Brexit et protection des données personnelles : que prévoit l'accord de retrait ?

Les dispositions relatives à la protection des données à caractère personnel et à la sécurité des informations sont regroupées au sein du titre VII de la troisième partie de l’accord de retrait. Ce titre, intitulé « Données et informations traitées ou obtenues avant la fin de la période de transition ou sur la base du présent accord », contient cinq articles censés apporter des solutions notamment aux difficultés pouvant survenir à la fin de la période de transition en matière de flux de données entre l’Union européenne et le Royaume-Uni. Car pendant cette période, « rien ne change pour les personnes concernées et les organismes », ainsi que l’a précisé la CNIL dans un communiqué en date du 31 janvier 2020, dès lors que le droit de l’Union, et donc le règlement général sur la protection des données (RGPD), continuera de s’appliquer au Royaume-Uni. Il en résulte l’absence de formalités additionnelles pour les organismes en France et au Royaume-Uni jusqu’à la fin de la période de transition. La CNIL indique à cet égard qu’« il n’est pas requis d’encadrer les flux de données personnelles vers le Royaume-Uni au moyen de garanties appropriées prévues par le RGPD pour les transferts vers les pays tiers. Jusqu’au 31 décembre 2020 également, les responsables du traitement et sous-traitants établis uniquement au Royaume-Uni ne sont pas tenus de désigner de représentant dans l’Union lorsqu’ils ciblent des personnes sur le territoire de l’Union. »

Tout pourrait pourtant se compliquer à l’issue de la période de transition.

Dans le scénario le plus favorable, la Commission parviendrait à adopter, avant la fin de 2020, une décision reconnaissant que le Royaume-Uni garantit un niveau de protection adéquat, ce qui aurait pour conséquence que les transferts de données de l’UE vers le Royaume-Uni après la fin de la période de transition se feraient sans aucune autorisation spécifique (RGPD, art. 45). Une issue que souhaitent tant l’Union européenne que le Royaume-Uni, toutes deux « résolues à assurer un niveau élevé de protection des données à caractère personnel afin de faciliter de tels flux entre elles », selon la déclaration politique concernant leurs relations futures (JOUE n° C384I, 12 nov. 2019). Le texte va même plus loin en précisant que « la Commission européenne commencera les évaluations relatives au Royaume-Uni dès que possible après le retrait de celui-ci, en s’efforçant d’adopter des décisions avant la fin de 2020, si les conditions applicables sont remplies. Compte tenu du fait que le Royaume-Uni établira son propre régime de transfert international, celui-ci prendra des mesures selon le même calendrier pour veiller à faciliter de manière comparable les transferts de données à caractère personnel vers l’Union, si les conditions applicables sont remplies ».

Autant d’éléments rassurants pour les entreprises des deux côtés de la Manche. Pourtant, rien ne garantit que la décision d’adéquation soit adoptée avant le 31 décembre 2020, et cette éventualité est prise en compte par l’accord de retrait.

Plus précisément, l’article 71 envisage trois cas de figure :

- d’abord, le paragraphe 1 énonce que le droit de l’Union relatif à la protection des données à caractère personnel s’applique au Royaume-Uni en ce qui concerne le traitement des données à caractère personnel de personnes concernées en dehors du Royaume-Uni, pour autant que les données de ces personnes :

- le paragraphe 2 indique que le paragraphe 1 ne s’applique pas si la Commission adopte une décision d’adéquation visant le Royaume-Uni ;

- enfin, si la décision d’adéquation visant le Royaume-Uni cesse d’être applicable (en cas d’annulation ou d’abrogation), le paragraphe 3 impose au Royaume-Uni de garantir « un niveau de protection des données à caractère personnel essentiellement équivalent à celui garanti par le droit de l’Union relatif à la protection des données à caractère personnel en ce qui concerne le traitement de données à caractère personnel de personnes concernées visé au paragraphe 1 ».

En bref, l’article 71, § 1 vise à protéger les droits à caractère personnel des résidents hors Royaume-Uni entre la fin de la période de transition et l’adoption d’une décision d’adéquation, lorsque ces données ont été traitées pendant la période de transition ou après celle-ci mais en application de l’accord de retrait. Le Royaume-Uni serait alors tenu de respecter le droit de l’Union relatif à la protection des données personnelles, qu’il s’agisse :

- du RGPD ;

- de la directive « Police-Justice » (Dir. (UE) 2016/680 du Parlement européen et du Conseil, 27 avr. 2016 : JOUE n° L 119, 4 mai) ;

- de la directive « Vie privée et communications électroniques » (Dir. 2002/58/CE du Parlement européen et du Conseil, 12 juill. 2002 : JOUE n° L 201, 31 juill.) ;

- ou de toute autre disposition du droit de l’Union régissant la protection des données à caractère personnel (Accord, art. 70).

En pratique, toutefois, cela ne changera pas substantiellement le niveau d’exigence dans la protection des données personnelles au Royaume-Uni, dans la mesure où le gouvernement britannique a d’ores et déjà indiqué que le RGPD serait intégré dans la législation interne à l’issue de la période de transition. Ce « RGPD britannique » coexistera donc avec le Data Protection Act 2018, l’équivalent de la loi française Informatique et libertés.

En revanche, à l’issue de la période de transition et en l’absence de décision d’adéquation, le transfert de données à caractère personnel vers le Royaume-Uni devra être encadré par des « garanties appropriées », telles que des clauses contractuelles types de protection de données, des règles d’entreprise contraignantes, des codes de conduite approuvés ou des mécanismes de certification (RGPD, art. 46). Un transfert pourra également avoir lieu sur la base de « dérogations » qui permettent des transferts dans des situations particulières, notamment sur la base du consentement, aux fins de l’exécution d’un contrat, aux fins de l’exercice de droits en justice ou pour des motifs importants d’intérêt public (RGPD, art. 49).

Côté britannique, le Royaume-Uni pourrait profiter de la période de transition pour adopter son propre régime de transferts de données vers l’Union.

Dans tous les cas, le RGPD - dans sa version européenne - reste directement applicable dès lors que les organismes (qu'ils soient responsables de traitement ou sous-traitants) :

- sont établis sur le territoire de l’Union ;

- ou mettent en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler ». Dans cette dernière hypothèse, ils doivent désigner par écrit un représentant dans l’Union (RGPD, art. 27).

Autre point important : l’article 71, § 3 de l’accord de retrait offre une sécurité supplémentaire dans le cas où le Royaume-Uni déciderait à l’avenir de s’éloigner des standards européens : un virage radical ne serait pas permis. Car si la décision d’adéquation visant le Royaume-Uni est annulée ou abrogée, le pays doit tout de même garantir que les données à caractère personnel des personnes concernées seront soumises à une norme de protection « essentiellement équivalente » à la réglementation de l’Union.

Parallèlement à ces garanties au profit des résidents et sociétés de l’UE, l’accord impose à l’Union de ne pas traiter « les données et informations obtenues du Royaume-Uni avant la fin de la période de transition, ou obtenues après la fin de la période de transition sur la base du présent accord, différemment des données et informations obtenues d’un État membre, au seul motif que le Royaume-Uni s’est retiré de l’Union ».

L’ICO (Information Commissioner’s Office), l’équivalent britannique de la CNIL, confirme sur son site internet que pendant la période de transition, il participera aux mécanismes de coopération avec ses homologues européens, et pourra continuer à jouer le rôle de l’« autorité de contrôle chef de file » au sens du RGPD. Tel ne sera plus le cas à l’issue de cette période, l’article 70 de l’accord de retrait excluant expressément l’application du chapitre VII du RGPD (« Coopération et cohérence ») au Royaume-Uni. Le gouvernement britannique a toutefois précisé qu’il s’efforcera à maintenir des relations de travail étroites entre l’ICO et les autorités de contrôle européennes.

Par ailleurs, le rôle de l’ICO au sein du Comité européen de la protection des données (CEPD) est désormais considérablement réduit. L’article 128, § 5 de l’accord de retrait semble lui accorder le droit d’assister – uniquement sur invitation et sans droit de vote - aux réunions du CEPD organisées pendant la période de transition, mais seulement sous certaines conditions, notamment lorsque « la présence du Royaume-Uni est nécessaire et dans l’intérêt de l’Union, en particulier pour la mise en œuvre effective du droit de l’Union au cours de la période de transition ».