La Commission européenne propose un accord britannique sur l’adéquation des données

La Commission européenne (CE) a indiqué sa volonté d’offrir un accord d’adéquation des données pour le Royaume-Uni, sous réserve de l’approbation formelle des États membres de l’UE.

La Commission a publié deux projets de décisions relatives à l’adéquation des données, l’un en vertu du Règlement général sur la protection des données (GDPR) et l’autre en vertu de la directive sur l’application de la loi (LED), afin de permettre le transfert continu de données personnelles au Royaume-Uni, mettant en branle le processus de leur adoption formelle.

L’objectif des décisions relatives à l’adéquation des données est de déterminer si un pays, ou un secteur au sein d’un pays, en dehors de l’Union européenne (UE) a essentiellement des normes équivalentes en matière de protection des données à l’Union et, par conséquent, si les données peuvent être partagées avec elle.

Le Royaume-Uni a déjà déterminé en vertu de ses propres règles que l’UE offre un niveau adéquat de protection des données, les projets de décisions cherchant maintenant à évaluer si les données sont encore en mesure de circuler dans l’autre sens de l’UE vers le Royaume-Uni après le Brexit.

Selon ces décisions, les CE considèrent que les lois britanniques sur la protection des données « garantissent un niveau de protection des données personnelles… c’est essentiellement équivalent » en vertu du GDPR et de la LED, et que les « mécanismes de surveillance et les voies de recours » sont suffisamment solides pour permettre aux sujets de données d’exercer leurs droits et de sanctionner les infractions.

Les deux projets de décisions seront désormais examinés par le Conseil européen de protection des données (EDPB) mais, parce que le conseil lui-même n’a pas le pouvoir de bloquer les décisions, ils devront également être signés par les États membres de l’UE avant d’être pleinement adoptés par la CE.

Les données peuvent actuellement circuler de l’UE vers le Royaume-Uni dans le cadre de l’Accord de commerce et de coopération signé le 24 décembre 2020, qui prévoit une période de transition de six mois pour permettre la poursuite de la circulation des données pendant que les décisions relatives à l’adéquation sont pleinement évaluées.

« Un flux de données sécurisées entre l’UE et le Royaume-Uni est crucial pour maintenir des liens commerciaux étroits et coopérer efficacement dans la lutte contre la criminalité. Aujourd’hui, nous lançons le processus pour y parvenir. Nous avons soigneusement vérifié le système de protection de la vie privée qui s’applique au Royaume-Uni après qu’il a quitté l’UE », a déclaré le commissaire à la Justice Didier Reynders.

« Maintenant, les autorités européennes de protection des données examineront en profondeur les projets de textes. Le droit fondamental des citoyens de l’UE à la protection des données ne doit jamais être compromis lorsque des données personnelles traversent la Manche. Les décisions d’adéquation, une fois adoptées, garantiraient exactement cela.

Si les États membres conviennent que le Royaume-Uni est adéquat en vertu de la LED, ce sera la première fois qu’une telle décision d’adéquation a été prise en vertu de la directive, la plupart des transferts de données d’application de la loi en provenance de l’UE actuellement régis par des accords internationaux qui ne prennent pas en compte la norme d’équivalence essentielle qui existe actuellement.

Douze décisions d’adéquation ont été prises dans le cadre du GDPR depuis son entrée en vigueur en mai 2018, andorre, Argentine, Canada, îles Féroé, Guernesey, Israël, l’île de Man, le Japon, le Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay étant tous reconnus comme des juridictions adéquates par les CE.

En juillet 2020, la Cour de justice de l’UE (CJUE) a annulé l’accord de partage de données entre l’UE et les États-Unis pour ne pas avoir fait en sorte que les citoyens européens ont un droit de recours adéquat lorsque des données peuvent être collectées par la National Security Agency (NSA) des États-Unis et d’autres services de renseignement américains.

Cette décision, familièrement connue sous le nom de Schrems II après que l’avocat autrichien qui a transmis l’affaire à la CJUE, a estimé qu’il faut donner aux gens une « protection essentiellement équivalente » pour leurs données lorsqu’elles sont transférées aux États-Unis et dans d’autres pays comme elles le recevraient dans l’UE en vertu du GDPR et de la Charte européenne des droits fondamentaux, qui garantit aux gens le droit à des communications privées et à la protection de leurs données privées. L’état de l’adéquation des données ENTRE l’UE et les États-Unis n’a pas encore été entièrement résolu.

Même si les deux décisions d’adéquation pour le Royaume-Uni visent à atteindre la même norme d’équivalence essentielle, les règles de protection des données personnelles diffèrent entre le GDPR et la LED, cette dernière édifant des règles sectorielles régissant la façon dont les données personnelles peuvent être traitées et transférées par les organisations de justice pénale à des fins d’application de la loi.

L’adoption formelle d’une décision d’adéquation n’entraîne donc pas l’adoption automatique de l’autre, car les deux doivent être évalués séparément sur leurs propres mérites.

Le gouvernement britannique et le secteur technologique réagissent à l’adéquation du GDPR

Le secrétaire d’État au Numérique Oliver Dowden s’est félicité de la publication des projets de décisions qui, selon lui, reflètent l’engagement du Royaume-Uni à l’égard de normes élevées de protection des données.

« Bien que l’UE »les progrès réalisés dans ce domaine ont été plus lents que nous ne l’aurions souhaité, je suis heureux que nous avons franchi cette étape importante après des mois de discussions constructives au cours de laquelle nous avons établi notre solide cadre de protection des données », a-t-il déclaré.

« J’exhorte maintenant l’UE à respecter son engagement d’achever rapidement le processus d’approbation technique, afin que les entreprises et les organisations des deux côtés puissent saisir les avantages évidents. »

Les projets de décisions ont également été reçus positivement par les organismes de l’industrie représentant une variété d’entreprises dans le secteur technologique du Royaume-Uni.

« La décision d’aujourd’hui est chaleureusement accueillie par le secteur de la technologie qui a clairement souligné l’importance d’un accord d’adéquation mutuelle des données depuis le lendemain du référendum », a déclaré Julian David, PDG de TechUK.

« La réception de l’adéquation des données, parallèlement à l’Accord de coopération et de commerce ENTRE l’UE et le Royaume-Uni, jettera des bases solides pour le commerce numérique avec l’UE, y compris de fortes clauses de non-discrimination et des dispositions positives sur les flux de données, qui donneront aux entreprises la confiance nécessaire pour investir. »

Stephen Kelly, président de Tech Nation, a ajouté que le transfert international de données était essentiel à la technologie britannique, en particulier pour des secteurs comme la technologie financière (fintech) où la croissance rapide a été fondée sur le déblocage de la valeur des données.

« L’économie des données représente environ 4 % du PIB national et devrait valoir 130 milliards de dollars d’ici 2025, faisant du Royaume-Uni une plaque tournante mondiale pour les flux de données. La décision positive d’adéquation entre le Royaume-Uni et l’UE apporte donc d’excellentes nouvelles au secteur de la technologie, après des mois d’attente et de planification d’urgence pendant la période de transition », a-t-il déclaré.

« Il soutient la croissance continue des échelles technologiques et la position du Royaume-Uni en tant que leader mondial des technologies axées sur les données. Alors que nous nous toursons vers l’avenir pour mieux nous remettre en état, le flux international de données sera essentiel pour alimenter la prochaine vague d’innovation commerciale et stimuler la transformation de notre société.

Problèmes potentiels liés à la sécurisation de l’adéquation des LED

Début février 2021, l’EDPB a publié ses toutes premières orientations sur la LED, écrivant que « les décisions d’adéquation devraient se concentrer sur l’évaluation de la législation existante du pays tiers concerné dans son ensemble, en théorie et en pratique, à la lumière des critères d’évaluation établis dans la LED ».

Elle a ajouté : « Toute analyse significative d’une protection adéquate doit [therefore] deux éléments fondamentaux : le contenu des règles applicables et les moyens d’assurer leur mise en œuvre effective dans la pratique.

Alors que l’EDPB écrivait dans le contexte de l’adéquation des LED, le processus d’analyse des lois britanniques sur la protection des données en théorie et en pratique s’applique également à l’adéquation gdpr.

Les experts en protection des données ont déjà averti que, bien que les engagements du Royaume-Uni en matière de LED soient sur papier grâce à sa transposition dans la troisième partie de la Loi sur la protection des données (DPA 18) – qui est corroborée par le projet de décision de la CE – certaines pratiques au sein du secteur britannique des services de renseignement et de la justice pénale (CJS) pourraient compromettre la capacité du pays à obtenir une décision d’adéquation positive en vertu de la directive.

Ces préoccupations s’étendent également à l’adéquation gdpr, mais des règles plus strictes sur la façon dont les données peuvent être transférées à des fins d’application de la loi signifient qu’elles sont particulièrement problématiques pour l’adéquation des LED.

Plus précisément, ils ont cité les relations étroites entre le Royaume-Uni et les États-Unis comme un problème en raison de l’absence de normes adéquates de protection des données, ainsi que du régime de surveillance intrusive du Royaume-Uni, qui a été consacré dans la Investigatory Powers Act 2016, autrement connue sous le nom de « Charte des fouineurs ».

L’utilisation croissante des services de cloud public basés aux États-Unis par la police britannique et le CJS en général a également été citée comme un problème potentiellement énorme pour la capacité du Royaume-Uni à obtenir l’adéquation des LED en raison du potentiel d’accès à distance à ces données et de son transfert vers une juridiction non adéquate.

Bien que les projets de décisions soient de plus de 50 pages qui nécessitent une analyse détaillée pour bien comprendre, les premières impressions des spécialistes de l’application de la loi ont exprimé leur déception quant au fait que le document des CE est principalement un résumé juridique et ne semble pas tenir compte de ces aspects pratiques et réels.

Ils ont également laissé entendre que, bien que cette recommandation d’adéquation des CE ait été publiée, il est encore trop tôt pour supposer qu’elle sera adopter.

« La LED n’est pas une réglementation unique à l’échelle de l’UE comme le GDPR », a déclaré Owen Sayers, un consultant indépendant basé au Royaume-Uni sur la protection de la vie privée qui a une connaissance approfondie de la LED. « Chaque État membre de l’UE, y compris le Royaume-Uni lorsque nous étions membres de l’UE, a créé sa propre interprétation de la directive, et la CE a récemment publié une étude sur les multiples mises en œuvre différentes à travers l’UE démontrant à quel point elles varient d’un pays à l’autre.y.

M. Sayers a ajouté : « Chaque État membre voudra probablement examiner la recommandation de la CE pour s’assurer que ses conclusions concordent avec leur propre législation. En effet, le Royaume-Uni a besoin de 27 examens juridiques positifs de l’alignement des LED pour être adopté avec succès comme adéquat, tandis que gdpr n’en a besoin que d’un seul.

« Même alors, on ne sait pas encore quelle quantité de données les États membres de l’UE seront disposés à partager – une constatation d’adéquation permet le partage de données, mais elle n’oblige pas un Membre à le faire. »