Connect with us

Technologie

Comment Schrems II aura un impact sur le partage de données entre le Royaume-Uni et les États-Unis

Published

on


Le transfert de données personnelles à l’échelle internationale est devenu plus difficile ces derniers jours. La Cour de justice de l’Union européenne (CJUE) a invalidé le Bouclier de protection de la vie privée, une décision de l’UE qui permettait aux données de circuler librement du Royaume-Uni et de l’UE à plus de 5 300 entreprises aux États-Unis.

Dans le même temps, elle s’est fiée à des clauses contractuelles standard (CSC) – l’alternative évidente au Bouclier de protection de la vie privée – plus onéreuses. Elle exige que les entreprises évaluent les régimes juridiques dans les pays vers lesquels les données doivent être exportées et que des « es garanties appropriée » soient mises en place si la législation dans le pays de destination est jugée insuffisante.

On s’attend maintenant à ce que les organismes de réglementation contrôlent les transferts internationaux de façon beaucoup plus rigoureuse qu’ils ne l’ont fait par le passé. Les commentateurs craignent que les transferts de données de l’UE et du Royaume-Uni vers les États-Unis soient désormais effectivement interdits, bien qu’il soit à souligner que la CJUE n’a pas dit que les flux de données entre l’UE ou le Royaume-Uni vers les États-Unis devraient cesser.

Les entreprises britanniques et américaines se demandent peut-être ce que le Brexit – qui met fin à l’application des traités de l’UE au Royaume-Uni – pourrait signifier pour les flux de données entre le Royaume-Uni et les États-Unis, et s’il facilitera l’échange de données avec les États-Unis.

La directive générale sur la protection des données (RGDPR) cessera de s’appliquer au Royaume-Uni à la fin de la période de transition, le 31 décembre 2020, lorsque le Royaume-Uni ne sera plus soumis au droit de l’UE. Toutefois, cela ne signifie pas que le Royaume-Uni aura la main libre dans les arrangements de protection des données qu’il met en place avec les pays non membres de l’UE, y compris les États-Unis.

Le Royaume-Uni négocie une décision d’adéquation avec l’UE. Si l’UE décide que les arrangements juridiques du Royaume-Uni sont « essentiellement équivalents » à ceux de l’UE, une décision d’adéquation permettrait à la libre circulation des données de l’UE vers le Royaume-Uni après la fin de la période de transition.

Une décision d’adéquation limitera également la capacité du Royaume-Uni à convenir de nouveaux arrangements pour les transferts de données avec des pays tiers. Cela s’explique par le fait que toute modification significative du régime britannique de protection des données, en particulier l’abaissement des normes de protection, pourrait compromettre le statut du Royaume-Uni comme étant adéquat pour les flux de données entre l’UE et le Royaume-Uni. L’UE peut révoquer une décision d’adéquation si le pays en question ne fournit plus un régime de protection des données essentiellement équivalent à celui de l’UE.

Même si le Royaume-Uni perdait son statut de adéquat pour les flux de données entre l’UE et le Royaume-Uni à un moment donné à l’avenir, le Royaume-Uni s’est engagé à assurer un niveau de protection des données à caractère personnel essentiellement équivalent à celui du GDPR, du moins pour les données provenant de l’UE avant la fin de la période de transition.

Le Royaume-Uni a l’intention d’adopter le GDPR en tant que droit national à la fin de la période de transition. Cela signifie que les transferts de données entre le Royaume-Uni et les États-Unis devront satisfaire aux normes rigoureuses actuellement requises dans le cadre du RGPRI afin de transférer des données aux États-Unis.

Néanmoins, il y a une réelle nervosité au niveau de l’UE à l’idée que le Royaume-Uni puisse se retrouver comme une « porte dérobée » par laquelle les données de l’UE sont transmises aux États-Unis sans protection adéquate, comme le précisent les derniers paragraphes de cette lettre du président du Conseil européen de protection des données au Parlement européen.

Lire les positions de négociation d’ouverture des États-Unis et du Royaume-Uni dans le monde post-Schrems est intéressant. Les deux parties insistent sur la nécessité de permettre la libre circulation des données et l’indécisibilité des lois de localisation des données qui exigent que les données à caractère personnel soient stockées dans le pays où elles ont été collectées.

Le résumé des objectifs de négociation d’un ALE entre le Royaume-Uni et les États-Unis stipule que l’ALE devrait « tablir des règles de pointe pour s’assurer que le Royaume-Uni n’impose pas de mesures qui restreignent les flux transfrontaliers de données et n’exige pas l’utilisation ou l’installation d’installations informatiques locale ».

Le document d’orientation du Royaume-Uni sur un futur ALE entre le Royaume-Uni et les États-Unis souligne l’importance de « maximiser la portée du Royaume-Uni dans des domaines émergents comme les flux de données mondiaux et l’intelligence artificielle ». Il dispose que l’ALE devrait « inclure des dispositions qui facilitent la libre circulation des données, tout en veillant à ce que les normes élevées du Royaume-Uni en matière de protection des données à caractère personnel soient maintenues et comprennent des dispositions visant à prévenir les exigences injustifiées en matière de localisation des données ».

La décision Schrems II semble rendre la réalisation des objectifs de négociation du Royaume-Uni et des États-Unis plus difficile. L’avis de l’avocat général dans Schrems II a souligné que le pragmatisme était nécessaire pour « d’une part… permettre l’interaction avec d’autres parties du monde… et d’autre part… d’affirmer les valeurs fondamentales reconnues dans les ordres juridiques de l’Union et de ses États membres, et en particulier dans la charte [of fundamental rights] ».

Toutefois, le consensus semble être que la CJUE a échoué le test du pragmatisme, créant des attentes irréalistes que les entreprises seront en mesure de faire des évaluations solides des régimes juridiques dans les pays tiers et d’évaluer les transferts au cas par cas.

La réaction du gouvernement britannique et de l’organisme de réglementation britannique en matière de protection des données, le Bureau du commissaire à l’information (ICO), reflète leurs préoccupations communes pour s’assurer que les flux internationaux de données ne sont pas perturbés. Dans sa déclaration, le gouvernement britannique souligne qu’il « reste déterminé à soutenir les organisations britanniques sur les transferts internationaux de données ». L’OIC a publié une note similaire, disant qu’elle examinait l’impact du jugement sur les transferts internationaux de données, qu’elle a déclaré être « vital pour l’économie mondiale ».

L’OIC a également déclaré que les transferts qui ont lieu en se fondant sur le bouclier de protection de la vie privée devraient se poursuivre pour l’instant. Cela fait écho à la réponse du Département du commerce des États-Unis, qui a déclaré que les entreprises qui s’appuient sur privacy Shield devraient continuer à respecter leurs obligations et a souligné que « es flux de données sont essentiels non seulement pour les entreprises technologiques – mais pour les entreprises de toutes tailles dans tous les secteur ».

Si la localisation des données n’est pas souhaitable pour les États-Unis, elle est encore plus problématique pour le Royaume-Uni. Le Brexit a souvent été discuté comme le processus de faire du Royaume-Uni une « nation commerciale mondiale ». Créer des obstacles au commerce par le biais d’exigences onéreuses en matière de droit de la protection des données est mal à l’aise avec cette ambition.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance