Difficile de l’ignorer : le 29 mars 2017, le Royaume-Uni a officiellement enclenché le processus permettant sa sortie de l’Union Européenne (UE). En application de l’article 50 du Traité de l’Union européenne (TUE), la procédure de sortie dure en principe deux ans. Le Royaume-Uni devrait donc quitter l’UE le 29 mars prochain. En principe, tous les règlements européens cesseront de s’appliquer dès le départ du Royaume-Uni, en ce compris le Règlement général sur la protection des données (RGPD).

Afin de clarifier les conséquences du Brexit sur les normes applicables en matière de protection des données à caractère personnel, l’autorité de contrôle britannique, l’Information Commissioner’s Office (ICO) a publié le 13 décembre 2018 une série de documents. L’autorité de contrôle s’attache notamment à étudier les conséquences du Brexit dans ce domaine si aucun accord sur le sujet n’est trouvé avant le 29 mars.

Un niveau d’exigences inchangé

Au Royaume-Uni, l’entrée en application du RGPD a été accompagnée par l’adoption du Data Protection Act 2018. Ce texte était destiné notamment à préciser l’application du RGPD et à transposer la directive 2016/680 relative aux traitements en matière pénale en droit britannique, à l’image de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles en France.

En vertu du European Union (Withdrawal) Act 2018, les dispositions de nombreux textes européens, dont le RGPD, deviendront  des dispositions de droit interne britannique à compter du départ du Royaume-Uni de l’UE. Le gouvernement britannique pourra modifier ces dispositions ultérieurement. L’ICO indique dans son guide que les seules modifications envisagées aujourd’hui seraient celles nécessaires à l’adaptation du contenu au Royaume-Uni, notamment le retrait des dispositions concernant des institutions européennes.

L’ICO souligne que la majorité des obligations pesant actuellement sur les entités britanniques soumises au RGPD devraient rester les mêmes. Ainsi, l’ICO précise notamment que le Brexit n’entrainerait pas de changement dans le contenu des mentions d’information et politiques de confidentialité mises en place par les entités britanniques, à l’exception des références aux institutions et normes européennes qu’elles contiendraient.

La sortie du Royaume-Uni de l’UE ne devrait donc pas changer substantiellement le niveau de protection des personnes concernées au Royaume-Uni. Cependant, le changement de statut du Royaume-Uni aura des conséquences pratiques pour les responsables de traitements et les sous-traitants, tant britanniques qu’européens.

La nécessité de désigner un représentant dans l’Union européenne

L’ICO attire l’attention des responsables de traitement et sous-traitants britanniques sur leur éventuelle obligation de désigner un représentant au sein de l’UE (RGPD article 27).

Cette obligation s’applique si ces entités effectuent des activités de traitements liées, en application de l’article 3, 2° du RGPD :

  • A l’offre de biens ou de services à des personnes concernées dans l’UE, à titre gratuit ou onéreux ; ou
  • Au suivi du comportement des personnes concernées, dans la mesure où il s’agit d’un comportement ayant lieu au sein de l’UE.

Le représentant aura notamment pour rôle d’être le point de contact des personnes concernées et des autorités de contrôle européennes.

Des précisions en matière de transferts de données

À la suite de la sortie du Royaume-Uni de l’UE, une hypothèse pose particulièrement question. Il s’agit de la situation où des transferts de données sont effectués de l’UE vers le Royaume-Uni.

Les transferts de données à caractère personnel en dehors de l’UE sont encadrés par les articles 44 à 49 du RGPD. Rappelons que par principe, les transferts de données à caractère personnel entre Etats-membres de l’UE sont libres. Jusqu’à présent, de tels transferts étaient donc libres en direction du Royaume-Uni.

Toutefois, à compter du 29 mars, le Royaume-Uni deviendra un pays tiers à l’UE. En conséquent, les transferts de données vers le Royaume-Uni devront être encadrés.

En tant que pays tiers, le Royaume-Uni pourrait chercher à bénéficier d’une décision d’adéquation. Il s’agit d’une décision prise par la Commission européenne en application de l’article 45 du RGPD, dans laquelle elle reconnaît que le pays en question assure un niveau de protection adéquat des données à caractère personnel.

En revanche, en l’absence de décision d’adéquation, le transfert ne peut être opéré qu’après la mise en place de garanties appropriées permettant notamment d’assurer la protection des droits des personnes concernée (RGPD article 47), ou en vertu d’une dérogation spécifique (RGPD article 49).

Au 29 mars, les entités localisées dans l’UE effectuant des transferts de données à caractère personnel vers des entités britanniques devront donc :

  • Soit cesser ces transferts,
  • Soit les encadrer les transferts afin qu’ils soient conformes aux dispositions du RGPD.

Dans ce second cas, l’ICO préconise le recours aux « clauses types de protection des données » adoptées par la Commission européenne ou par une autorité de contrôle (RGPD, article 46 2 c et d), plus communément appelées « clauses contractuelles types ». Cependant, il convient de noter que ces clauses contractuelles types n’ont pas encore été mises à jour pour refléter l’entrée en application du RGPD. Il pourra donc être nécessaire de recourir, au moins temporairement, à d’autres mécanismes prévus par le RGPD.

De plus, il deviendrait nécessaire de mentionner ces transferts vers le Royaume-Uni dans les mentions d’information à destination des personnes concernées, en application des articles 13 et 14 du RGPD (point 1 f).

 

D’ici au 29 mars, il est possible qu’un accord soit négocié entre l’UE et le Royaume-Uni, et qu’il contienne des dispositions spécifiques à la protection des données à caractère personnel. Mathias Avocats ne manquera pas de vous tenir informé.