L’Union européenne a provisoirement confirmé que le Royaume-Uni était sur le point de rejoindre la liste des pays avec lesquels il transfère des données de manière libre et sans entrave.
La décision en est actuellement au stade de «projet», mais elle sera probablement adoptée prochainement après avoir été soumise aux 27 États membres de l’UE.
Qu’est-ce que l’UE accorde au Royaume-Uni?
L’UE a décidé d’aller de l’avant avec une décision d’accorder au Royaume-Uni un statut appelé «d’adéquation». Une ébauche de cette décision a été publiée le 19 février.
Le statut d’adéquation pour le Royaume-Uni signifie que le bloc considère que les lois et les règles sur la protection de la vie privée appliquées dans les territoires du pays sont d’un niveau suffisant pour déplacer des informations vers et depuis librement, en sachant qu’elles ne seront pas abusées ou utilisées à mauvais escient car les mêmes protections ne ne s’applique pas.
Les précédents bénéficiaires du statut d’adéquation sont la Nouvelle-Zélande, le Canada, l’Uruguay, l’Argentine, Israël et le Japon. De plus petits pays européens non membres de l’UE comme Andorre et les îles Féroé ont également bénéficié d’un accès sans entrave en termes de données, et des pourparlers sont apparemment en cours avec la Corée du Sud pour conclure un accord similaire.
Ponts du Brexit
Lorsque le Royaume-Uni s’est officiellement retiré de l’Union européenne en janvier 2020, de nombreux aspects de la relation entre les deux parties ont continué d’être régis par des protocoles de période de transition alors qu’un accord commercial post-Brexit était étoffé.
Ils étaient également essentiels – il a fallu attendre la veille de Noël pour que le Royaume-Uni et l’UE s’entendent sur un accord, quelques jours à peine avant la fin de la période de transition, le 31 décembre 2020. Dans une illustration dramatique de la façon dont les négociations sur le fil sont devenues, la Chambre des communes n’a ratifié l’accord que le 30 décembre. L’UE n’a pas encore ratifié l’accord commercial.
Dans le cadre de cet accord, une «période de transition» de quatre à six mois a été convenue pour continuer à permettre aux flux de données de passer entre les deux entités pendant que l’UE réfléchissait à sa décision d’adéquation.
Une transition en douceur?
La Commission est parvenue à sa décision de faire avancer l’adoption de ce décret après que l’évaluation de la Commission ait déterminé que le Royaume-Uni garantissait pratiquement les mêmes protections et privilèges que le règlement GDPR et la directive d’application de la loi de l’UE.
Un autre facteur dans la décision de la Commission est le fait que le Royaume-Uni est resté partie à la Convention européenne des droits de l’homme ainsi qu’à la Convention 108 du Conseil de l’Europe, que l’UE qualifie de « seul instrument multilatéral contraignant sur la protection des données » et est l’un des les premiers textes législatifs visant à empêcher les individus de subir des préjudices résultant de l’abus de données.
Une chose qui rend ce processus plus fluide – et un signal probable que le statut d’adéquation sera adopté – est que la politique britannique en matière de données et de confidentialité est structurée autour de la législation européenne depuis plusieurs décennies. L’espoir est qu’une fois la décision confirmée, le commerce numérique se poursuivra sans heurts.
RGPD britannique vs RGPD UE
Cependant, il est important de se rappeler qu’il y aura toujours deux ensembles de lois distincts: le RGPD britannique et le RGPD européen. Depuis le premier jour de 2021, les entreprises ou organisations qui traitent des données dans les deux régions sont désormais soumises aux deux.
En termes de changement immédiat, les entreprises devront peut-être désormais nommer deux représentants différents pour gérer les procédures au Royaume-Uni et dans l’UE, et décider également lequel elles adopteront comme «autorité chef de file».
L’ICO précise que le RGPD britannique aura toutes les décisions d’adéquation de l’UE existantes et d’autres mécanismes de transfert de données tels que les clauses contractuelles types. Cependant, le Royaume-Uni ne reconnaîtra désormais aucun nouveau mécanisme de transfert approuvé par l’UE, selon l’OIC, et devra introduire ses propres SCC.
Un autre changement qu’ils détaillent est que le RGPD britannique s’appliquera au « traitement à des fins de sécurité nationale » alors que le RGPD de l’UE ne s’est jamais appliqué à cela, et le Royaume-Uni a dû utiliser un « RGPD appliqué » pour ce traitement auparavant.
Qu’ont dit les responsables de l’UE?
Věra Jourová, vice-présidente de l’UE pour les valeurs et la transparence, a déclaré que malgré le Brexit, le bloc considère toujours le Royaume-Uni comme un partenaire proche sur les questions liées aux données:
Garantir un flux libre et sûr des données personnelles est crucial pour les entreprises et les citoyens des deux côtés de la Manche. Le Royaume-Uni a quitté l’UE, mais pas la famille européenne de la protection de la vie privée.
Cependant, elle a également souligné l’importance de revoir et de surveiller la situation, en soulignant les « mécanismes stricts » qui ont été mis en place pour faire face à toute « évolution problématique » du système britannique qui conduirait à une incongruence réglementaire.
Et le gouvernement britannique?
Downing Street tient également à faire avancer la procédure, mais n’a pas laissé passer l’occasion de jeter un empannage dans la direction de l’UE pour son approche prétendument lente, affirmant que le Royaume-Uni a fait ses démarches auprès de l’UE en temps opportun et qu’il était en la décision de la Commission de ne pas finaliser les projets de décision à temps, ce qui a fait disparaître la période de transition.
Le secrétaire d’État britannique au numérique était également impatient d’obtenir la décision sur la ligne, mais a fait écho à la ligne du gouvernement sur le manque apparent d’urgence de l’UE:
Bien que les progrès de l’UE dans ce domaine aient été plus lents que nous l’aurions souhaité, je suis heureux que nous ayons maintenant atteint cette étape importante après des mois de discussions constructives au cours desquelles nous avons défini notre solide cadre de protection des données.
Dowden a également appelé l’UE à confirmer sa décision le plus rapidement possible, afin de ne pas perturber le flux de données et les échanges entre les deux entités, désormais sous des régimes de données distincts mais similaires.
Que se passe-t-il ensuite?
L’UE doit encore voter sur l’adoption du statut d’adéquation, qui devra être approuvé par les 27 États-nations restants qui composent le bloc.
Avant cela, cependant, la décision doit être soumise au comité européen de la protection des données, qui émet un «avis non contraignant» sur le sujet. Le commissaire à la justice du bloc a déclaré:
Un flux de données sécurisé entre l’UE et le Royaume-Uni est essentiel pour maintenir des liens commerciaux étroits et coopérer efficacement dans la lutte contre la criminalité. Aujourd’hui, nous lançons le processus pour y parvenir. Nous avons minutieusement vérifié le système de confidentialité qui s’applique au Royaume-Uni après son départ de l’UE. Désormais, les autorités européennes de protection des données examineront en profondeur les projets de textes. Le droit fondamental des citoyens de l’UE à la protection des données ne doit jamais être compromis lorsque des données personnelles traversent la Manche.
Le Royaume-Uni a également accepté de maintenir une relation de partage de données avec les pays avec lesquels l’UE a conclu des accords d’adéquation, de sorte que l’exécution de ces processus avec des pays comme le Japon et l’Uruguay devrait se poursuivre.
Si le vote va à l’encontre de la décision d’adéquation – qui à ce stade semble extrêmement improbable – cela pourrait causer des problèmes majeurs aux entreprises britanniques.
