Home / Actualités / Transferts de données personnelles vers le Royaume-Uni...

Transferts de données personnelles vers le Royaume-Uni : keep calm & carry on… pour l’instant

Quel avenir pour la décision d’adéquation face au droit britannique et à son projet de réforme ?

19/10/2021

Après l’entrée en vigueur du Brexit au 1er janvier 2021, le règlement général sur la protection des données (RGPD) restait encore applicable au Royaume-Uni pendant 6 mois. Passé ce délai, le devenir de la libre circulation des données personnelles depuis l’Union européenne demeurait incertain.

La Commission européenne a mis fin au suspense en adoptant le 28 juin 2021 une décision d’adéquation, assurant le libre transfert des données personnelles. Celle-ci reste toutefois conditionnée au niveau de protection des données assuré par le droit britannique, dont la pérennité pourrait être remise en question par une réforme annoncée le 10 septembre 2021.

L’autorisation du libre transfert de données personnelles vers le Royaume-Uni

La décision d’adéquation constate que le Royaume-Uni a pleinement conservé dans son système juridique post-Brexit les principes, droits et obligations du RGPD. Dès lors, elle reconnaît que cet Etat assure un niveau de protection des données personnelles substantiellement équivalent à celui accordé par le RGPD (une décision d’adéquation similaire, que nous n’aborderons pas dans cet article, a été adoptée le même jour vis-à-vis de la directive "police-justice").

Les transferts de données personnelles depuis l’Union européenne vers le Royaume-Uni peuvent donc être opérés sans qu’il soit nécessaire de mettre en place de garanties complémentaires (clauses contractuelles-types, règles d’entreprises contraignantes, etc.) : le droit britannique est suffisamment protecteur.

En pratique, les transferts de données pourront ainsi avoir lieu comme lorsque le RGPD était applicable au Royaume-Uni : librement.

Rien ne change, pour le moment.

Une décision d’adéquation à durée limitée et au renouvellement conditionné

Grande nouveauté pour une décision d’adéquation : celle-ci expirera automatiquement 4 ans après son entrée en vigueur, conformément à une clause dite de "suppression automatique". Son renouvellement ne pourra avoir lieu que par une décision expresse, si le Royaume-Uni continue d’assurer un niveau de protection adéquat aux données personnelles transférées sur son territoire.

Or si les règles applicables outre-manche sont aujourd’hui très similaires à celles du RGPD, elles pourraient s’en éloigner dans le futur. En effet, le législateur britannique, ayant retrouvé toute liberté pour modifier son droit national, envisage une réforme d’envergure. De son côté, la Cour suprême du Royaume-Uni pourrait développer sa propre interprétation des textes, et diverger des positions de la Cour de justice de l’Union européenne (CJUE), qu’elle n’est plus tenue de suivre, au risque de menacer le niveau de protection des données personnelles actuel.

Si le Royaume-Uni venait à s'écarter du niveau de protection en vigueur, la Commission européenne pourrait décider de ne pas renouveler la décision d’adéquation, une fois celle-ci expirée.

Un risque de suspension ou d’abrogation du dispositif d’adéquation

En outre, en cas d’affaiblissement du niveau de protection des données personnelles au Royaume-Uni, la Commission peut intervenir à tout moment, afin de suspendre, voire d’abroger la décision d’adéquation, sans attendre le moment de statuer sur son renouvellement. C’est donc l’existence même de la décision d’adéquation qui repose sur le caractère adéquat du niveau de protection assuré par le Royaume-Uni.

La CJUE n’est pas en reste en la matière puisqu’elle a déjà rendu deux jugements, invalidant successivement le Safe Harbor le 6 octobre 2015 puis le Privacy Shield le 16 juillet 2020, qui encadraient alors les transferts de données entre les Etats-Unis et l’Union européenne. Ces deux dispositifs ne présentaient pas de garanties suffisantes pour la protection des données européennes transférées sur le territoire américain. Leur abrogation avait été immédiate.

Le même sort pourrait être réservé à la décision d’adéquation si, lors d’un contentieux, la CJUE constatait que le Royaume-Uni ne garantit plus un niveau de protection suffisant aux données personnelles transférées.

Big Brother is being watched : le droit britannique sous surveillance européenne

La Commission européenne suivra en permanence l’évolution du droit britannique pour s’assurer que le niveau de protection des données personnelles, tel que constaté par la décision d’adéquation, n’est pas amoindri. Les autorités britanniques devront notamment informer la Commission européenne de toute modification de fond apportée à l’ordre juridique du Royaume-Uni ayant une incidence sur le cadre juridique objet de la décision d’adéquation ainsi que de toute évolution des pratiques relatives au traitement des données personnelles évaluées dans la décision d’adéquation.

A cet égard, le Secrétariat d’Etat au numérique britannique vient de lancer une importante consultation en vue de simplifier les règles en matière de protection des données personnelles et de faciliter l’utilisation de ces données à des fins d’innovation. Parmi les propositions, des changements clefs sont notamment envisagés :

  • d’un côté la suppression des obligations de conduire une analyse d’impact, réaliser une consultation préalable à la création d’un traitement à haut risque, nommer un délégué à la protection des données, et tenir un registre des activités de traitement ;
  • de l’autre la mise en œuvre, au sein des entreprises et autres organisations, de "programmes de gestion de la protection de la vie privée", dispositif moins contraignant ayant pour objectif d’assurer et démontrer la conformité de l’organisation.

Si ces règles venaient à être adoptées, l’Union européenne devrait déterminer si elles sont susceptibles de remettre en cause la décision d’adéquation et donc le libre transfert de données personnelles entre l’Union européenne et le Royaume-Uni.


Technologie, Media et Communication dans notre cabinet d’avocats :

Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.

cabinet avocats CMS en France

A propos de notre cabinet d'avocats

expertise tmc 330x220

Expertise : Technologie, Media et Communication

nous contacter 330x220

Nous contacter

Vos contacts

Portrait deBenjamin Benezeth
Benjamin Benezeth
Juriste
Paris
Portrait deAnne-Laure Villedieu
Anne-Laure Villedieu
Associée
Paris