Brexit : Quelques interrogations à propos du transfert de données à caractère personnel de l’UE vers le Royaume-Uni
Par Sylvie Peyrou-Bartoll, Maître de conférences HDR en droit public, Centre de Documentation et de Recherches Européennes, Université de Pau et des Pays de l’Adour (Collège 2EI Bayonne)
Par Sylvie Peyrou-Bartoll, Maître de conférences HDR en droit public, Centre de Documentation et de Recherches Européennes, Université de Pau et des Pays de l’Adour (Collège 2EI Bayonne)
Nombre de relations entre l’Union européenne et le Royaume-Uni se voient remises en cause ou bouleversées par le Brexit, et les flux de données à caractère personnel – carburant de l’économie numérique – n’échappent pas aux questionnements, voire aux inquiétudes des acteurs économiques du secteur, surtout après l’invalidation retentissante du Privacy Shield par la Cour de Justice de l’Union européenne (CJUE) l’année dernière, source d’insécurité juridique pour les transferts de données vers les Etats-Unis. Les data flows vers le Royaume-Uni connaîtront-ils le même sort ?
Quels sont les enjeux relatifs aux transferts de données personnelles entre l’UE et le Royaume-Uni ?
Tant que le Royaume-Uni faisait partie de l’Union européenne, la libre circulation des données à caractère personnel entre les deux était pleinement assurée, ces données n’étant qu’une composante parmi d’autres du grand marché intérieur européen auquel participait l’économie britannique. En tant que membre de l’UE, le Royaume-Uni était ainsi soumis au Règlement général sur la protection des données à caractère personnel (RGPD), mais aussi à la directive 2016/680 dans le domaine répressif, textes garantissant, respectivement, pour le marché intérieur et l’Espace de Liberté, de Sécurité et de Justice (ELSJ), la protection de ce droit désormais fondamental depuis son inscription dans la Charte des droits fondamentaux de l’UE à l’article 8 : le droit à la protection des données à caractère personnel.
Le Brexit vient toutefois bouleverser ce schéma, dans la mesure où le Royaume-Uni devient par définition un pays tiers à l’Union. Or, autant le RGPD que la directive précitée contiennent des dispositions spéciales s’agissant du transfert de données à caractère personnel de l’UE vers un pays tiers. Le principe n’est plus en effet celui de la libre circulation des données personnelles, il convient désormais au préalable que la Commission européenne vérifie et constate qu’un « niveau adéquat de protection » est garanti aux données transférées vers le pays destinataire. La Commission devra donc publier une « décision d’adéquation », base juridique indispensable afin d’assurer les data flows.
Devenu pays tiers à l’Union, le Royaume-Uni se voit donc menacé d’une interruption des flux de données à caractère personnel en provenance de l’UE, ce qui constitue naturellement une grave menace pour l’ensemble du secteur numérique, mais aussi de manière plus large pour toutes les transactions commerciales (données bancaires par exemple), sans oublier les coopérations en matière répressive organisées depuis quelques années, par exemple au travers de la directive PNR (données des dossiers des passagers aériens, communiquées aux services répressifs aux fins d’identification des possibles auteurs de crime grave ou d’actes de terrorisme).
Il est donc de première importance que des solutions soient trouvées rapidement afin d’assurer la continuité des flux de données des deux côtés de la Manche.
Que prévoit le statut « d’adéquation » proposé par la Commission européenne ?
Il est important de noter tout d’abord qu’il résulte de l’accord de commerce et de coopération conclu entre l’UE et le Royaume-Uni, suite à l’entente surprise intervenue entre les négociateurs le 24 décembre 2020, qu’une solution provisoire a été actée en attendant l’adoption par la Commission d’une « décision d’adéquation ». Il s’agit d’un statu quo temporaire, le Royaume-Uni restant soumis au RGPD et à la directive 2016/680, mais aussi à la jurisprudence de la CJUE, jusqu’au 30 juin 2021. Ceci signifie que la Commission à ce jour dispose de moins de quatre mois pour adopter sa décision d’adéquation.
Or, ce processus peut s’avérer relativement long. Soulignons que la Commission, afin de juger du « niveau adéquat de protection » assuré aux données à caractère personnel, doit tenir compte notamment des éléments suivants : « l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers (…) » (article 45 RGPD). Il faudra ensuite obtenir l’avis du Comité Européen de la protection des données, puis l’accord d’un comité composé de représentants des Etats membres de l’UE.
Si la Commission, dans son communiqué de presse du 19 février dernier, est relativement optimiste quant à l’adoption de la décision d’adéquation, eu égard au constat que le Royaume-Uni, qui était jusqu’à présent dans l’Union, a vu son régime juridique de protection des données façonné de longue date par le droit de l’UE, un doute puissant se fait jour cependant eu égard à un point particulier. Il convient de rappeler en effet que la législation britannique applicable en matière de sécurité nationale, et plus particulièrement la loi régissant les pouvoirs d’enquête, a été jugée incompatible avec le droit de l’UE par la CJUE dans son important arrêt Privacy International du 6 octobre 2020 (problème de la transmission généralisée et indifférenciée aux services de sécurité et de renseignement des données relatives au trafic et à la localisation des communications électroniques).
La Commission pourra-t-elle faire fi de cette condamnation ? Au risque d’encourir une possible annulation ultérieure de sa décision d’adéquation… Ce qui pose la question de « l’après »-décision d’adéquation.
Ce statut étant accordé pour une durée de 4 ans, quelles sont les perspectives une fois passée l’échéance ?
Si tout va bien et que la Commission adopte sa décision d’adéquation, la libre circulation des données continuera à être assurée, mais pour une durée de quatre ans. La Commission a en effet prévu une procédure de « monitoring », lui permettant de vérifier que le niveau de protection des données exigé reste effectif. Si c’est le cas, la Commission adoptera alors une nouvelle décision d’adéquation. Mais si ce n’est pas le cas, il n’y aura plus de base juridique générale pour poursuivre le transfert des données vers le Royaume-Uni. Il faut savoir toutefois qu’il existe dans le RGPD des solutions alternatives, en l’absence de décision d’adéquation. Ces solutions pourraient d’ailleurs être mises en œuvre également au cas d’invalidation contentieuse de la décision d’adéquation par la CJUE (pas impensable au regard des doutes soulevés ci-dessus), qui laisserait a priori un vide juridique, comme lors de l’invalidation du Safe Harbor puis du Privacy Shield (arrêts Schrems 1 et Schrems 2) pour les flux de données vers les Etats-Unis. Ces solutions alternatives sont notamment le recours par les entreprises aux clauses contractuelles types (modèles de contrats de transfert de données adoptés par la Commission européenne, afin d’encadrer les transferts de données entre responsables du traitement et/ou sous-traitants) qui, quant à elles, n’ont pas subi les foudres du juge européen dans l’arrêt Schrems 2, qui les a placées sous la double vigilance des responsables du traitement et des autorités nationales de contrôle (de la protection des données). La solution très complexe imaginée par la Cour de justice met ainsi à leur charge l’obligation de vérifier que le niveau de protection requis par le droit de l’Union soit bien respecté, quitte, pour les secondes, éventuellement, à suspendre voire interdire le transfert de données en cas de non-conformité.
Comme on peut le constater au travers de ces différents scénarios, le sort des data flows de l’UE vers le Royaume-Uni n’est pas nécessairement placé sous les meilleurs auspices, autre conséquence probablement très largement inattendue de la part des promoteurs du Brexit.