Brexit et RGPD : ébauche d’une collaboration

Publié le 11 février 2021

7 minutes de lecture

Après plus de quatre ans de négociations, de coups de théâtre, d’échéances loupées, la fin de l’application du droit de l’Union-Européenne est devenue une réalité depuis le 31 décembre 2020. Pour autant, les ponts entre Londres et Bruxelles ne sont pas brutalement rompus. La relation entre les deux est désormais organisée. Par exemple, les pécheurs européens ont droit à une période de transition jusqu’au mois de juin 2026, avant de devoir renoncer à un quart de leurs captures.

Cette rupture met au cœur des préoccupations la protection des données personnelles pour les deux côtés de la Manche. Deux ans après le référendum britannique du 23 juin 2016, favorable au Brexit à hauteur de 72,21%, l’Union-Européenne adopte le Règlement européen sur la protection des données (RGPD) le 25 mai 2018 devant s’appliquer à tous les pays faisant partis de l’UE. Le Brexit a alors remis en cause l’unité des pays membres de l’UE en matière de protection des données personnelles.

 

VALIDITE DU RGPD PENDANT LES SIX PROCHAINS MOIS

 

La transition se fait en douceur concernant le Règlement général sur la protection des données personnelles. Dans le cadre de l’accord de commerce et de coopération conclu la veille de Noël, Londres appliquera les dispositions du texte européen fixant les conditions dans lesquelles les informations à caractère personnelles peuvent être recueillies, stockées, traitées jusqu’au 1er juillet 2021. Au cours de cette fenêtre de six mois, « toute communication de données personnelles vers le Royaume-Uni continuera de se faire dans le cadre actuel et ne sera pas considérée comme un transfert de données vers un pays tiers » confirme la Commission nationale de l’informatique et des libertés (CNIL), dans un communiqué paru le 28 décembre dernier.

Au-delà de cette date, toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers dans le cas où la Commission européenne ne prendra pas une décision d’adéquation. Ce mécanisme permet de reconnaitre qu’un État situé en dehors de l’Union européenne assure un niveau de protection adéquat des données personnelles. « De tels transferts ne pourront s’effectuer qu’avec la mise en place de garanties appropriées (…) et à la condition que les Européens disposent de droits opposables et de voies de droit effectives » confirme la CNIL.

La nécessité d’une mise en conformité des entreprises britanniques est également soulevée par une étude menée par le groupe de réflexion New Economics Foundation et l’University College London. Les chercheurs soulignent que le gouvernement britannique doit obtenir un accord de décision d’adéquation pour continuer à échanger librement les données avec le reste de l’Europe. Autrement, le transfert des données couterait en moyenne 3 300 € pour une TPE/PME et 18 300€ pour les grandes entreprises. Un véritable gouffre financier attribué aux obligations de conformité supplémentaires.

Pour autant, ce nouveau défi de la Commission européenne est loin d’être réalisé en raison des préoccupations de l’UE et de la société civile concernant le régime de surveillance du Royaume-Uni et de son adhésion à l’alliance pour le renseignement militaire « Five Eyes » avec l’Australie, le Canada, la Nouvelle-Zélande et les États-Unis. La vice-présidente de la Commission européenne chargée des valeurs et de la transparence, Vera Jourová, a déclaré en début d’année « Nous ne savons pas si le Royaume-Uni va introduire ou non, dans sa législation nationale, des changements qui pourraient s’écarter de la ligne générale du RGPD ». En effet, le Premier ministre Boris Johnson a suggéré à plusieurs reprises que le Royaume-Uni opterait sûrement pour une réglementation plus légère que le RGPD, une fois sortie de l’UE.

 

FIN DU « GUICHET UNIQUE » POUR LES RESPONSABLES DE TRAITEMENT ET SOUS-TRAITANTS DES JANVIER 2021

 

Malgré l’accord conclu entre Bruxelles et Londres le 24 décembre 2020, le mécanisme de supervision et coopération réglementaire du « guichet unique » n’est plus applicable au Royaume-Uni depuis le 1er janvier 2021. Ce guichet unique facilite les démarches pour les entreprises établies en Union européenne car il permet d’harmoniser les décisions concernant les traitements transfrontaliers, en s’appuyant sur une autorité chef de file, qui est l’unique interlocuteur pour les responsables de traitements et la seule autorité auprès de laquelle les différentes obligations prévues par le RGPD doivent être accomplies. L’autorité britannique de protection des données (ICO) ne pourra donc plus y participer, conséquence première du Brexit.

Dans ces circonstances, les responsables de traitement et les sous-traitants établis uniquement au Royaume-Uni, dont les activités sont soumises à l’application du Règlement européen, seront tenus de désigner un représentant dans l’Union. Ce représentant peut être une personne physique ou morale établie au sein de l’Union européenne mandatée pour être « la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable de traitement ou du sous-traitant, pour toutes les questions relatives au traitement » conformément aux dispositions de l’article 27 du RGPD.

La CNIL et ses homologues européens ont anticipé cette rupture par des contacts avec l’ICO au cours des derniers mois afin de permettre une transition ordonnée vers cette nouvelle situation. Les diverses autorités ont veillé à ce qu’elles suivent une approche coordonnée dans le traitement des plaintes existantes et des cas transfrontaliers impliquant l’ICO, afin de minimiser les éventuels retards et inconvénients pour les plaignants concernés.

 

Ainsi, il est souhaitable que le Brexit ne fasse pas obstacle au maintien de la libre circulation des données qui constituerait un frein conséquent pour l’économie britannique, cumulé avec la fin de la libre circulation des personnes entre les deux côtés de la Manche.

Cette hypothèse reste malheureusement envisageable dans la mesure où le Royaume-Uni a toujours eu une politique particulière en la matière, allant jusqu’à contester la notion de donnée personnelle. Cette position pourrait s’expliquer, entre autres, par son régime économique très libéral pour lequel le RGPD est synonyme de restriction. Elle rejoint en outre l’histoire d’une relation particulièrement tumultueuse entre le Royaume-Uni et l’Union-Européenne depuis 1946.

Article rédigé par Amandine Deliaune, juriste en conformité RGPD chez Juri’Predis.

—-

Brexit : quelles conséquences juridiques ?