RGPD et le Brexit - Où en est-on ?
Au mois d’avril dernier, le Royaume-Uni et l’Union européenne ont convenu de reporter Brexit au 31 octobre prochain. Bien que ce retard donne au gouvernement britannique plus de temps pour revoir sa stratégie de retrait, les entreprises opérant au Royaume-Uni sont confrontées à une incertitude persistante quant à l’impact de Brexit sur leurs activités commerciales en général, et notamment en ce qui concerne leurs pratiques de traitement des données.
Bien entendu, à court terme, grâce au retard de Brexit, les entreprises établies au Royaume-Uni ou qui y traite des données à caractère personnel continuent de relever du RGPD puisque le Royaume-Uni reste un État membre de l’UE. Il semble qu’il y aura également un chevauchement des règles pendant un certain temps après cela, puisque les politiciens peuvent créer des mesures transitoires dans le cas où Brexit se produit sur la base d’un « deal ».
Le RGPD a des effets extraterritoriaux, de sorte que les entreprises non situées dans l’UE, mais ayant des clients dans l’UE doivent se conformer à ses normes. Alors que le RGPD a fêté son premier anniversaire le 25 mai 2019, beaucoup s’est passée dans le paysage politique de l’UE depuis, notamment en ce qui concerne les relations actuelles du Royaume-Uni avec l’UE.
Mais quel est l’avenir de la protection des données pour les entreprises britanniques ?
Après que – si! – le Royaume-Uni quitte l’UE, il pourrait espérer rejoindre des pays comme l’Andorre, l’Argentine, le Canada, les îles Féroé, Guernesey, Israël, l’île de Man, le Japon, Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay.
Pourquoi ?
Ce sont les seuls pays qui ont obtenu de la Commission européenne une décision d’adéquation de leurs niveaux de protection des données, ce qui signifie que l’UE a établi que les régimes de protection des données sur ces territoires offrent une protection équivalente ou « adéquate » aux données personnelles des personnes concernées, comme cela est prévu dans l’UE.
Le Royaume-Uni peut-il demander une décision d’adéquation ?
Si le Royaume-Uni doit demander une décision d’adéquation afin de transférer des données à l’intérieur et à l’extérieur de l’UE, des retards dans une décision pourraient mettre un terme sur les réservations en ligne des compagnies aériennes, aux paiements par carte de crédit et autres transactions où la société mère est basée dans l’UE.
L’UE a des niveaux d’adéquation essentiels que les pays doivent atteindre avec leurs régimes de protection des données s’ils souhaitent transférer des données de et vers l’Espace économique européen ou l’UE. C’est là que réside l’incertitude : le Royaume-Uni devrait peut-être demander une décision d’adéquation, ce qui peut prendre du temps, et ces décisions ne sont pas rendues immédiatement.
Si nous avons tiré une leçon de Brexit, c’est que les décisions que l’on espère finaliser en quelques mois peuvent durer des années. Un autre facteur inquiétant est que les décisions d’adéquation peuvent être révoquées avec peu de préavis si l’UE décide que les règles ne sont plus à la hauteur.
Une décision d’adéquation ouvre des domaines difficiles en matière de protection des données, tels que les arrangements en matière de sécurité nationale, à un contrôle que le Royaume-Uni a jusqu’à présent évité en tant qu’État membre.
Dans le passé, les tribunaux européens ont été en désaccord avec les approches britanniques en matière de sécurité nationale et de protection des données dans des affaires judiciaires importantes, la plus récente ayant été celle où les programmes de surveillance de masse du Government Communications Headquarters (GCHQ) ont été jugés non-conformes à la loi.
Un autre point d’accrochement pourrait être la façon dont le Royaume-Uni déroge actuellement au RGPD en autorisant une exemption des droits de protection des données lorsque le contrôle efficace de l’immigration risque d’être préjudiciel. L’UE a critiqué les implications pour l’adéquation, craignant que l’exemption menace les droits fondamentaux et ne parvienne pas à fournir des normes essentiellement équivalentes.
Avec le RGPD qui permet aux autorités de contrôle d’infliger des amendes allant jusqu’à 4% du chiffre d’affaires mondial des entreprises si ces derniers continuent à transférer des données vers un pays sans décision d’adéquation, le risque est clair.
Qu’a promis le Royaume-Uni ?
Cela dit, le Royaume-Uni s’est engagé à maintenir les normes du RGPD après Brexit. La loi sur la protection des données est entrée en vigueur en 2018 et complète le RGPD en répondant à ses normes. L’article 7 de la European Union (Withdrawal) Act 2018 promet que le droit de l’UE ainsi conservé continuera à faire partie du droit interne.
L’article 71 du EU Draft Agreement prévoit que tout traitement de données effectué au Royaume-Uni sur des sujets en dehors du Royaume-Uni, qui était soumis aux règles communautaires avant Brexit, continuera à s’appliquer après Brexit.
Ces lois promises et le fait que le Royaume-Uni a prouvé qu’il était l’un des plus grands promoteurs de la protection des données au monde signifieront, espérons-le, que les mêmes normes élevées de protection continueront à s’appliquer. Mais n’oubliez pas – ce n’est pas l’ensemble de la situation en ce qui concerne la conformité en matière de protection des données, et lorsqu’il s’agit de la protection des droits fondamentaux, il y a des questions difficiles à aborder.
L’avenir de la protection des données au Royaume-Uni
La loi fait de son mieux pour suivre les développements technologiques, mais étant donné les processus innovants tels que les blockchains, l’intelligence artificielle et les logiciels cloud, il est facile d’être laissé pour compte. Indépendamment de l’avenir du traitement des données au Royaume-Uni sous des règles de l’UE, le GDPR a pris 4 ans de débat autour de lois qui n’avaient pas été actualisées depuis de nombreuses années.
La mise à jour a modifié le paysage réglementaire des entreprises technologiques, en particulier dans un contexte où les infrastructures informatiques se sont de plus en plus orientées vers le cloud et où les entreprises qui tente d’innover s’appuient sur d’autres domaines technologiques en développement tels que la Machine Learning et le l’exploration de données à caractère personnel.
Sans égards du Brexit, l’engagement du Royaume-Uni de favoriser l’innovation et le développement technologique garantira que le Royaume-Uni restera certainement un environnement propice à la réalisation de ces activités, tout en garantissant un niveau élevé de protection des données afin de rester pertinent et compétitif à l’échelle mondiale, qu’il reste ou non membre de l’UE.
Une approche pragmatique
Le point de vue optimiste et pragmatique est que, quel que soit le résultat de Brexit, le Royaume-Uni et l’UE s’efforceront d’établir une relation de travail et l’UE continuera à adapter les lois de manière à promouvoir l’innovation. Ce sont les universitaires rationnels, le milieu des affaires, les avocats et les praticiens du droit qui trouvent des solutions à ces problèmes juridiques que les politiciens sont ensuite contraints de traduire en lois.
Pour le Royaume-Uni, 47 ans d’expérience partagée vont-ils vraiment s’effacer ? Nous ne l’espérons pas! Notre espoir pour l’avenir du RGPD est que personne ne devienne complaisant, ceux qui créent les règles tout comme ceux qui les suivent. Il vaut mieux être normatif que réactif, et ça ne vaut pas la peine d’attendre qu’un scandale entourant les données se produise pour se rendre compte que des règles strictes doivent être en place pour la protection de tous.
Pour plus d’informations sur le RGPD ou bien pour des conseils sur comment le Brexit pourrait avoir un impact sur votre activité, n’hésitez pas à nous contacter.
Article rédigé par Justin Boileau @ Gerrish Legal, juillet 2019