Brexit : quelles conséquences sur la circulation des données personnelles en Europe ?

Pour Prudence Cadio, avocat du cabinet CMS Bureau Francis Lefebvre le statut d’Etat tiers à l’UE du Royaume-Uni impactera la circulation des données à caractère personnel et, par ricochet, le développement du commerce digital essentiellement fondé sur le traitement de ces données. Même si l’Etat britannique ne pourra ignorer le règlement européen sur les données à caractère personnel (general data protection regulation – GDPR).

Partager
Brexit : quelles conséquences sur la circulation des données personnelles en Europe ?

Brexit becomes a reality. Le Royaume-Uni a voté sa sortie de l’Union européenne (UE) par référendum le 23 juin 2016. Après la notification de sa sortie à la Commission Européenne, commencera une période de transition et de négociation de deux ans maximum au terme de laquelle le Royaume-Uni ne sera plus soumis aux traités européens.

Les grandes firmes américaines du secteur Internet (Google, Facebook, Apple, etc.) ont implanté leur siège et beaucoup de leurs datacenters européens en Irlande et ne sont donc pas concernées directement par le Brexit. Cependant, le statut d’Etat tiers à l’UE du Royaume-Uni impactera la circulation des données à caractère personnel et, par ricochet, le développement du commerce digital essentiellement fondé sur le traitement de ces données.

L’Etat britannique ne pourra ignorer le GDPR

D'une part, le règlement européen sur les données à caractère personnel (general data protection regulation – GDPR) qui se substituera aux législations nationales des Etats membres le 25 mai 2018 ne devrait s’appliquer, en tout état de cause, au Royaume-Uni qu’un laps de temps très court. Ce règlement a pour but de renforcer la protection des données personnelles des citoyens européens en leur octroyant un niveau de protection élevé et harmonisé au sein de l’UE. Pour autant, l’Etat britannique ne pourra ignorer le GDPR puisque celui-ci prévoit un champ d’application très large. Le GDPR s’appliquera notamment à toute société quelle que soit sa localisation dès qu’elle mettra en œuvre des traitements des données concernant des personnes situées en UE, liés à l’offre de biens ou de services (article 3.2 GDPR). Devront notamment se conformer au GDPR, toutes les entreprises britanniques qui font du e-commerce avec les Etats de l’UE.

La législation Informatique et Libertés du Royaume Uni précède celle de l’UE

D'autre part, le Royaume-Uni ne bénéficiera plus de la libre circulation des données à caractère personnel au sein de l’UE. La Loi Informatique et Libertés française prévoit actuellement que les transferts de données à caractère personnel hors UE nécessitent des formalités préalables et imposent, sous certaines conditions, l'autorisation de la CNIL. Le GDPR conditionnera également un tel transfert soit à la justification de la mise en œuvre de garanties particulières (Clauses Contractuelles Type, Binding Corporate Rules, etc.), soit à la reconnaissance par la Commission européenne de la qualité d’Etat assurant un niveau de protection adéquat aux données (c’est le cas aujourd’hui de la Suisse ou de l’Argentine). L’Autorité de contrôle britannique des données personnelles (ICO) rappelle, à cet égard, que la législation Informatique et Libertés du Royaume Uni précède celle de l’UE.

Que le Royaume-Uni obtienne la qualité de pays offrant le niveau de protection adéquat est donc un scenario possible, qui limiterait les conséquences du Brexit sur le transfert des données personnelles vers le Royaume-Uni et leur circulation.

Par Prudence Cadio, avocat du cabinet CMS Bureau Francis Lefebvre.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS