Le RGPD sur la protection des données personnelles en Europe reste applicable à leurs transferts vers le Royaume-Uni jusqu’au 1er juillet 2021. Mais, depuis le début de l’année, la « Cnil » britannique ne peut plus être « chef de file ». En tout cas, il faut anticiper avec ce « pays tiers ».

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

A l’heure où le Brexit devient réalité, la question du transfert des données personnelles entre l’Union européenne (UE) et le Royaume-Uni (RU) mérite une attention particulière. Pas d’urgence absolue puisque le règlement européen sur la protection des données RGPD reste applicable au Royaume-Uni de manière transitoire jusqu’au 1er juillet 2021. A noter toutefois que, depuis le 1er janvier 2021, le mécanisme du « guichet unique » ne sera plus effectif par le biais de l’Information Commissioner’s Office (ICO), la « Cnil » britannique.

RGPD, applicable jusqu’au 1er juillet 2021
Ainsi, à moins qu’une décision d’adéquation ne soit accordée au Royaume-Uni par la Commission européenne d’ici mi- 2021, les transferts de données personnelles vers le Royaume-Uni devront être encadrés par les outils prévus par le RGPD. Autant s’en préoccuper dès à présent ! Concrètement, jusqu’au 1er juillet 2021, le Royaume-Uni est toujours considéré comme un Etat membre de l’UE dans le cadre des transferts de données. Si aucune modification n’est requise dans l’immédiat pour continuer à transférer des données personnelles avec le territoire britannique, l’autorité de contrôle britannique ICO recommande aux entreprises britanniques ayant des activités transfrontalières avec les Vingt-sept d’anticiper tout risque potentiel d’interruption des transferts.
L’accord de commerce et de coopération entre l’UE et le RU, conclu le 24 décembre 2020 et en vigueur depuis le 1er janvier 2021, prévoit, en matière de protection des données à caractère personnel, que le RGPD demeure applicable pour une durée maximum de six mois. Cet accord a fait suite à une période transitoire qui courait depuis un premier accord de retrait trouvé le 31 janvier 2020 à minuit. Car les textes européens étant alors encore applicables, cet accord n’ouvrant en réalité qu’une période de transition s’étalant jusqu’au 31 décembre 2020. Rappelons que c’est à la suite du référendum du 23 juin 2016 que le Royaume-Uni a actionné la procédure de retrait de l’Union européenne prévue par l’article 50 du Traité de l’UE. Cette décision en faveur du Brexit (pour « British Exit ») a donné lieu à de nombreuses discussions afin d’organiser cette sortie effective du Royaume-Uni. L’accord conclu entre le RU et l’UE a conduit à l’exclusion de l’autorité britannique du mécanisme de guichet unique. Ce mécanisme permet aux entreprises opérant des traitements transfrontaliers (entre plusieurs Etats membres) de centraliser leur communication avec une seule autorité qualifiée alors de « chef de file » (1). Cette autorité n’est pas choisie par l’entreprise mais correspond à celle du pays dans lequel se situe l’établissement principal de l’entreprise en question. En France, c’est la Commission nationale de l’informatique et des libertés (Cnil). Au Royaume- Uni, c’est l’Information Commissioner’s Office (ICO).
La fin du guichet unique pour le Royaume-Uni signifie donc que les entreprises qui effectuaient des traitements transfrontaliers et qui avaient l’ICO comme autorité chef de file ne pourront plus bénéficier de ce mécanisme. Seuls les responsables de traitement ou sous-traitants ayant un établissement principal au sein de l’Espace économique européen (EEE) pourront continuer de bénéficier du guichet unique, avec pour autorité chef de file, celle du pays dans lequel est implanté ledit établissement. Concernant les entreprises exclusivement basées au Royaume-Uni, il est important de rappeler que le caractère extraterritorial du champ d’application du RGPD rend ce dernier applicable dès lors que les activités de traitement sont liées à une offre de bien ou de service destinée à des personnes concernées de l’Union européenne ou au suivi du comportement de ces personnes. Dès lors, ces entreprises britanniques seront tenues de désigner un représentant au sein de l’Union européenne conformément à l’article 27 du RGPD. Une fois le délai de transition expiré, il faudra appréhender les transferts au Royaume-Uni comme des transferts vers un pays tiers, c’est-à-dire comme un pays situé en dehors de l’EEE.

Une « décision d’adéquation » avec le RU ?
Cependant, le Royaume-Uni, en sa qualité d’ancien Etat membre de l’UE, dispose déjà d’un important arsenal juridique en matière de protection des données avec des dispositifs tels que le « Data Protection Act » ou encore le « Privacy and Electronic Communication Regulations ». Ces textes de loi reprenant déjà la majorité des dispositions du RGPD, il apparaît possible que la Commission européenne autorise de façon générale l’ensemble des transferts de données vers le Royaume-Uni à travers une « décision d’adéquation ». Tel sera le cas si la Commission européenne considère que le Royaume-Uni offre toujours un niveau de protection au moins équivalent à celui exigé au sein de l’UE. Pour autant, il convient de rester vigilant car les dernières déclarations du Premier ministre Boris Johnson annonce une évolution de la législation interne dans le sens d’un assouplissement de cette dernière. L’hypothèse d’une décision d’adéquation semble ainsi s’éloigner notamment compte tenu de l’appartenance du Royaume-Uni au « Five Eyes », alliance des services secrets britanniques, canadiens, australiens, américains et néo-zélandais.

Sinon, explorer les « garanties appropriées »
On rappellera que cette alliance à cinq (également désignée par FVEY), qui remonte à l’époque de la Guerre froide, permet aux agences de renseignement de ces cinq pays de se demander respectivement d’intercepter des communications de leurs citoyens. Ce partage d’informations et de données alerte de plus en plus les institutions et l’opinion publique, notamment depuis les révélations d’Edward Snowden en 2013. Selon ce lanceur d’alerte, les Etats contourneraient leur propre législation nationale en demandant aux membres de l’alliance de collecter des informations pour leur compte, et ce sur le fondement de cet accord. En 2014, la Commission européenne avait publié un rapport (2) confirmant le fait que les agences de renseignement néo-zélandaises et canadiennes auraient coopéré avec la National Security Agency (NSA) dans le cadre du programme Five Eyes et potentiellement partagé activement des données personnelles de citoyens de l’UE. Si l’option « décision d’adéquation » devait être écartée, il conviendra alors d’explorer d’autres solutions, notamment les « garanties appropriées » prévues par le RGPD. Il s’agit soit des clauses contractuelles types (CCT) à insérer dans le contrat entre l’importateur et l’exportateur de données (3), soit des règles d’entreprise contraignantes (BCR) qui désignent les règles internes de protection des données applicables entre exportateur et importateur de données au sein d’un groupe d’entreprise (4), soit encore d’outils tels que : code de conduite, mécanisme de certification, instrument juridique contraignant entre autorités publiques, etc (5).
Le RGPD prévoit également certaines dérogations exceptionnelles. L’organisation souhaitant transférer des données en dehors de l’EEE pourrait ainsi faire valoir l’une de ces dérogations à condition que le transfert ait un caractère exceptionnel (ni régulier, ni structurel) et qu’aucun autre cadre juridique ne puisse être utilisé. Tel est le cas lorsque la personne concernée consent au transfert de ses données ou lorsque le transfert de données est nécessaire à la conclusion ou à l’exécution d’un contrat ou encore lorsque le transfert est nécessaire par exemple à l’exercice des droits de la défense dans le cadre de procédures judiciaires. On notera cependant que, dans tous les cas, il appartient au responsable de traitement et au destinataire des données de vérifier, préalablement à tout transfert, si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD, et notamment que les personnes concernées disposent de droits opposables et de voies de droit effective (6). Cette règle a été rappelée par la Cour de justice de l’Union européenne (CJUE), dans son arrêt « Schrems II » (7) du 16 juillet 2020. On rappellera que, dans cette affaire, Maximillian Schrems, défenseur autrichien de la protection des données personnelles, avait sollicité l’interdiction ou la suspension du transfert de ses données personnelles par Facebook Ireland à la maison mère Facebook Inc. établie aux Etats-Unis. Ce dernier considérait que la législation américaine ne permettait pas en pratique de protéger adéquatement les données personnelles détenues sur son territoire contre l’accès des autorités publiques et qu’il n’y avait pas de recours efficace pour les personnes concernées européennes. La CJUE étant particulièrement regardante sur l’effectivité des droits des personnes concernées ainsi que sur leur exercice, c’est précisément ce qui a fondé l’invalidation du « Privacy Shield » au sein de cette décision.
De même, si la CJUE a confirmé la validité des clauses contractuelles types comme outil de transfert, il est important de préciser que ces clauses ne lient pas les autorités des pays tiers, en raison de leur caractère contractuel. Ainsi, dans les situations où la législation de ces pays compromettrait en pratique le niveau de protection adéquat que ces outils garantissent, la CJUE incite à prévoir des mesures supplémentaires. De nature technique, contractuelle ou organisationnelle selon les recommandations du Contrôleur européen de la protection des données (CEPD), ces mesures permettraient d’assurer l’effectivité des « garanties appropriées » au sein de ces systèmes juridiques (8). Toutefois, en fonction des caractéristiques du transfert de données envisagé, et de l’évaluation de la législation du pays tiers faite par l’importateur et l’exportateur des données, si aucune mesure supplémentaire efficace ne peut être mise en œuvre pour garantir le niveau de protection équivalent, il conviendra de renoncer au transfert.

Considérer le RU comme « pays tiers »
En conclusion, si le RGPD reste applicable aux transferts de données vers le Royaume-Uni jusqu’au 1er juillet 2021, il n’est certainement pas trop tôt pour anticiper la suite. En l’absence d’une décision d’adéquation avant cette date butoir, les transferts de données devront être considérés comme ayant pour destination un pays tiers. De ce fait, il est d’ores et déjà recommandé d’identifier les traitements en question pour, le jour venu, adopter l’une des solutions évoquées à l’aune de la future législation britannique. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.