Brexit et transferts de données : votre entreprise est-elle prête ?
Le Royaume-Uni doit quitter l’Espace économique européen (EEE) à la fin de cette année et le 1er janvier 2020, les règles de l’UE (y compris le règlement général sur la protection des données, pour lequel de nombreuses entreprises britanniques consacrent du temps et des ressources pour s’adapter) ne s’appliqueront plus au Royaume-Uni.
Dans cet article, nous examinons les meilleures pratiques à mettre en place pour protéger votre entreprise à l’épreuve des effets du Brexit, avant le 31 décembre 2020.
Dans l’attente de plus amples informations sur l’accord du Brexit, il semble de plus en plus improbable que quelque chose soit mis en place d’ici la date de sortie, et les entreprises doivent donc planifier en conséquence. En outre, la Commission européenne a récemment publié un nouveau projet de Clauses Contractuelles Types (CCT) pour les transferts internationaux de données, suite à l’arrêt Schrems II qui a révélé des faiblesses dans les garanties que l’UE promeut. Il semble qu’en janvier, le Royaume-Uni sera un pays tiers à l’EEE, ce qui signifie qu’un mécanisme de sauvegarde - très probablement les CCT - devra être mis en place.
En effet, l’objectif de ces CTT étant bien d’étendre, mais de façon contractuelle, les règles du RGPD en dehors de l’UE. Notamment, les droits issus du RGPD et leurs modalités d’exercice sont intégrés dans les CCT, tels que le retrait du consentement, droit à la portabilité, droit à la limitation des traitements, droit de ne pas faire l’objet d’un traitement sans intervention humaine, droit d’information étendu, etc.
Cependant, on se demande maintenant quelles mesures de précaution devraient être utilisées entre le Royaume-Uni et l’EEE, et si les CCT seront réellement acceptables. Par conséquent, beaucoup de choses évoluent concernant la protection des données - et rapidement.
Le départ du Royaume-Uni de l’EEE affectera non seulement les entreprises basées au Royaume-Uni qui ont des fournisseurs, des clients ou des filiales dans l’EEE, mais aussi les entreprises de l’EEE qui ont les mêmes au Royaume-Uni .
Transferts de données vers des pays tiers (et bientôt vers le Royaume-Uni ?)
Le RGPD s’applique extraterritorialement à tout citoyen de l’UE, quel que soit le lieu où sont basées les entreprises qui leur font des offres. Les entreprises qui ne sont pas basées dans l’EEE, mais qui traitent les données personnelles de leurs citoyens, doivent suivre les normes du RGPD. Afin de garantir la protection des données personnelles des personnes concernées dans l’EEE, quel que soit le lieu où elles sont transférées, stockées ou traitées, l’UE exige qu’un mécanisme de sauvegarde soit mis en place pour les pays dits "tiers", c’est-à-dire les pays situés en dehors de l’EEE et qui ne sont pas soumis aux règles standard du RGPD.
L’effet de Brexit (dans l’attente d’un accord Brexit, ce qui semble maintenant extrêmement improbable) aura pour conséquence que le Royaume-Uni devienne un pays tiers. De ce fait, les entreprises de l’UE qui travaillent avec le Royaume-Uni, et les entreprises britanniques ayant une activité quelconque dans l’UE, devront revoir les transferts de données qu’elles effectuent pour s’assurer qu’ils sont conformes au RGPD. Les garanties qui peuvent être choisies, sont assez variées et doivent être mises en place avec précaution en fonction de la localisation des acteurs et les mécanismes existants de ces derniers.
En bref, les options portent sur une décision d’adéquation de l’UE déclarant que les règles britanniques de protection des données offrent une norme de protection RGPD ou que des CCT sont mises en place entre les parties (ou des règles d’entreprise contraignantes (BCR) approuvées par les autorités de protection des données, qui sont rares et ne seront pas abordées dans cet article).
Doutes sur une décision d’adéquation au Royaume-Uni
Si la mesure de protection la plus souhaitable serait une décision d’adéquation de l’UE, on peut se demander si cela sera possible. L’une des raisons en est que les décisions d’adéquation peuvent prendre beaucoup de temps et nécessitent normalement au moins trois ans, de sorte qu’il est peu probable que le Royaume-Uni reçoive une décision avant la fin de l’année 2020.
Plus important encore, on craint de plus en plus que le Royaume-Uni ne reçoive pas de décision d’adéquation du tout malgré le fait qu’il ait transposé une grande partie des règles de RGPD dans sa propre législation sur la protection des données. La Cour de justice de l’Union européenne (CJUE) a récemment soulevé des questions concernant un texte de loi britannique (le Regulation of Investigatory Powers Act 2000 (RIPA)) qui permet aux forces de renseignement britanniques d’ordonner aux entreprises de télécommunications et d’internet de leur transmettre les données personnelles de leurs clients. Dans l’affaire C-623, la Cour de justice européenne a estimé que :
le Royaume-Uni et les Etats membres de l’UE ne peuvent pas utiliser les mesures de "sécurité nationale" comme excuse pour passer outre les lois européennes sur la protection de la vie privée afin de récolter des informations sur les personnes auprès des sociétés de communication, et a exprimé son inquiétude quant aux lois britanniques sur la surveillance.
Cela suggère qu’une décision d’adéquation, qui serait la voie la plus simple pour continuer à partager des données, pourrait ne pas être accordée. En tout état de cause, il est très peu probable qu’elle soit accordée avant la date de Brexit si elle l’est - et bien sûr, les entreprises doivent commencer à assurer leur sécurité dès à présent. Alors, que peuvent faire les entreprises pour se préparer au Brexit, dans l’attente d’autres orientations sur une décision d’adéquation ?
Une entreprise peut-elle utiliser les CCT pour les transferts UE - Royaume-Uni post Brexit
Normalement, en l’absence d’une décision d’adéquation et s’il n’y a pas de BCRs, les entreprises peuvent utiliser les CCT dans leur contrat, autrement dit, un ensemble de clauses types qui garantissent que les deux parties respecteront les normes de protection conférées par le RGPD et autoriseront les transferts internationaux. En vertu de ces clauses, les personnes concernées disposent également de droits opposables et de recours effectifs.
Cela pose toutefois deux problèmes.
Nouvelles CCT - quelle version utiliser ?
Tout d’abord, la CJUE a récemment publié un projet de nouvelles CCT suite à la décision Schrems II qui a invalidé la certification américaine Privacy Shield permettant les transferts internationaux de données entre les Etats-Unis et l’UE et a soulevé des questions sur tous les transferts internationaux.
En bref, après avoir constaté que les Etats-Unis n’offraient pas un niveau de protection acceptable en raison de pouvoirs de surveillance étendus et après avoir révoqué la certification Privacy Shield, la décision a également mis en évidence des préoccupations secondaires selon lesquelles les entreprises pourraient utiliser les CCT simplement pour contourner des lois de protection des données inadéquates sur le territoire où leurs parties contractantes sont basées.
La CJUE a donc rédigé une nouvelle version des CCT destinée à garantir que les exportateurs évaluent de manière critique les territoires vers lesquels ou à partir desquels ils exportent, en examinant s’il serait effectivement possible pour une partie basée sur ce territoire de fournir un niveau de protection conforme au RGPD (ou si, par exemple, les lois de surveillance déjà en vigueur ne sont tout simplement pas compatibles).
Les nouveaux projets de CCT sont actuellement ouverts à la consultation jusqu’au 10 décembre. Il semble donc très peu probable que les nouvelles CCT soient adoptées avant l’échéance du Brexit, et les anciennes CCT resteront donc l’outil d’exportation légal pour les transferts entre l’UE et le Royaume-Uni.
Cela signifie que les entreprises qui souhaitent se préparer à l’épreuve du Brexit devront prévoir un autre mécanisme après janvier, afin de mettre à jour les nouvelles CCT, ce qui, on le comprend, prend beaucoup de temps.
Si une entreprise voulait vraiment éviter cette solution de “contournement”, ou si une partie contractante semblait peu disposée à renégocier, il serait peut-être possible de mettre en place les nouvelles CCT (actuellement en projet) à temps pour la date du Brexit, car il est très probable qu’elles seront adoptées.
Toutefois, la meilleure pratique à adopter pour les prochaines étapes consisterait à s’assurer que les anciennes CCT légales acceptées sont en place avant le 31 décembre 2020. Le projet de décision indique que les entreprises ayant mis en place ces CCT disposeront d’un délai de grâce d’un an à compter de la date d’entrée en vigueur des CCT pour mettre à jour leurs contrats. Cependant, les entreprises de l’UE et du Royaume-Uni doivent bien entendu surveiller de près l’acceptation ou non des nouveaux projets de CCT, auquel cas le mieux serait de les mettre à jour immédiatement.
2. Toutefois, les CCT ne suffisent pas à elles seules.
Un autre problème avec les CCT est l’inconfort croissant lié à leur utilisation. Pour l’instant, elles restent légales - cependant, certains experts ont le sentiment que cela pourrait changer, et les conseils du Comité européen de la protection des données (CEPD) expliquent qu’ils ne suffisent pas à eux seuls.
La CJUE a invalidé le Privacy Shield américain parce qu’elle a estimé qu’il était impossible pour les entreprises américaines d’offrir une protection adéquate puisque, même si une entreprise prenait toutes les mesures possibles pour se conformer au RGPD, il est possible pour le gouvernement américain de collecter et de surveiller des quantités massives de données, ce qui est par principe, incompatible avec les valeurs du RGPD.
Alors que la CJUE a suggéré que les CCT pourraient être utilisése à la place du bouclier de protection de la vie privée pour les transferts entre les Etats-Unis et l’UE, le sentiment grandissant est que cela n’est pas approprié compte tenu des lois de surveillance qui ne peuvent être évitées. En réalité, peu après la décision, le même groupe de défense des droits qui a fait pression pour obtenir le jugement "None Of Your Business" a déposé 101 plaintes selon lesquelles des entreprises continuent à partager des données avec les Etats-Unis sous prétexte d’utiliser les CCT, alors que les Etats-Unis ont des lois qui ne sont pas compatibles avec les principes du RGPD.
Les nouvelles CCT imposent aux exportateurs de données de s’assurer que les lois sur la protection des données seront effectivement respectées, et non pas seulement de les utiliser pour faciliter un transfert. La question est donc de savoir si les CCT sont appropriées pour les transferts du Royaume-Uni et de l’UE.
La CJUE a déjà fait part de ses préoccupations concernant la RIPA britannique qui autorise la surveillance de masse. Ainsi, compte tenu de ses préoccupations similaires concernant les lois de surveillance américaines, il semble qu’il puisse y avoir des tensions lors de l’utilisation des CCT pour les transferts vers l’UE et le Royaume-Uni puisque ces lois de surveillance britanniques ne peuvent être évitées, mais ne demeurent pourtant pas compatibles avec le droit communautaire.
Par conséquent, si les CCT restent la méthode la plus efficace pour assurer la circulation des données entre l’UE et le Royaume-Uni en attendant une décision sur l’adéquation, les entreprises doivent penser à faire plus que de mettre simplement en place des clauses contractuelles pour assurer une protection effective contre les potentielles failles.
Mesures complémentaires.
Le Conseil européen de la protection des données a indiqué qu’il examinera de près l’utilisation des CCT pour s’assurer que la surveillance étatique est combattue de manière adéquate, aux moyens de contrôles permettant d’y mettre un terme.
Les mesures proposées sont soit un cryptage fort, pour garantir que les données transférées ne puissent pas être consultées en transit et ne puissent pas être utilisées d’une autre manière que celle prévue une fois qu’elles atteignent un pays tiers. De cette façon, les données ne peuvent pas être récoltées pour la surveillance de l’Etat.
La deuxième mesure suggérée consiste à utiliser une technologie de renforcement de la vie privée qui empêchera l’identification d’une personne - par exemple, en pseudonymisant certaines parties des données personnelles transférées, dans la mesure où la personne ne peut être identifiée et où aucune méthode de surveillance ne pourrait déduire cette information.
Avant toute chose, les entreprises devraient s’assurer de bien étayer et documenter leurs considérations lorsqu’elles utilisent les CCT. Cela sera considéré comme insuffisant lorsque les entreprises du Royaume-Uni et de l’UE mettront en place des CCT sans envisager activement la possibilité d’une surveillance étatique.
Même si le risque est jugé faible, les raisons de cette décision doivent être motivées. Dans le cas contraire, les mesures supplémentaires mises en place devront mettre fin à toute possibilité de surveillance étatique.
NB : C’est l’une des nouveautés importante suite à la décision Schrems II : l’évaluation de la conformité de la législation de l’importateur doit être documentée par les parties et tenue à disposition des autorités à première demande.
Dernières étapes pour résister au Brexit
Une fois que les entreprises britanniques ont établi des cartographies de données et mis en place des garanties appropriées pour les transferts, il reste encore une étape à franchir.
Selon le RGPD, si une entreprise est basée dans un pays tiers mais traite régulièrement des données personnelles de l’EEE, elle doit désigner un représentant de l’UE. Il peut s’agir d’une filiale de l’entreprise ou d’une entité distincte désireuse de jouer le rôle d’expert en matière de protection des données.
Le rôle d’un représentant de l’UE est très différent de celui d’un délégué à la protection des données, bien que les deux puissent souvent être confondus. Le représentant sert simplement de point de contact entre les autorités de protection des données de l’UE, les personnes concernées et l’entreprise en question, afin d’assurer une communication rapide et efficace. Il n’affecte pas la responsabilité ou le partage des responsabilités en vertu des lois sur la protection des données, mais il s’agit seulement d’une exigence légale et sera essentiel pour toute entreprise britannique travaillant régulièrement dans l’UE après le Brexit.
Il a été question que le Royaume-Uni exige un représentant britannique pour les entreprises basées dans l’UE et travaillant régulièrement au Royaume-Uni. Toutefois, rien n’a été officiellement annoncé à cet effet, de sorte que les entreprises de l’UE devraient continuer à surveiller cette question en même temps que le développement des CCT.
Résumé des mesures pratiques à adopter avant le Brexit :
Cartographiez vos flux de données et vérifiez que les données sont minimisées.
Si vous êtes basé au Royaume-Uni, sans entité en Europe, et que vous traitez régulièrement avec des personnes concernées dans l’EEE, désignez un représentant de l’UE. Si vous avez des affaires avec une société britannique et vous partagez des données avec cette dernière, veillez à confirmer avec cette dernière sa nomination d’un représentant au sein de l’EEE ou qu’elle dispose d’une entité établie en Europe.
Si vous êtes basé au Royaume-Uni et que vous exportez ou importez régulièrement des données personnelles depuis l’EEE, ou vice versa, envisagez la mise en place de garanties entre les parties contractantes. Il s’agira souvent des CCT. Mettez en place des CCT actualisées pour l’instant, mais surveillez attentivement l’évolution des nouveaux projets de celles-ci, au cas où elles devraient être modifiées ou remplacées par d’autres mécanismes.
Evaluez de manière critique la garantie que vous avez choisie par rapport à l’environnement juridique, et les garanties essentielles que vous devez fournir aux personnes concernées. La garantie assurera-t-elle réellement le respect des principes du RGPD, ou est-ce tout simplement impossible - par exemple, les lois nationales de surveillance sont-elles en conflit avec les lois européennes en vigueur, et demeurent-elles inévitables ? Demandez-vous si vous pouvez mettre en place des mesures supplémentaires.
Si vous estimez que la mesure de sécurité est appropriée et que vous pouvez en atténuer les effets ou que les lois nationales sont incompatibles avec des mesures supplémentaires, indiquez clairement la manière dont vous allez procéder pour assurer son effectivité. Les deux méthodes proposées sont le cryptage renforcé ou la pseudonymisation.
Continuez à surveiller toute évolution au Royaume-Uni ou dans un pays de l’EEE, et réévaluez constamment l’efficacité des mesures supplémentaires que vous avez mises en place.
Conclusion
Il va sans dire que ces mesures ne doivent pas être prises comme un conseil juridique personnalisé et il est toujours important de s’assurer que vous recherchez une analyse individuelle de votre situation et des besoins de votre entreprise.
Nous espérons néanmoins que ces conseils seront utiles à toutes les entreprises qui cherchent à se mettre à jour concernant les changements inhérents au Brexit, d’ici janvier. Si vous avez des questions, n’hésitez pas à nous contacter.
Article rédigé par Charlotte Gerrish et Manon Coste @ Gerrish Legal, initialement paru sur le site Village de la Justice, en décembre 2020