Nouveau rebondissement concernant le transfert de données au Royaume-Uni !
Le 31 janvier dernier, le Royaume-Uni a officiellement quitté l’Union Européenne. Cependant, l’accord de retrait, entré en vigueur le 1er février 2020, marquait également le début d’une période de transition. Pendant celle-ci, toutes les règles de droit européen, en ce compris le RGPD, continuaient à s’appliquer au Royaume-Uni.
Cette période transitoire prenait fin le 31 décembre 2020.
Un accord post-Brexit entre le Royaume-Uni et les 27 pays restants dans l’UE a été trouvé de justesse le 24 décembre 2020, octroyant un peu de répit aux responsables du traitement transférant des données au Royaume-Uni. Cet accord s’applique depuis le 1er janvier 2021.
Cependant, la Commission a entamé la procédure pour l’adoption d’une décision d’adéquation pour le transfert de données au Royaume-Uni. Cette décision mettra fin à l’application de l’accord post-Brexit. Elle assurera la conformité des transferts de données entre l’UE et le Royaume-Uni.
Bien que ces décisions ne soient pas encore adoptées, c’est en bonne voie …
Contexte
Afin de laisser un dernier délai aux entités susceptibles de transférer des données de l’Union vers le Royaume-Uni, un accord post-Brexit a été conclu entre le Royaume-Uni et les 27 Etats membres de l’Union. Cet accord, qui a commencé à s’appliquer le 1er janvier 2021, a vocation de durer au maximum 6 mois.
Pendant toute la durée de cet accord, le transfert de données à caractère personnel entre un pays de l’Union et le Royaume-Uni n’est pas encore considéré comme un transfert hors-UE.
Pour cela, le Royaume-Uni doit respecter deux conditions :
- Premièrement, la législation en matière de protection des données incorporée dans le droit national du Royaume-Uni par le « European Union Act 2018 » et telle que modifiée par les règlements de 2019 sur la protection des données, la vie privée et les communications électroniques doit continuer à s’appliquer.
- Deuxièmement, le Royaume-Uni ne doit pas modifier cette législation sans l’approbation de l’UE.
En outre, cet accord prévoit expressément qu’il prendra fin en cas de décision d’adéquation rendue par la Commission au profit du Royaume-Uni.
Le 19 février 2020, la Commission a entamé les démarches nécessaires afin d’adopter une décision d’adéquation !
Qu’est-ce que cela signifie pour le transfert de données vers le Royaume-Uni ?
Le transfert de données à caractère personnel en dehors de l’UE est en principe interdit. Le but est d’éviter que les données ne soient soumises à un cadre juridique étranger moins protecteur que le RGPD.
En effet, les pays tiers ne sont pas soumis au RGPD. Par cette interdiction, on évite qu’il suffise de sortir les données du territoire européen pour leur faire perdre toute protection (art. 45 RGPD).
Par exception à cette interdiction, les données peuvent être transférées dans un Etat tiers à condition que cet état ait été reconnu comme offrant un niveau adéquat de protection aux données. De cette manière on s’assure que les données sont protégées malgré leur transfert hors UE.
Par une décision d’adéquation, la Commission constate que le pays destinataire des données présente des garanties « essentiellement équivalentes » à celles du RGPD.
Qu’attendons-nous ?
Le 19 février 2021, la Commission a entamé la procédure d’adoption de deux décisions d’adéquations relatives au Royaume-Uni. La première concerne l’adéquation du Royaume-Uni au règlement général sur la protection des données (RGPD) et l’autre dans celui de la directive en matière de protection des données dans le domaine répressif.
Ces deux décisions ne sont aujourd’hui qu’au stade de projet mais peuvent déboucher sur une décision d’adéquation définitive.
Afin de rédiger ces décisions, la Commission a tenu compte de la législation britannique et des pratiques du Royaume-Uni en matière de protection des données. De plus, la Commission a porté une attention toute particulière aux possibilités d’ingérence étatique et aux pouvoirs des autorités publiques en matière d’accès à ces données.
What’s next ?
A partir de ces projets, la Commission doit demander l’avis du Comité européen de la protection des données (CEPD). Ensuite, elle doit également obtenir l’accord des Etats membres de l’Union.
Après avoir rempli ces formalités, la Commission pourra adopter ces deux décisions d’adéquation. Par ces décisions, elle constatera que le Royaume-Uni offre un niveau de protection adéquat des données.
Conséquences sur les transferts de données vers l’Angleterre ?
En cas d’adoption des décisions d’adéquation, le transfert de données en Angleterre restera un transfert de données vers un Etat tiers. Cependant, ce transfert sera autorisé au regard du RGPD.
Pour combien de temps ?
Dès lors que le Royaume-Uni ne fait plus partie de l’Union Européenne, il n’est plus soumis aux législations européennes. Cela signifie que l’Angleterre peut, de manière unilatérale et sans consulter l’UE, prendre ou modifier sa législation. Le risque est donc que, ultérieurement à la décision d’adéquation, le Royaume-Uni modifie son cadre législatif national et ne protège plus les données de manière adéquate.
Pour cette raison, la décision d’adéquation ne vaudrait que pour une durée de 4 ans. Ce délai commencerait à courir à compter de son entrée en vigueur. A l’échéance de ces quatre ans, la Commission devrait réévaluer la situation. Si le Royaume-Uni protège toujours les données de manière suffisante, la Commission pourrait alors renouveler la décision d’adéquation.
Et vice-versa ?
La décision d »adéquation de la Commission ne concerne que le transfert de données en partance de l’Union vers le Royaume-Uni. Qu’en est-il alors des données venant du Royaume-Uni vers l’Union ?
Ces transferts de données sont soumis à la législation du Royaume-Uni depuis le 1er janvier 2021. En vertu du droit britannique, les Etats membres de l’Union européenne assurent un niveau de protection adéquat des données. Par conséquent, le Royaume-Uni accepte que les données provenant du Royaume-Uni puissent être transférées dans l’Union.
Il ne faut cependant pas perdre de vue la question du représentant. En effet, les entreprises anglaises qui ne disposent pas d’un établissement dans l’UE doivent, depuis le 1er janvier 2021, désigner un représentant dans l’UE. L’adoption d’une décision d’adéquation n’y changera rien.
Notre conseil :
Grâce à ces décisions d’adéquations, le Royaume-Uni serait considéré comme assurant une protection adéquate des données à caractère personnel. Par conséquent, le transfert de données de l’Union vers le Royaume-Uni ne poserait pas de problème en lui-même.
Cependant, une décision d’adéquation ne vous dispense pas de respecter les autres dispositions du RGPD ainsi que la loi belge sur la protection des données !
En attendant l’adoption effective de ces décisions d’adéquation, et ce jusqu’au 30 juin 2021, tout transfert de données de l’Union vers le Royaume-Uni n’est pas encore considéré comme un flux transfrontalier.
Bien entendu, nous vous tiendrons informés dès que les décisions d’adéquations seront adoptées définitivement.