News 2 : Processus ‘d’adéquation des données’ pour le Royaume-Uni

Lundi 15 mars 2021

L’accord de commerce et de coopération (« ACC« ) conclu le 24 décembre 2020 (et qui doit encore être ratifié par le Parlement européen), comprend des dispositions provisoires permettant de poursuivre, jusqu’au 1er mai, date prolongeable jusqu’au 1er juillet 2021, la transmission sans restriction des données à caractère personnel de l’Union européenne (« UE« ) vers le Royaume-Uni (« RU« ).

Conformément à l’article 45 du Règlement Général sur la Protection des Données (RGPD), le Royaume-Uni, qui est devenu un “pays tiers” suite à son depart de l’Union Européenne, doit démontrer qu’il dispose d’un niveau adéquat de protection des données à caractère personnel, conformément à l’article 45 du RGPD. A défaut de faire l’objet d’une décision confirmant ce niveau de protection, les transferts transfrontaliers de données en provenance de l’UE vers le Royaume-Uni devront être interrompus.

Le processus par lequel la Commission européenne pourrait adopter une telle décision a récemment été initié. En ce qui concerne les transferts en sens inverse, c’est-à-dire du Royaume-Uni vers l’EEE, le gouvernement britannique a déjà déclaré qu’ils étaient autorisés, même s’il indique qu’il gardera cette question à l’étude.

Le GDPR et le Royaume-Uni – présentation de la situation

Dans la mesure où le RGPD constitue un règlement directement applicable, il a été intégré au droit interne britannique à partir du jour de la sortie du RU de l’UE (le 31 janvier 2020) par l’article 3 du Withdrawal Act. Une législation secondaire, le prosaïquement nommé « Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019” ( » DPPExitRegs19 « ), est entré en vigueur ce même jour. Les DPPExitRegs19 modifient le principal instrument juridique national préexistant, le “Data Protection Act 2018” ( » DPA18 « ), afin de supprimer toutes les références aux institutions de l’UE et de donner naissance à un  » RGPD britannique « .

Schrems I et II

Les deux arrêts Schrems de la Cour de justice de l’Union européenne (« CJUE« ) précisent que la base pour l’octroi d’une décision d’adéquation est « l’équivalence substantielle ». En se référant à l’arrêt Schrems II de l’année dernière, la Commission européenne identifie les principes directeurs en vertu desquels l’accès du gouvernement aux données à caractère personnel transférées au Royaume-Uni doit être considéré comme “substantiellement équivalent”. Ces principes ont été publiés dans son projet de décision d’adéquation le 19 février 2021.

Les « principes directeurs » sont les suivants :

• Toute limitation du droit à la protection des données à caractère personnel doit être prévue par la loi et la loi autorisant cette ingérence doit elle-même définir la portée de la limitation de l’exercice du droit concerné.
• La législation doit être juridiquement contraignante en droit interne et les exigences légales doivent également être opposables aux autorités du pays tiers en question.
• En particulier, les personnes concernées doivent avoir la possibilité d’intenter une action en justice devant un tribunal indépendant et impartial afin d’avoir accès à leurs données personnelles, ou d’obtenir la rectification ou l’effacement de ces données.

Cadre juridique général

Dans son évaluation du respect par le Royaume-Uni des principes directeurs mentionnés ci-avant, la Commission européenne s’est notamment référée au cadre juridique général applicable au Royaume-Uni et aux normes juridiques internationals y prévalant. Plus précisément, elle tient compte du fait que le Royaume-Uni a ratifié la Convention européenne des droits de l’homme (« CEDH« ) et la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (« Convention 108« ). Elle reconnaît également que le Royaume-Uni a signé le protocole connu sous le nom de Convention 108+ modifiant et mettant à jour la Convention 108, en 2018.

Conclusions de la Commission européenne concernant l’accès des gouvernements aux données à caractère personnel

La Commission européenne conclut que, du fait de son appartenance au Conseil de l’Europe, de son adhésion à la CEDH et de sa soumission à la juridiction de la Cour européenne des droits de l’homme de Strasbourg (à ne pas confondre avec la Cour de justice de l’Union européenne (« CJUE« ), à Luxembourg), les dispositions du Royaume-Uni en matière d’accès du gouvernement sont soumises à des principes, des garanties et des droits individuels similaires à ceux garantis par le droit communautaire et applicables dans les États membres de l’UE.

La Commission européenne souligne à nouveau que l’adhésion continue à ces instruments internationaux est un élément particulièrement important de l’évaluation sur laquelle se fonde son (projet de) décision. La CJUE a considéré que l’absence d’une procédure indépendante de contrôle judiciaire dans le cadre du mécanisme du Médiateur constituait un défaut fondamental de la décision d’adéquation du Privacy Shield de la Commission européenne.

Analyse

Toute décision d’adéquation est susceptible d’être adoptée sur la base de cette analyse statique du cadre juridique du Royaume-Uni concernant les droits de l’homme et le contrôle juridictionnel indépendant, nonobstant le fait que ce cadre est susceptible d’évoluer. Le gouvernement britannique réexamine actuellement la loi de 1998 sur les droits de l’homme, qui met en œuvre la CEDH dans le droit britannique. Le manifeste du parti conservateur de 2019 indique :

« Nous mettrons à jour la loi sur les droits de l’homme et le droit administratif afin de garantir un bon équilibre entre les droits des individus, notre sécurité nationale vitale et l’efficacité du gouvernement. Nous veillerons à ce que le contrôle judiciaire soit disponible pour protéger les droits des individus contre un État autoritaire, tout en veillant à ce qu’il ne soit pas utilisé de manière abusive pour mener une politique par d’autres moyens ou pour créer des retards inutiles« .

Examens du gouvernement britannique

En fait, deux examens gouvernementaux ont été mis en place. La première, l’Independent Review of Administrative Law (« IRAL« ), a été lancée en juillet 2020 pour examiner les possibilités de réforme du processus de révision judiciaire. La seconde, lancée par le gouvernement le 7 décembre 2020, est une révision indépendante de la loi sur les droits de l’homme (« IHRAR« ). L’IRAL devait rendre son rapport à la fin de 2020, mais celui-ci a été retardé. Le rapport de l’IHRAR est prévu pour l’été 2021.

Les récentes déclarations du gouvernement montrent que le Royaume-Uni a l’intention de s’écarter du GDPR.

Dans un article du Financial Times du 27 février, le ministre du gouvernement britannique chargé du numérique, de la culture, des médias et du sport, Oliver Dowden, a lancé la procédure de recrutement du prochain commissaire à l’information du Royaume-Uni et a expliqué une nouvelle approche du partage des données « rapide, efficace et responsable pour le bien public ».

A cet égard, Monsieur Dowden a notamment fait le commentaire suivant :

« L’UE ne détient pas le monopole de la protection des données ». « Ainsi, après avoir parcouru un long chemin pour apprendre à gérer les risques liés aux données, le Royaume-Uni va commencer à profiter davantage des opportunités ». (…) « À l’heure actuelle, trop d’entreprises et d’organisations hésitent à utiliser les données – soit parce qu’elles ne comprennent pas les règles, soit parce qu’elles ont peur de les enfreindre par inadvertance. Cela a entravé l’innovation et l’amélioration des services publics, et empêché les scientifiques de faire de nouvelles découvertes ». (…) « Le prochain commissaire à l’information ne devra pas seulement se concentrer sur la protection de la vie privée, mais aussi être habilité à faire en sorte que les gens puissent utiliser les données pour atteindre des objectifs économiques et sociaux ».

Les perspectives actuelles

La Commission européenne a répondu aux préoccupations concernant l’avenir de l’adéquation des données au Royaume-Uni en soulignant qu’une décision d’adéquation serait soumise à révision après une période initiale de quatre ans.

La commissaire Věra Jourová, vice-présidente de la Commission européenne chargée des valeurs et de la transparence, a déclaré lors de la publication du projet de décision d’adéquation que :

« Garantir un flux libre et sûr des données personnelles est crucial pour les entreprises et les citoyens des deux côtés de la Manche. Le Royaume-Uni a quitté l’UE, mais pas la famille européenne de la vie privée. Dans le même temps, nous devons nous assurer que notre décision résistera à l’épreuve du temps. C‘est pourquoi nous avons inclus des mécanismes clairs et stricts, tant en termes de suivi que de révision, de suspension ou de retrait de ces décisions, pour faire face à toute évolution problématique du système britannique après l’octroi de l’adéquation. » (C’est nous qui soulignons)

Conclusions

• Le travail inachevé des négociations de sortie de l’UE se poursuit en ce qui concerne les transferts de données personnelles de l’UE vers le Royaume-Uni.
• Espérons que, pour le commerce et dans l’intérêt de leurs citoyens respectifs, les tensions plus larges qui subsistent également (notamment en ce qui concerne le protocole Irlande-Irlande du Nord) n’auront pas d’impact négatif sur la proposition de décision relative au caractère adéquat des données à caractère personnel.
• Cependant, certains signes indiquent que le Royaume-Uni et l’UE utilisent l’accord de commerce et de coopération de décembre 2020 dans un esprit de confrontation, plutôt que de le traiter comme une plate-forme sur laquelle on peut s’appuyer.
• Par conséquent, il pourrait être prudent pour les entreprises d’envisager d’autres moyens de garantir la continuité des flux de données entre l’UE et le Royaume-Uni, notamment l’utilisation des nouvelles clauses contractuelles types de l’UE. Suite aux avis conjoints (du Comité européen de protection des données et du Contrôleur européen de la protection des données) du 14 janvier 2021, elles devraient pouvoir être utilisées sous peu.
• Pour les grandes entreprises, la mise en place de règles d’entreprise contraignantes en vertu de l’article 47 du GDPR reste une option importante.

 

Avertissement : Ce mémorandum général ne traite pas nécessairement de tous les sujets importants ou ne couvre pas tous les aspects importants du sujet. Il n’est pas destiné, et ne doit pas être utilisé, comme un substitut à la recherche d’un avis juridique approprié sur des questions spécifiques.