Le Brexit sera mis en œuvre le 29 mars 2019, date officielle à partir de laquelle le Royaume-Uni cessera de faire partie de l’Union européenne. Cette sortie de l’Union européenne s’accompagne de nombreuses problématiques juridiques, notamment sur le point de savoir, en l’absence d’accord avec l’Union européenne (« no-deal Brexit »), comment seront encadrés à l’avenir les échanges de données à caractère personnel avec le Royaume-Uni.
Quel encadrement des transferts de données à caractère personnel depuis un Etat-membre de l’Union Européenne vers le Royaume-Uni après le Brexit ?
Le Comité Européen de la Protection des Données vient de publier une note d’information relative au sort des transferts de données à caractère personnel depuis un Etat membre de l’Union européenne vers le Royaume-Uni en cas de « no-deal Brexit ».
Dans cette hypothèse, les transferts de données à caractère personnel vers un sous-traitant au Royaume-Uni devront faire l’objet d’un encadrement spécifique à compter de la date effective du Brexit. En effet, sauf exception, en l’absence de décision d’adéquation de la Commission européenne au profit du Royaume-Uni, il conviendra d’encadrer de tels transferts de données à caractère personnel par des garanties appropriées (cf. article 46 du règlement européen (UE) 2016/67 9 du 27 avril 2016 dit « règlement général sur la protection des données » (« RGPD »)), à savoir notamment par la conclusion de clauses contractuelles types, l’adoption de règles d’entreprise contraignantes (« Binding Corporate Rules »), la conclusion de clauses contractuelles ad hoc (sous réserve de l’autorisation de l’autorité de contrôle compétente),…
Pour autant, le gouvernement anglais a d’ores et déjà manifesté sa volonté de faire reconnaître par la Commission européenne le Royaume-Uni comme disposant d’un niveau de protection adéquat, ce qui aurait pour effet d’assurer pour l’avenir la licéité de tels transferts, sans besoin de procéder à d’autres formalités.
Quel encadrement des transferts de données à caractère personnel depuis le Royaume-Uni après le Brexit ?
Le gouvernement anglais semble considérer que le principe de la libre circulation des données à caractère personnel depuis le Royaume-Uni vers un Etat membre de l’Union européenne demeure applicable en cas de « no-deal Brexit ».
Toutefois, la position de l’autorité de contrôle anglaise (« Information Commissioner’s Office » dite « ICO ») est plus nuancée. Cette dernière rappelle que s’agissant d’un transfert de données à destination d’un autre Etat, qu’il soit ou non situé au sein de l’Union européenne, encore faudrait-il pour que ce transfert soit licite que le gouvernement anglais reconnaisse le pays destinataire comme disposant d’un niveau de protection adéquat, le mécanisme des décisions d’adéquation issu du droit européen devant a priori être maintenu en droit anglais.
En tout état de cause, les décisions d’adéquation de la Commission européenne ne pourront plus être invoquées à l’issue du Brexit pour encadrer de tels transferts puisque les décisions d’adéquation, si ce mécanisme est maintenu, devront émaner du gouvernement anglais.
S’agissant en particulier des transferts de données à caractère personnel vers les Etats-Unis, ceux-ci ne pourront plus être encadrés par l’adhésion du destinataire au « Privacy Shield » en cas de « no-deal Brexit ». Pour autant, le gouvernement américain rappelle qu’il pourrait être envisagé une période transitoire jusqu’au 31 décembre 2020. Pendant cette période, le Royaume-Uni resterait soumis au droit européen, y compris au RGPD, ce qui permettrait d’encadrer les transferts depuis le Royaume-Uni vers les Etats-Unis du fait de l’adhésion de l’entreprise destinataire au « Privacy Shield ». A l’issue de cette phase de transition, le mécanisme du « Privacy Shield » pourrait alors être étendu à de tels transferts.
Ainsi, outre la régularisation nécessaire des transferts de données à caractère personnel depuis l’Union européenne vers le Royaume-Uni, il conviendra également porter une attention particulière aux transferts de telles données depuis le Royaume-Uni.
* *
*
Si le gouvernement anglais a manifesté sa volonté de conserver en droit anglais les principes et mécanismes européens en matière de protection des données à caractère personnel, il demeure de nombreuses incertitudes quant à la période transitoire post-Brexit s’agissant des flux de telles données vers et depuis le Royaume-Uni.
Aussi, en l’absence d’accord spécifique sur ces sujets malgré l’imminence de la mise en œuvre du Brexit, les responsables de traitement en Union européenne échangeant des données avec le Royaume-Uni doivent faire preuve de proactivité en prenant en considération la nécessité d’encadrer de tels flux avec leurs sous-traitants, partenaires, etc. au moyen d’une revue des contrats existants (rendue en tout état de cause indispensable avec l’adoption du RGPD) et d’une mise à jour des modèles de contrats pour le futur. Il leur appartient également de procéder à une veille vigilante de l’actualité sur ce sujet afin d’anticiper la situation à venir à l’issue de la période transitoire post-Brexit, dont la durée est incertaine.
Enfin, et pour mémoire, l’existence de transferts de données à caractère personnel à destination d’Etats situés hors Union européenne ainsi que les garanties encadrant de tels flux doivent impérativement être précisés dans les mentions d’information à l’attention des personnes concernées (cf. articles 13 et 14 du RGPD). Ainsi, au lendemain du Brexit et le cas échéant à l’issue de la période transitoire post-Brexit, il conviendra d’ajuster à cette fin l’ensemble des mentions d’information à l’attention des personnes concernées lorsque leurs données à caractère personnel font l’objet d’un transfert vers le Royaume-Uni. Il sera également nécessaire de mettre à jour la documentation interne de l’organisme concerné, et notamment le registre des activités de traitement de données à caractère personnel, afin d’y indiquer ces nouveaux transferts hors Union européenne ainsi que les nouvelles garanties mises en œuvre pour encadrer de tels transferts.
En tout état de cause, il serait a minima opportun que la Commission européenne adopte rapidement une décision d’adéquation reconnaissant le Royaume-Uni comme offrant un niveau de protection des données adéquat, ce qui permettrait de simplifier l’encadrement des transferts de données depuis l’Union européenne vers le Royaume-Uni.
Affaire à suivre…
Par AGIL’IT – Pôle IT & Data protection
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate