A minuit ce soir, 31 janvier 2020, le Royaume-Uni ne sera plus un Etat membre de l’Union européenne et deviendra un « pays tiers ». Quelles conséquences ce changement de statut emporte-t-il sur les flux de données qui ont lieu quotidiennement entre l’Union européenne et la Grande-Bretagne ?
Avec la ratification de l’accord de retrait ce mercredi 29 janvier par le Parlement européen, et son adoption par le Conseil le lendemain, rien ne devrait changer au 1er février. En effet, va s’ouvrir une période de transition qui devrait expirer à la fin décembre 2020, afin de laisser le temps aux autorités de s’accorder sur l’avenir des relations entre l’UE et le Royaume-Uni. Cette période de transition garantit que, pendant l’année 2020, rien ne change pour les particuliers et les entreprises, afin de laisser le temps à chacun de se préparer aux conséquences du Brexit.
En particulier, le RGPD et toutes les règles européennes en matière de protection des données et de la vie privée (telles que la directive vie privée et communications électroniques dont découlent les règles applicables en matière de cookies et de prospection électronique), continueront à s’appliquer comme si le Royaume-Uni faisait encore partie de l’UE, conformément à l’interprétation qui en est faite en Europe, sous le contrôle de la CJUE qui conserve sa compétence, y compris vis-à-vis de la Grande-Bretagne. Il est toutefois précisé que si l’ICO (l’autorité de contrôle anglaise) conservera son rôle pendant la période de transition, on peut s’attendre à ce que celui-ci soit limité au sein du Comité européen de la protection des données, dans la mesure où l’accord de retrait exclut le Royaume-Uni des organes de décision.
Ainsi, s’agissant des transferts de données outre-Manche, ceux-ci ne seront pas restreints pendant la période de transition, le Royaume-Uni devant être considéré comme un « Etat membre » pendant cette période (toute référence aux Etats membres dans le RGPD – et toute règlementation européenne plus généralement – devant s’entendre comme incluant le Royaume-Uni).
A l’issue de la période de transition, tout dépendra de l’accord qui aura été trouvé entre les instances européennes et la Grande-Bretagne. Par défaut, la position est la même que celle annoncée en cas de Brexit sans accord : le RGPD sera intégré au droit anglais, le Royaume-Uni espérant ainsi pouvoir obtenir une décision d’adéquation de la Commission européenne, qui a d’ores et déjà fait savoir (dans la Déclaration politique révisée sur le Brexit) qu’elle entamera les démarches tendant à l’évaluation du niveau de protection des données offert par le Royaume-Uni le plus rapidement possible après le Brexit, l’objectif étant d’adopter une décision d’adéquation avant la fin de l’année 2020 si les conditions sont remplies.
A défaut, les flux de données personnelles de l’UE vers le Royaume-Uni seront considérés comme un transfert de données hors de l’UE et de l’Espace économique européen (EEE). Le cas échéant donc, les responsables de traitement et les sous-traitants dans l’Union devront assurer un niveau de protection suffisant et approprié pour tout transfert de données vers le Royaume-Uni, avec la mise en place d’outils permettant l’encadrement de ces transferts, conformément au RGPD (clauses contractuelles type, BCR, codes de conduite…).
A noter toutefois que l’accord de retrait prévoit que le RGPD continuera de s’appliquer au Royaume-Uni, après la fin de la période de transition, à tout traitement de données à caractère personnel soumis au RGPD et concernant des personnes en dehors du Royaume-Uni, dans la mesure où le traitement en question a commencé avant la fin de la période de transition. Cette disposition permet de protéger les droits des résidents européens dont les données ont été collectées au Royaume-Uni avant la fin de la période de transition, en assurant qu’ils ne perdront pas la protection accordée par le RGPD du seul fait de l’expiration de la période de transition. Cette mesure à vocation à être remplacée par la décision d’adéquation le jour où le Royaume-Uni l’obtient.
Enfin, quelle que soit l’issue de la période de transition, le RGPD continuera encore à s’appliquer en Grande-Bretagne en application de l’article 3(2) du RGPD, dès lors qu’un responsable ou un sous-traitant établi en Angleterre traite des données en lien avec l’offre de biens ou services à des personnes situées dans l’Union ou en lien avec le suivi de leur comportement (il faudra alors penser à désigner un représentant dans l’Union, tel que prévu à l’article 27). Il pourra également s’appliquer indirectement et en partie aux sous-traitants anglais à qui des entreprises européennes imposeraient des contrats de sous-traitance conformes à l’article 28 du RGPD.
En tout état de cause, les transferts du Royaume-Uni vers l’UE ne sont en aucun cas impactés par ces évolutions. Le gouvernement britannique a d’ores et déjà confirmé que la libre circulation des données vers l’UE serait permise sans besoin de garantie supplémentaire.