Connect with us

Technologie

L’accord sur le Brexit accorde au Royaume-Uni une adéquation temporaire des données

Published

on


Le mois dernier, le Royaume-Uni et l’Union européenne (UE) ont conclu un accord à court terme dans le cadre de l’accord sur le Brexit pour permettre la poursuite de la libre circulation des données, qui soutient plus de 100 milliards de livres sterling de commerce. Mais les experts en protection des données se sont déjà inquiétés de la légitimité de ces arrangements et sont divisés sur la suite des choses.

En vertu de l’Accord de coopération et de commerce ENTRE l’UE et le Royaume-Uni (TCA), qui a été approuvé par les négociateurs le 24 décembre 2020 et provisoirement applicable depuis le 1er janvier 2021, la transmission de données personnelles de l’UE au Royaume-Uni « ne doit pas être considérée comme un transfert vers un pays tiers en vertu du droit de l’Union ».

En ce qui concerne les transferts de données personnelles de l’UE vers le Royaume-Uni, le Royaume-Uni sera essentiellement traité, pour une durée apparemment limitée et sous réserve de certaines conditions, comme s’il était encore un État membre.

Ces conditions comprennent que le Royaume-Uni n’exerce pas certains « pouvoirs désignés », tels que ceux accordés en vertu du Règlement de sortie de l’UE qui permettent aux ministres britanniques de déterminer ou de révoquer les décisions relatives à l’adéquation des données par l’utilisation d’un instrument législatif, ce qui rait automatiquement mettre fin à la période spécifiée si elle était utilisée sans l’accord de l’UE.

Dans un article publié pour la première fois par LexisNexis le 29 janvier 2020, le directeur du groupe de droit de la vie privée et de l’information de Fieldfisher, Eleonor Duhs, a écrit que la libre circulation continue des données était « particulièrement bienvenue », en particulier dans le contexte de recherches récentes qui « ont montré que le coût de la mise en place de mécanismes de transfert alternatifs aurait pu coûter 1,6 milliard de livres sterling aux entreprises britanniques ».

Elle a ajouté que « l’accord crée un mécanisme de transition » pour permettre la libre circulation des données jusqu’à ce que des décisions d’adéquation puissent être prises, ce qui détermine si un pays en dehors de l’UE offre un niveau adéquat de protection des données et donc si les données peuvent être partagées avec elle.

Sans cette suffisance, a-t-elle dit, « des charges supplémentaires substantielles de conformité se poseraient pour les entreprises de l’UE qui transfèrent des données au Royaume-Uni, à un moment où beaucoup peuvent mal se le permettre ».

Toutefois, selon un blogpost publié le 2 janvier par Douwe Korff – professeur émérite de droit international à l’Université métropolitaine de Londres, spécialisé dans les droits de l’homme et la protection des données – le caractère temporaire du statut essentiellement adéquat du Royaume-Uni en vertu de la TCA est une « fiction juridique », et le Parlement européen devrait supprimer l’article qui le permet au motif qu’il « sape fondamentalement » les lois sur la protection des données des blocs.

En effet, a-t-il dit, en vertu du Règlement général sur la protection des données ( GDPR), les données personnelles ne peuvent être transférées librement au-delà des frontières qu’entre les États membres ou entre les États membres vers un pays tiers qui a été jugé avoir un niveau « adéquat » de protection des données par la Commission européenne (CE).

Alors que les transferts de données personnelles peuvent encore avoir lieu vers des pays tiers non adéquats s’il existe des garanties appropriées, telles que les clauses contractuelles standard (CSC), M. Korff a déclaré: « Il n’existe pas d’autres types de transferts transfrontaliers de données personnelles conçus dans le droit de l’UE en matière de protection des données (ou dans les traités) « .

Selon Korff, l’article de la TCA en question, intitulé FINPROV.10A, « conduit un cheval et une charrette à travers cela en prétendant que (pour la période spécifiée et sous réserve des conditions spécifiées) les transferts de données personnelles vers le Royaume-Uni ne sont pas des « transferts vers un pays tiers ».

« Il le fait sans aucune évaluation réelle du régime britannique de protection des données tel qu’il s’appliquera à partir du 1er janvier 2021, et sans suivre le processus de décision d’adéquation », a-t-il ajouté.

Il convient de noter qu’en juillet 2020, une décision historique de la Cour de justice de l’Union européenne (CJUE) qui a annulé l’accord de partage de données entre les États-Unis et l’UE a également jeté le doute sur la légalité de l’utilisation des CSC comme base pour les transferts internationaux de données.

Elle a constaté que, bien qu’elles soient légalement valides, les entreprises ont toujours la responsabilité de veiller à ce que celles qu’elles partagent les données avec des protections de la vie privée équivalentes à celles contenues dans le droit de l’UNION.

Selon Max Schrems, le fondateur de noyb.eu, qui a déposé la plainte initiale contre Facebook en 2013 qui a conduit à la décision de la CJUE (familièrement connue sous le nom de Schrems II), il existe un conflit juridique entre ce que dit le GDPR et le traité.

« Nous ne savons pas exactement comment cela doit être interprété et nous examinons actuellement plus en profondeur la question. En réalité, les délais sont si courts que tout litige prendrait de toute façon plus de temps que d’attendre que ces dispositions expirent », a-t-il déclaré.

L’adéquation sera-t-elle accordée?

Tweetant le 24 décembre après l’accord de la TCA, le secrétaire britannique au Numérique Oliver Dowden a écrit: « Nous sommes d’accordd de poursuivre la libre circulation des données entre l’UE/EEE/AELE et le Royaume-Uni pendant que l’UE termine son processus d’approbation des décisions relatives à l’adéquation. Cet arrangement sera limité dans le temps. Le Royaume-Uni aura une autonomie totale sur ses règles de données à partir du 1er janvier. »

Toutefois, selon Korff, les conditions du traitement spécial du Royaume-Uni ne répondent absolument pas aux  » lacunes existantes  » de son régime de protection des données – telles que la divergence entre la définition des données personnelles dans le GDPR et la loi britannique de 2017 sur l’économie numérique – et ignorent la surveillance de masse qu’il a été prouvé qu’elle effectue, ce qui a été fait « selon des règles juridiques qui manifestement ne répondent pas aux conditions fixées par la Cour de justice de l’UE dans l’affaire Schrems II et dans les règles de l’EDPB [European Board of Data Protection’s] garanties essentielles européennes pour la surveillance ».

Par conséquent, bien qu’il existe une forte hypothèse selon laquelle l’adéquation sera accordée à la fois dans le texte de la FINPROV.10A et dans la déclaration de Dowden, Korff estime que « le Royaume-Uni ne peut pas et ne devrait pas obtenir une décision d’adéquation positive à moins que » les questions susmentionnées, entre autres, ne soient traitées.

« Pour les prochains mois, mais peut-être pour beaucoup plus longtemps, le TCA passe effectivement le processus GDPR tout à fait, avec un résultat qui met le Royaume-Uni dans une meilleure position que d’autres pays considérés pour adéquation, en ce que les activités de surveillance du Royaume-Uni – contrairement à ceux d’autres pays tiers, y compris les États-Unis – sont laissés commodément hors de considération, at-il dit.

« Le Royaume-Uni devra choisir : soit il met sa loi et ses pratiques en conformité avec les normes minimales européennes… [so it] peut alors bénéficier d’échanges de données gratuits avec l’UE, ou elle devra faire face et accepter les conséquences négatives de ne pas fournir une protection « essentiellement équivalente » aux données personnelles telles qu’elles sont garanties dans l’UE », a-t-il ajouté.

M. Duhs a toutefois déclaré qu’il n’y avait aucune suggestion que le Royaume-Uni pourrait avoir l’intention d’abaisser ses normes de protection des données, soulignant la déclaration de la TCA selon laquelle le Royaume-Uni et l’UE « affirment leur engagement à assurer un niveau élevé de protection des données personnelles » et leur volonté de « travailler ensemble pour promouvoir des normes internationales élevées ».

Elle a ajouté qu’en tant qu’État membre sortant, laisser entendre que le Royaume-Uni n’est pas adéquat placerait la barre pour l’adéquation des données « incroyablement élevée ».

« Cela pourrait créer d’importantes difficultés pour l’UE à conférer de nouvelles décisions d’adéquation (par exemple, à la Corée du Sud ou à des entreprises américaines certifiées dans le cadre de tout remplacement du Bouclier de protection de la vie privée). Cela pourrait également s’avérer un obstacle à la poursuite des décisions existantes en matière d’adéquation », a-t-elle déclaré.

« Le fardeau du transfert de données vers des pays tiers en l’absence d’une décision d’adéquation s’est accru à la suite de l’affaire Schrems II. Par exemple, les études d’impact sur les transferts exigent des entreprises qu’elles procèdent à des « mini-évaluations d’adéquation » des pays vers lesquels les données sont transférées, en utilisant les mêmes critères que la Commission européenne lorsqu’elles confèrent des décisions d’adéquation.

« Il s’agit de considérations complexes et particulièrement difficiles pour les PME [small and medium-sized enterprises] pour se conformer à. L’adéquation pour le Royaume-Uni signifie que ce travail n’a pas à être fait.

Le conseil de partenariat

Alors que l’article de la TCA ne s’applique qu’à « la période spécifiée », qui se termine soit à la date de l’octroi de l’adéquation par l’UE, soit quatre à six mois après le 1er janvier (selon la première heure), M. Korff a déclaré qu’il pouvait être « prolongé par l’UE et le Royaume-Uni à volonté », ce qui a essentiellement mis le problème en travers de la route.

En effet, d’autres dispositions de la TCA établissent un Conseil de partenariat, qui sera composé de coprésidents de l’UE et du Royaume-Uni et prendra ses décisions, selon la TCA, « par consentement mutuel ».

La TCA a ajouté que chaque partie « peut décider de la publication des décisions et recommandations du Conseil de partenariat » dans leurs journaux officiels respectifs ou en ligne.

« En d’autres termes, tout ce qui se situe dans l’Accord de commerce et de coopération, y compris la « période spécifiée » pour l’application de l’article FINPROV.10A, peut être modifié par accord entre les parties… Et toute décision de ce genre peut se faire sur la base d’informations secrètes (si l’UE ou le Royaume-Uni l’exige) – et peut même être tenue non publiée », a déclaré M. Korff.

« Bien sûr, le processus de prise de décision au Conseil de partenariat est loin d’être le processus d’adoption d’une décision d’adéquation dans le cadre du GDPR. L’EDPB n’aurait pas à se prononcer sur une telle décision, et ni le Royaume-Uni ni le Parlement européen n’auraient à être consultés. »

Dans le cadre législatif actuel de l’UE, l’adoption d’une décision d’adéquation nécessite la participation de plusieurs organes.

Il s’agit notamment d’une proposition initiale de la CE, qui est ensuite examinée par l’EDPB et votée par une commission de représentants des États membres, beforevenir aux CE pour approbation finale.

À tout moment, le Parlement européen ou le Conseil européen peuvent demander aux CE de maintenir, de modifier ou de retirer la décision d’adéquation si elles décident qu’elle dépasse les pouvoirs d’exécution des CE.

M. Korff a ajouté qu’il est peu probable qu’une décision de prolonger la période soit gardée secrète, car « une telle décision devrait être rendue publique pour que les entreprises et les autorités publiques s’y fient », il y a de fortes chances que « le Royaume-Uni présente à l’UE des informations ‘confidentielles’ pour persuader ces derniers de prolonger la période. , par exemple parce que ne pas le faire nuirait à la sécurité nationale du Royaume-Uni et de l’UE ».

M. Duhs a toutefois soutenu que ce sera toujours la procédure à suivre, écrivant que le Conseil de partenariat « est en mesure de faire des recommandations aux parties concernant le transfert de données personnelles dans les domaines couverts par l’Accord de commerce et de coopération, ou tout accord complémentaire », et que cette disposition « permet potentiellement de traiter les difficultés avant qu’elles ne causent des perturbations ».

Elle a ajouté que, bien que cela ait également le potentiel de provoquer des tensions entre l’évaluation de l’adéquation de la CJUE et l’approche du Conseil de partenariat, cela atténue le risque de perte d’adéquation.

« Cela pourrait aider à fournir une solution politique dans le cas où la CJUE invalide la décision d’adéquation du Royaume-Uni, dit-elle.



Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending