Le 29 mars 2017, le Royaume-Uni a enclenché la procédure de retrait de l’Union européenne. Conformément à l’article 50 paragraphe 3 du Traité sur le fonctionnement de l’Union européenne, l’ensemble du droit de l’Union est censé ne plus s’appliquer à la date de l’entrée en vigueur de l’accord de retrait ou à défaut, deux ans après que l’Etat ait notifié son souhait de se retirer de l’Union européenne. Le Royaume-Uni devait donc sortir de l’UE ou s’entendre sur un accord de retrait le 29 mars. Le 20 mars 2019, la Première ministre Theresa May a sollicité auprès du Conseil européen une prorogation de ce délai.
Le Conseil européen prenant acte de cette demande a accepté une prorogation jusqu’au 22 mai 2019 si l’accord de retrait est adopté par la chambre des communes ; veille des élections européennes auxquelles les britanniques ne participeront donc pas. En revanche, si l’accord de retrait est rejeté par la chambre des communes – dernier délai pour que les britanniques puissent décider de participer aux élections européennes – le Conseil européen convient d’une prorogation jusqu’au 12 avril 2019.
A ce stade, deux scenarios sont donc envisageables : (1) soit l’accord est ratifié ; (2) soit l’accord n’est pas ratifié. Dans les deux cas, la problématique de l’encadrement des flux transfrontaliers de données personnelles reste primordiale.
1. Scenario 1 : l’accord de retrait est ratifié
Si l’accord de retraitest ratifié, le Royaume-Uni bénéficiera d’un régime transitoire. Entre autres :
- les règles européennes en matière de protection des données personnelles dont le RGPD continueront à s’appliquer jusqu’à la fin de la période de transition (article 71) ;
- à la fin de la période transitoire, le Royaume-Uni continuera d’appliquer ces règles aux données personnelles échangées entre ce dernier et les pays membres de l’Union européenne jusqu’à ce qu’une décision d’adéquation garantissant que le Royaume-Uni offre un niveau de protection essentiellement équivalent à celui garanti par le droit de l’Union soit prise (article 71).
2. Scenario 2 : l’accord de retrait n’est pas ratifié
Si l’accord n’est pas ratifié, ce qui apparaît être le scénario le plus probable, le Royaume-Uni sera alors considéré comme un pays tiers au sens du RGPD et ne bénéficiera d’aucun régime transitoire.
Dans un communiqué de presse du 25 mars 2019 intitulé « préparation du Brexit : l’UE achève ses préparatifs en vue de l’éventualité d’une absence d’accord le 12 avril », la Commission européenne informait d’ailleurs d’ores et déjà se préparer « en vue d’un Brexit sans accord ».
Dans cette hypothèse, l’une des conséquences majeures à anticiper est l’encadrement des flux transfrontaliers de données, à savoir (a) les flux entrants et (b) les flux sortants du Royaume-Uni.
a) Le transfert de données personnelles de l’Union européenne vers le Royaume-Uni
Dans la continuité des recommandations de l’ICO (« Information Commissionner’s Office ») (« ICO »), le Comité européen de la protection des données (« CEPD » ou « EDPB » en anglais) dans une note informative du 12 février 2019 préconise 5 étapes à suivre :
- Identifier les activités de traitement qui impliqueront un transfert de données personnelles vers le Royaume-Uni ;
- Déterminer l’instrument de transfert de données approprié à sa situation ;
- Mettre en œuvre l’instrument de transfert de données choisi pour qu’il soit prêt lors du Brexit ;
- Indiquer dans sa documentation interne que les transferts seront effectués vers le Royaume-Uni ;
- Mettre à jour sa déclaration de confidentialité en conséquence pour informer les personnes.
En l’absence d’une décision d’adéquation pour le Royaume-Uni conformément à l’article 45 du RGPD, le CEPD rappelle que les entreprises peuvent recourir à des garanties appropriées telles que visées à l’article 46 et suiv. du RGPD permettant d’encadrer ces flux, à savoir :
- Les clauses contractuelles types (article 46 RGPD) adoptées par la Commission européenne et « prêtes à l’emploi », elles permettent d’encadrer les transferts de données entre deux responsables de traitement ou entre un responsable de traitement et un sous-traitant. Les modèles de clauses contractuelles types sont disponibles sur le site de la CNIL ;
- Les clauses contractuelles spécifiques dites « ad-hoc » sont des contrats de transferts de données personnelles qui permettent d’encadrer des situations spécifiques, pour lesquelles les clauses contractuelles types ne sont pas applicables ou nécessitent d’être modifiées. En ce qu’elles diffèrent des modèles rédigés par la CNIL, elles doivent être préalablement autorisées par l’autorité de contrôle ;
- Les règles d’entreprise contraignantes (article 47 du RGPD) relèvent d’une politique de protection des données intra-groupe. Elles sont juridiquement contraignantes et permettent d’offrir des garanties appropriées pour les transferts de données à caractère personnel au sein du groupe, y compris en dehors de l’Espace économique européen (EEE). Ces règles doivent être approuvées par l’autorité nationale compétente avant leur utilisation. Les informations relatives aux règles contraignantes sont également disponibles sur le site de la CNIL ;
- Les codes de conduite et certifications (article 46 du RGPD) peuvent permettre le transfert de données, à condition qu’ils comportent l’engagement contraignant et exécutoire pris par les destinataires hors UE, d’appliquer les garanties appropriées, y compris concernant les droits des personnes concernées.
Enfin, le transfert peut être réalisé sur la base d’une dérogation particulière visée à l’article 49 mais cette dérogation est d’application stricte par les autorités de contrôle.
En conclusion : en l’absence de garanties appropriées ou en l’absence de recours à l’une des dérogations précitées, le transfert vers le Royaume-Uni est interdit.
b) Le transfert de données personnelles hors du Royaume-Uni
En cas de transfert de données personnelles hors du Royaume-Uni, le Data Protection Act 2018 (équivalent de la Loi Informatique française modifiée) trouve à s’appliquer. En pratique, il convient de distinguer 2 hypothèses : (i) le transfert de données vers un pays membre de l’Union européenne ; (ii) le transfert vers un pays non membre de l’Union européenne.
Concernant les transferts vers un pays membre de l’Union européenne, comme il a été rappelé par le gouvernement anglais, le principe de libre circulation des données reste applicable, sous réserve du respect des obligations imposées par le RGPD.
Concernant les transferts vers un pays non membre de l’Union européenne, les garanties appropriées devront être mises en place (cf. article 46 et sui. du RGPD).
A l’aube d’un divorce possiblement sans accord, il est donc conseillé à toute entreprise française de prendre les devants afin de sécuriser ses transferts de données vers le Royaume-Uni en (i) recensant les flux de données vers le Royaume-Uni et (ii) en mettant en place les garanties appropriées prévues par le RGPD.