L’accord de Noël ou la belle apparence : le transfert de données personnelles après le Brexit
Le 23 juin 2016, les Britanniques ont décidé par référendum de quitter l’UE. C’était à peine un mois après l’entrée en vigueur du RGPD. Plus de 4 ans plus tard, après une succession d’échéances, la séparation est enfin complète. L’accord de Noël du 24 décembre 2020 scelle la sortie ordonnée du Royaume-Uni de l’UE. Ou attendez. Pas tout à fait. Parce que le RGPD doit encore être décidé. Dans un délai de 4 mois. Peut-être 6. Qui sait ?
Transfert international de données à caractère personnel
Dès l’été 2020, les données personnelles et leur transfert à travers les frontières internationales ont fait l’objet de l’actualité. La Cour de justice de l’UE (CJUE) a fait sauter la soupape de ces transferts dans l’arrêt Schrems IIen déclarant le bouclier de la vie privée invalide. Et en octobre, dans un arrêt sur les dispositions de contrôle du gouvernement britannique (et français et belge), la même CJUE a encore façonné la manière dont les décideurs politiques doivent évaluer les dispositions en matière de protection des données.
En même temps, il n’y avait aucune perspective d’un Brexit ordonné. Au milieu des préoccupations générales d’ordre organisationnel et économique concernant un éventuel Brexit dur, certaines voix se sont également élevées pour souligner les problèmes de transferts internationaux liés au départ du Royaume-Uni. Après tout, d’un point de vue continental européen, on a hurlé à mort à propos des transferts de données vers les États-Unis, mais le Royaume-Uni est, bien sûr, un voisin beaucoup plus proche.
Après tout, il n’était pas si évident de savoir si le transfert de données à caractère personnel de l’EEE vers le Royaume-Uni pouvait se faire de manière aussi transparente après la période transitoire de Brexit sans mesures supplémentaires. En effet, à moins que la Commission européenne ne prenne une « décision d’adéquation » concernant le Royaume-Uni d’ici le 31 décembre 2020 (ou qu’un autre type d’accord ne soit conclu), les organisations de l’UE/EEE qui transfèrent des données personnelles à des organisations au Royaume-Uni (ou leur donnent accès aux données) enfreindraient le RGPD.
Pas de marge de manœuvre pour l’UE
Le fait que le Royaume-Uni devienne un pays « tiers » par rapport à l’UE est une conséquence évidente du Brexit. Toutefois, l’impact de cette situation sur le transfert de données à caractère personnel n’a nullement fait l’objet de l’attention nécessaire.
Dès l’aube, il a donc été suggéré que seules 2 solutions étaient possibles : soit une dérogation était convenue dans le délai ultime (décision de type « décision d’adéquation »), soit les parties impliquées dans ces transferts devaient prendre des mesures alternatives pour permettre ces transferts de données. En tout cas, à la lumière des arrêts de la CJUE du 2ème semestre 2020, la marge de manœuvre de la Commission européenne (et des parties impliquées dans les transferts de données) était très limitée.
Décidons de ne pas décider
L’accord de Noël finalement conclu entre le Royaume-Uni et l’UE le 24 décembre 2020 a fait pousser un soupir de soulagement à de nombreuses personnes. Même sans connaître le document de 1 259 pages, il était clair qu’un tel accord valait mieux que pas d’accord du tout.
Cependant, quiconque, en plus de réponses à d’autres questions urgentes, cherchait une solution aux transferts de données, est trompé : à la page 414, les négociateurs conviennent que pendant une période supplémentaire, le Royaume-Uni ne sera pas considéré comme un pays tiers (et tout restera inchangé, même si le Royaume-Uni a maintenant quitté l’UE).
Au moins : tant que le Royaume-Uni ne modifie pas sa législation. Et dans l’attente d’une décision de la Commission européenne sur l’adéquation dans un délai de 4 mois. Une période qui peut être prolongée de deux mois.
L’incertitude se perpétue donc et nos entreprises se tournent vers une nouvelle échéance, fin juin. Quiconque aime prendre des décisions restera de toute façon sur sa faim.
Votre entreprise transfère-t-elle des données personnelles au Royaume-Uni ? Et vous avez des questions sur la meilleure stratégie à suivre ? Contactez-nous à l’adresse hallo@dejuristen.be.
Rédigé par Duygu Öztürk, CIPP/E, Privacy Chair lesJuristes, et Kris Seyen, Partner lesJuristes.
