en utilisant les outils du RGPD tels que les BCR (« binding corporate rules » ou « règles d’entreprise contraignantes ») ou SCC (« standard contracutal clauses » ou « clauses contractuelles standards »), des opérations coûteuses qui pourraient s’additionner à un coût total de 1,6 milliards de pounds pour l’économie anglaise. Le Ministre des données britannique, John Whittingdale, enjoint les entreprises du Royaume-Uni à s’y préparer par prudence.
Pour que les transferts de données à travers la Manche demeurent par principe licites post-Brexit, la Commission Européenne devrait qualifier le régime anglais de protection des données d’ « adéquat » au sens du RGPD. Mais cette décision d’adéquation devant emporter l’assentiment des Etats-membres, des membres du Parlement européen ainsi que des autorités de protection des données telles que la CNIL, il apparaît en tout état de cause impossible qu’elle intervienne d’ici la fin de l’année 2020.
En outre, des voix s’élèvent pour dénoncer un régime anglais qui pourrait s’écarter radicalement des principes posés par le RGPD dès sa sortie de l’Union, mettant ainsi en danger la sécurité des transferts de données ultérieurs Royaume-Uni – Union Européenne, et qui apparaîtrait également trop intrusif, au regard de son système de surveillance généralisé. Bruno Gencarelli, Chef de l’Unité de protection des Données au sein de la Commission européenne (DG Justice et Consommateurs), souligne que le Royaume-Uni devra « faire preuve de sa sécurité juridique » – et tenir compte, à ce titre, des remarques récentes de la Cour de justice de l’Union Européenne, énoncées dans l’arrêt Schrems II, sur les modalités de protection des données.
Il convient enfin de noter que les agences de sécurité britanniques ne pourront plus, une fois la sortie de l’Union actée, procéder à des traitements généralisés des données personnelles des ressortissants de l’Union au même titre que les Etats-membres.
Au regard de ces éléments, Londres et Bruxelles travaillent à une solution alternative provisoire. Un rallongement de six (6) mois du délai de négociation, jusqu’au 30 juin 2021, serait envisagé.
Le Cabinet et son équipe d’Avocats spécialisés en protection des données personnelles sont à votre disposition pour vous assister pour tout transfert transfrontalier de données.
Par Eva Baliner-Poggi et l’équipe IP/IT
Source : Politico
Lien : https://www.politico.eu/article/eu-uk-brexit-personal-data-privacy-no-deal/
Comments are closed.