Brexit : pourquoi devriez-vous vous inquiéter pour vos données personnelles ?

In extremis. 3 jours avant la fin de la période transitoire de 6 mois. Celle prévue par l’accord de commerce et de coopération signé le 24 décembre 2020 par l’Union européenne (UE) et le Royaume-Uni. 

Ce 28 juin 2021, la Commission européenne adopte deux décisions d’adéquation britanniques. “L'une au titre du règlement général sur la protection des données (RGPD) et l'autre au titre de la directive en matière de protection des données dans le domaine répressif”. (Source : CNIL.)

Concrètement, les flux de données personnelles de l’UE vers le Royaume-Uni continueront à circuler librement. Aucune démarche juridique et réglementaire fastidieuse et coûteuse à entreprendre.

Un véritable soulagement pour les entreprises des deux côtés de la Manche. Les enjeux économiques sont de taille.

L’omniprésence d’Internet, la numérisation des biens et des services… Dans l’économie mondiale, les flux de données personnelles constituent le pilier, le rouage indispensable à tous les échanges commerciaux. La compétitivité des entreprises, indépendamment de leur secteur d’activité, en dépend. 

Ces échanges commerciaux entre les Britanniques et les Européens sont conséquents. Selon l'Office européen des statistiques Eurostat, les exportations de l’UE s’élevaient, en janvier 2021, à 18 milliards d'euros (les exportations britanniques atteignaient 6,4 milliards d'euros). 

Malgré tout, ce soulagement risque d’être éphémère. Exceptionnellement, ces décisions d’adéquation ne sont valables que 4 ans. 

Preuve d’une certaine méfiance du côté européen. Pendant que la Commission européenne décortiquait la législation anglo-saxonne pour rendre sa décision d’adéquation, un groupe de travail gouvernemental préconisait à Boris Johnson, le premier ministre anglais, un remplacement de certaines dispositions du RGPD pour accélérer le développement économique des entreprises nationales. 

Les entreprises de l’UE pourraient prochainement être contraintes de s’adapter si le Royaume-Uni devenait un pays “tiers”…

Découvrez dans cet article l’impact du Brexit sur la gestion des données personnelles pour les entreprises britanniques et européennes.

Brexit et RGPD : les conséquences au Royaume-Uni

Petite consolation, le Royaume-Uni va également devoir s’adapter. 23 juin 2016, 24 décembre 2020. 4 ans de négociations pour trouver un accord de sortie de l’UE. 4 ans pendant lesquels le Royaume-Uni était tenu de respecter la législation européenne. Entré en vigueur le 25 mai 2018, le RGPD a donc structuré la politique de gestion de données et de protection de la vie privée au Royaume-Uni. Le Brexit, un événement aux conséquences non négligeables.

Les flux de données vers l’UE : la législation britannique s’applique.

Très proches de l’esprit du “RGPD”, le “Data Protection Act” et le “Privacy and electronic communication regulations” encadrent la gestion (traitements et flux) des données personnelles au Royaume-Uni et assurent la protection de la vie privée des Britanniques.

Toutefois, avec une différence d’approche notable. Les données en provenance du Royaume-Uni circulent déjà librement vers l’Europe depuis le 1er janvier 2021. Le Royaume-Uni considère que les pays de l’UE proposent un niveau de protection adéquat.

La fin du guichet unique.

Sans aucun doute, une disposition du RGPD qui simplifie considérablement la gestion administrative des entreprises à propos des données personnelles.

Qu'est-ce que le guichet unique ?

La création d’un guichet unique, une mesure phare du RGPD qui harmonise la législation sur les données personnelles des 27 pays de l’UE. Toutes les entreprises européennes qui réalisent des traitements de données “transfrontaliers” en bénéficient.

Un interlocuteur unique (l’autorité “chef de file”, c’est l’autorité chargée de la protection des données dans le pays où est installé l’établissement principal d’une société, par exemple La CNIL en France) pour le traitement des données sur l’ensemble du continent (pour les contrôles, les obligations, les démarches administratives en cas de traitements “transfrontaliers”…). 

Inutile de s’adresser à chaque autorité nationale (indépendante pour décider de la gestion des données personnelles sur son sol et pour ses ressortissants), moins de lourdeurs administratives, plus de réactivité.

Prenons un exemple : dans le cadre du RGPD et pour les entreprises françaises, la CNIL informe ses homologues des pays concernés par un transfert “transfrontalier”. Ensemble, ils décident des dispositions à appliquer. Et cette décision concertée vaut pour l’ensemble du territoire européen. Et seule la CNIL en informe les entreprises françaises.

Gain de temps et harmonisation des décisions (pas besoin de s’adapter aux règles nationales), un fonctionnement précieux pour les entreprises qui gagnent donc en compétitivité. Situées dans un pays hors de l’UE, les entreprises britanniques ne profitent plus de ce dispositif (sauf établissement principal basé sur l’Espace Économique Européen) : “Le guichet unique concerne uniquement les traitements transfrontaliers tels que définis à l’article 4.23 du RGPD." Autrement dit : Les traitements de données mis en œuvre par une entreprise établie dans plusieurs États européens…

Ainsi, le mécanisme du guichet unique n’est pas ouvert aux entreprises établies en-dehors de l’Union européenne, même si leurs traitements de données concernent des personnes résidant dans plusieurs États membres.

Comment les entreprises britanniques doivent-elles s’adapter ?

Depuis le 1er janvier 2021, les entreprises du Royaume-Uni (responsables de traitement comme sous-traitants) doivent désigner un représentant dans l’Union.

Ce dernier devient l’interlocuteur privilégié des autorités de contrôle européennes chargées de veiller à la conformité du traitement des données selon le RGPD.

Les décisions d’adéquation : la méfiance européenne

En l’état actuel de la législation britannique, les décisions d’adéquation rendues par la Commission européenne sont, somme toute, assez logiques. Le RGPD était la réglementation en vigueur depuis le 25 mai 2018 au Royaume-Uni. La législation outre-Manche y trouve ses racines et s’est donc construite autour de cette réglementation.

Les données personnelles des citoyens Européens sont parfaitement protégées au Royaume-Uni comme le souligne Didier Reynders, commissaire européen à la Justice : "Nous pouvons aujourd'hui donner l'assurance aux citoyens de l'Union que leurs données à caractère personnel seront protégées lorsqu'elles seront transférées vers le Royaume-Uni". 

Toutefois, un mot important doit attirer notre attention dans cette citation : “aujourd’hui”.

La vigilance est donc de mise. La Commission européenne demeure attentive à toute volonté britannique de s’éloigner du RGDP comme le suggère le rapport intitulé « Taskforce on Innovation, Growth and Regulatory Reform » (l’innovation, la croissance et la réforme réglementaire) remis à Boris Johnson en juin dernier.

Pensez-y !

Un chapitre nommé “Replace GDPR with a new UK framework for data protection” (“Remplacer le RGPD par un nouveau cadre britannique pour la protection des données") y figure. 

Sur la page 8 de ce document, le groupe de travail gouvernemental indique clairement que le RGPD est déjà “obsolète” et doit être "révisé" pour favoriser les secteurs de croissance et l'innovation au Royaume-Uni.

Un signal d’alerte, parmi d’autres, qui a poussé la Commission européenne à adopter une clause dite de “suppression automatique” :

• les décisions d’adéquation ne sont valables que 4 ans ;
  

• passé ce délai, la Commission européenne vérifiera que le Royaume-Uni propose un niveau adéquat de protection des données personnelles des Européens.

Et si le Royaume-Uni devenait un pays “tiers”

L’adoption d’un nouveau cadre législatif obligerait les entreprises de l’UE à modifier considérablement leur politique de gestion des données...

Responsabilisées par le RGPD, elles seraient garantes de son application et de la protection de la vie privée des individus dans un pays considéré comme “tiers”, c’est-à-dire, un pays au niveau de protection inadéquat pour les données personnelles des ressortissants européens.

Pour les aider à respecter leurs obligations, la Commission européenne leur propose plusieurs outils juridiques.

1ᵉʳ outil : des garanties appropriées.

En cas d’absence de décision d’adéquation, l’article 46 RGPD stipule : “En l'absence de décision en vertu de l'article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s'il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.” 

4 options disponibles pour un transfert vers le Royaume-Uni.

Des clauses contractuelles types.

Des “dispositions-types” de protection des données personnelles proposées soit par la Commission européenne, soit par une autorité de contrôle (la CNIL en France). Dans ce dernier cas, les clauses doivent être approuvées par la Commission européenne.

Des clauses contractuelles pertinentes

Plus astreignantes que les précédentes. Approuvées par la CNIL, leur validité n’excède pas 3 ans. 

Des règles d’entreprise plus contraignantes

On parle des “Binding Corporate Rules” (BCR). Vous adoptez des règles et un code de conduite pour encadrer le transfert des données si votre responsable du traitement ou vos sous-traitants sont basés sur le territoire britannique.

Mais attention… Vos BCR doivent être approuvées par la CNIL et la Commission européenne avant la mise en application.

Vos partenaires britanniques s’engagent à respecter les garanties appropriées et les droits des ressortissants européens.

Le rapatriement

Le Royaume-Uni héberge vos données personnelles ? Pourquoi ne pas organiser leur rapatriement pour qu’elles soient hébergées sur l’UE ?

Une excellente option pour :

• diminuer les lourdeurs administratives ;
  

• améliorer la confiance de vos clients/utilisateurs/employés… ;
  

• renforcer votre image de marque ;
  

• pérenniser votre business.

2ᵉ outil : des dérogations.

Dans certains cas très spécifiques, un transfert par dérogation est envisageable (aucune décision d’adéquation, absence de garanties appropriées) :

• obtention d’un consentement explicite après mise en garde de votre interlocuteur sur les dangers d’un transfert vers le Royaume-Uni ;
  

• exécution d’un contrat entre l’individu concerné et le responsable du traitement ou entre l’individu concerné et une autre personne physique ou morale ;
  

• intérêts publics manifestes ;
  

• défense de droits en justice ;
  

• engagement de l’intégrité physique de la personne concernée.
  

Mais attention, l’emploi d’un transfert par dérogation doit respecter scrupuleusement les dispositions de l’article 49 du RGPD.

Si aucune dérogation n’est applicable, un transfert de données hors UE est possible si, et seulement si, 3 conditions sont respectées :

• aucun caractère répétitif ;
  

• peu d’individus concernés ;
  

• si le responsable du traitement en a besoin à des fins d’intérêts légitimes et pressants (sans remise en cause des droits, des intérêts et de la liberté de la personne concernée). Il doit offrir des garanties appropriées pour un transfert de données en toute sérénité. Cette évaluation de la situation par le responsable du traitement doit être mentionnée dans son registre (ou celui du sous-traitant).

L’incertitude règne…

Vous en savez désormais un peu plus sur l’impact du Brexit et les relations commerciales entre l’Europe et le Royaume-Uni.

Malgré la signature du Brexit en décembre dernier, un rapport de force diplomatique est toujours en cours. Les 2 entités défendent leurs intérêts économiques nationaux.

La “data”, principale ressource de l’économie digitale, élément incontournable dans l’organisation des sociétés, n’échappe pas à d’âpres négociations.

Avec ces décisions d’adéquation “new look” à durée limitée et qui intègrent des mesures de sauvegarde, l’UE démontre sa détermination à protéger ses intérêts et ceux de ses ressortissants. 

Les propos de Vera Jourová, vice-présidente chargée des valeurs et de la transparence sont particulièrement explicites : « nous avons été très attentifs aux craintes exprimées par le Parlement, les États membre et le comité européen de la protection des données, en particulier quant à d'éventuelles divergences futures du cadre britannique de protection des données par rapport aux normes de l'UE. Il s'agit d'un droit fondamental des citoyens de l'Union, citoyens que nous avons le devoir de protéger. C'est la raison pour laquelle nous avons prévu des mesures de sauvegarde importantes et si des changements surviennent du côté britannique, nous interviendrons. »

Bref, vous l’avez compris. La tant attendue décision d’adéquation britannique n’est que provisoire. Une situation bien inconfortable pour des entreprises qui viennent à peine de sortir d’une période d’incertitudes et de turbulences : 4 ans de négociations pour finaliser le Brexit.

Un climat peu propice au développement économique serein d’entreprises qui se trouvent dans l’incapacité de piloter leur activité à moyen/long terme.

Pour vous accompagner dans toutes les facettes de votre conformité RGPD, pensez à réserver une démo du logiciel RGPD Leto.