Le Brexit a un impact important sur la protection des données à caractère personnel. Dans un premier temps, l’accord signé entre l’UE et le Royaume-Uni a permis une adéquation au RGPD, accord valide jusqu’au 31 décembre 2020. Cet accord a ensuite été étendu jusqu’au 1er juillet 2021, par la Commission de l’UE qui s’est déclarée le 19 février 2021 en faveur d’une décision d’adéquation d’une durée de 4 ans. Toutefois, cette décision n’est pas encore finalisée, les brouillons sont consultables ici. Si cet accord n’est pas finalisé avant le 1er juillet, le recours à des clauses contractuelles types (CCT) entre l’UE et le Royaume-Uni restera nécessaire.
Quelles décisions ont été prises ?
Le 13 avril, le Comité européen de la protection des données (CEPD) a rendu deux avis sur les projets de décisions d’adéquation du Royaume-Uni, manifestant des préoccupations importantes concernant ces documents.
Le 11 mai, les députés européens, via la commission des libertés civiles du Parlement européen, ont demandé à la Commission d’avancer plus rapidement sur la décision d’adéquation du Royaume-Uni, en insistant sur la résolution de points de blocages importants. Les lois britanniques sur la protection des données sont similaires au RGPD, cependant, les députés ont posé des questions sur leurs applications et leurs exemptions. Ces questions, en lien avec les préoccupations récentes du CEPD (comité européen de la protection des données) portent sur différents points.
- L’immigration : touchant aux droits des citoyens de l’UE souhaitant s’installer ou demeurer résidents du Royaume-Uni, avec une absence de contrôle judiciaire de la gestion des données traitées dans ce cadre.
- La sécurité nationale et les données traitées par les forces de l’ordre : avec un Etat britannique disposant de larges pouvoirs sur ce sujet, élément nécessitant un traitement en rapport dans la décision d’adéquation à venir. Les préoccupations des députés portent sur les masses très importantes de données partagées entre les agences de renseignements britanniques elles-mêmes, ainsi qu’avec leurs consœurs américaines (NSA, CIA, etc). De ce fait, les députés appellent à des accords de non espionnage entre l’UE et le Royaume-Uni pour lever ces écueils.
Les pays tiers et les transferts ultérieurs
Les députés se sont déclarés inquiets concernant les transferts de données ultérieurs. En effet, le Royaume-Uni a signé des accords de partage de données avec des pays non adéquats au RGPD, tels que les Etats-Unis, ou des accords dans le cadre de partenariats qui permettraient ainsi, en cas de décision d’adéquation trop permissive, d’opérer des transferts de l’UE vers les Etats-Unis, et ainsi vers des pays non adéquats au RGPD mais ayant des accords avec les Etats-Unis.
Récemment, le Royaume-Uni a demandé à rejoindre l’accord de libre-échange transpacifique (CPTPP, ex TPP), rassemblant États-Unis, Canada, Mexique, Chili, Pérou, Japon, Malaisie, Vietnam, Singapour, Brunei, Australie et Nouvelle-Zélande, dont certains sont déclarés comme non-RGPD compliant par la Commission UE. Plusieurs de ses membres ne sont pas considérés comme adéquats en matière de protection des données à caractère personnel.
Les préoccupations des députés européens et du CEPD ne devraient pas être d’un grand poids face aux conséquences économiques lourdes d’un blocage de transferts de données (estimés à 8 milliards d’euros) et politiques, avec un Royaume-Uni qui noue, depuis son indépendance retrouvée vis-à-vis de l’UE, des partenariats internationaux majeurs. Ce constat peut être répliqué concernant les transferts de données à caractère personnel entre l’UE et les Etats-Unis, avec un nouveau Privacy Shield à venir, objet d’un de nos articles antérieurs, qui s’adaptera sans aucun doute aux énormes enjeux économiques concernés. Le RGPD devrait suivre la même logique, la volonté de soumettre les pratiques des agences de renseignements internationales à ses règles étant de l’ordre de l’utopie.