Recevez chaque jour toute l'actualité du numérique

x

RGPD : Les transferts de données entre l'Europe et le Royaume-Uni sont simplifiés pour 4 ans

Les données personnelles pourront légalement transiter entre l'Union européenne et le Royaume-Uni en vertu de deux décisions d'adéquation qui viennent d'être adoptées pour une durée de quatre ans. Une étape importante pour les entreprises britanniques qui craignaient de devoir multiplier les démarches administratives pour transférer des données après le Brexit. Des questions restent cependant en suspens concernant la conformité avec le RGPD d'un futur accord entre Londres et Washington. 
Twitter Facebook Linkedin Flipboard Email
×

RGPD : Les transferts de données entre l'Europe et le Royaume-Uni sont simplifiés pour 4 ans
RGPD : Les transferts de données entre l'Europe et le Royaume-Uni sont simplifiés pour 4 ans © Rodrigo Santos/Unsplash

En février dernier, la Commission européenne engageait un processus devant conduire à l'adoption de deux décisions d'adéquation avec le Royaume-Uni, une dans le cadre du Règlement général sur la protection des données (RGPD) et l'autre dans celui de la directive en matière de protection des données dans le domaine répressif. C'est désormais chose fait. Les deux textes viennent d'être adoptés et publiés.

Des démarches simplifiées
Grâce à ces accords, les flux de données personnelles entre l'Union européenne et le Royaume-Uni sont simplifiés. Ce qui représente une étape majeure pour toutes les entreprises britanniques qui traitent les données des citoyens européens et qui n'auront donc pas besoin d'effectuer des démarches supplémentaires pour garantir que ces informations sont correctement protégées.

Les enjeux financiers étaient assez importants puisque, d'après une étude de la New Economics Foundation et l'University College London, l'absence d'une décision d'adéquation aurait couté 1,8 milliard d'euros aux sociétés britanniques. Ce coût découle des obligations de conformité supplémentaires, telles que la mise en place de clauses contractuelles types.

En effet, pour rappel, jusqu'au 1er juillet 2021, malgré le Brexit, le RGPD reste applicable au Royaume-Uni. Mais au-delà, toute communication de données personnelles vers le Royaume-Uni aurait été considérée comme un transfert de données vers un pays tiers si la Commission européenne n'avait pas adopté de décision d'adéquation.

Une législation conforme au RGPD
Ce mécanisme permet de reconnaitre qu'un pays situé en dehors de l'Union européenne assure le même niveau des données personnelles que celui prévu dans le RGPD. Pour adopter une décision d'adéquation, la Commission a donc passé en revue la législation britannique en vigueur. Elle a conclu que "le Royaume-Uni a pleinement intégré dans son système juridique post-Brexit les principes, droits et obligations du RGPD et de la directive en matière de protection des données dans le domaine répressif", peut-on lire dans le communiqué de la Commission.

Cependant, l'adoption de ces textes ne clôture pas pour autant certains questionnements. "Nous avons été très attentifs aux craintes exprimées par le Parlement, les États membre et le comité européen de la protection des données, en particulier quant à d'éventuelles divergences futures du cadre britannique de protection des données par rapport aux normes de l'UE", a déclaré Vera Jourová, vice-présidente chargée des valeurs et de la transparence. Par conséquent, ces décisions d'adéquation ne sont valables que pour quatre ans.

A noter que c'est la première fois qu'une clause dite de "suppression automatique" est intégrée dans une décision d'adéquation. Ainsi, "si des changements surviennent du côté britannique, nous interviendrons", a prévenu Vera Jourová. "La Commission suivra de près la manière dont le système britannique évoluera à l'avenir et nous avons renforcé nos décisions pour y parvenir et pour intervenir si nécessaire", a également fait savoir Didier Reynders, commissaire chargé de la justice.

Un accord avec les Etats-Unis qui inquiète
C'est la signature en octobre 2019 d'un accord de coopération entre le Royaume-Uni et les Etats-Unis qui constitue l'une des principales craintes. Ce texte, qui s'inscrit dans le cadre du CLOUD Act, prévoit que les autorités répressives peuvent demander des preuves électroniques directement auprès d'un fournisseur de services cloud sans passer par les procédures prévues par les traités d'entraide judiciaire mutuelle pour les infractions passibles d'une peine maximale d'emprisonnement d'au moins trois ans.

Or, la conformité avec le RGPD de cet accord –  bien qu'il ne soit pas encore entré en vigueur –  n'est pas évidente d'après certains experts, en particulier depuis l'invalidation du Privacy Shield. En effet, la Cour de justice de l'Union européenne (CJUE) a invalidé l'accord entre l'UE et les Etats-Unis car les autorités américaines peuvent ordonner la divulgation de données stockées en Europe par des entreprises américaines.

A ce sujet, d'après la décision d'adéquation, les autorités britanniques ont expliqué que les détails de la mise en œuvre concrète des garanties en matière de protection des données font encore l'objet de discussions entre le Royaume-Uni et les États-Unis. Elles ont affirmé que l'accord n'entrera en vigueur seulement si "sa mise en œuvre est conforme aux obligations légales qui y sont prévues". Le Royaume-Uni est en outre tenu de communiquer à Bruxelles les informations sur "la manière avec laquelle les États-Unis se conformeront à leurs obligations au titre de l'accord".

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.