Connect with us

Technologie

Le bouclier post-vie privée, quelle chance pour un accord sur l’adéquation des données du Brexit ?

Published

on


La décision rendue le 16 juillet 2020 par la Cour de justice de l’Union européenne (CJUE) selon laquelle le Bouclier de protection de la vie privée – le mécanisme juridique qui permet à des centaines de milliers d’organisations basées aux États-Unis de transférer des données à l’entrée et à l’extérieur de l’Europe – est invalide, a d’énormes répercussions sur l’industrie technologique et pour le commerce transatlantique plus large.

Toutefois, alors que le Royaume-Uni sort maintenant de l’Union européenne (UE), la décision crée également un précédent pour le Brexit, avec des ramifications majeures pour les organisations basées au Royaume-Uni qui transfèrent actuellement des données à travers la Manche après la fin de la période de transition.

Mark Kahn, avocat général et vice-président de la politique chez Segment, un fournisseur de services de plate-forme de données, a déclaré: « Lorsque la CJUE a statué sur le bouclier de protection de la vie privée la semaine dernière, il a invalidé un accord-cadre entre deux partenaires commerciaux extrêmement importants.

« La décision a apporté peu de clarté sur l’avenir des transferts de données entre l’UE et les États-Unis, et bien que son impact n’ait pas encore été pleinement compris, nous pouvons certainement nous attendre à ce que les autorités chargées de la protection des données évaluent les accords contractuels au cas par cas à partir de maintenant. »

M. Kahn a déclaré qu’avec sa décision, la Cour a fait une déclaration forte en faveur des droits individuels de protection des données, et a indirectement posé un « défi intéressant » pour la future relation de données du Royaume-Uni avec l’UE.

« toute évaluation de l’adéquation des données du Royaume-Uni fait maintenant l’objet d’un examen plus approfondi, ce qui rend le libre transfert de données entre l’EEE [European Economic Area] et le Royaume-Uni loin d’être certain après la période de transition du Brexit », a-t-il déclaré.

Bridget Treacy, associée en protection des données chez Hunton Andrews Kurth LLP, un cabinet d’avocats basé à Londres, a déclaré : « Il y a évidemment eu un examen très approfondi des pouvoirs des agences américaines et des services de renseignement pour réquisitionner l’information et y avoir accès, comme dans tous les autres pays qui l’ont fait sur la liste européenne adéquate.

« Le Royaume-Uni va également faire l’objet de cet examen. Ainsi, une fois que nous serons en dehors de l’UE et que nous demanderons la reconnaissance de l’adéquation de la Commission européenne, nous pouvons nous attendre à ce que notre législation fasse également l’objet d’un examen, tout comme les États-Unis l’ont été et, en fait, comme d’autres pays sur la liste adéquate l’auront été aussi.

« C’est là qu’il y a de l’incertitude, et vous savez qu’il y aura un examen minutieux et qu’il y aura probablement des questions soulevées. Je ne pense pas que ce soit une voie simple pour le Royaume-Uni de passer ce test et d’être désigné comme adéquat.

Lois sur la surveillance

Comme Computer Weekly l’a rapporté la semaine dernière, Kahn et Treacy ne sont pas seuls dans cette évaluation. Daniel Tozer, responsable des données et de la technologie au cabinet d’avocats Harbottle – Lewis, a également déclaré que le jugement soulevait des questions sur la capacité des organisations à déplacer facilement les données entre l’UE et le Royaume-Uni, en particulier compte tenu de l’état des lois de surveillance du Royaume-Uni et de son appartenance à Five Eyes, l’alliance anglophone de partage du renseignement qui comprend également l’Australie, le Canada, la Nouvelle-Zélande et les États-Unis.

Le directeur exécutif d’Open Rights Group, Jim Killock, a quant à lui déclaré qu’il était inévitable que le régime de surveillance du Royaume-Uni soit désormais remis en question à la suite du jugement, parce que l’Europe avait clairement indiqué qu’elle avait rejeté le bouclier de protection de la vie privée précisément en raison de problèmes de surveillance.

M. Treacy a déclaré qu’avant que le Royaume-Uni ne quitte l’UE, la sécurité nationale et la surveillance n’étaient pas un domaine qui releçait la compétence de l’UE, mais qui changerait clairement après la fin de la période de transition du Brexit.

« Une fois que nous avons quitté l’UE, ces lois font l’objet d’un examen et d’une évaluation, comme nous l’avons vu avec les États-Unis dans le contexte du Bouclier de protection de la vie privée », a-t-elle déclaré. « C’est quelque chose qui a déjà été signalé comme un obstacle potentiel pour le Royaume-Uni dans le contexte d’une évaluation de l’adéquation.

« C’est intéressant aussi, avec certains des commentaires qui ont été faits sur le jugement, en pensant à ceux-ci et au contexte plus large parce que, bien sûr, les États-Unis et le Royaume-Uni sont membres du cadre five eyes et deux autres pays qui ont été évalués comme adéquats sont la Nouvelle-Zélande et le Canada. Il sera intéressant de voir si, en fait, cela est ensuite rouvert et si l’un de ces pays fait l’objet d’un examen plus approfondi.

Il pourrait également être considéré comme quelque chose d’une ironie que l’UE n’a pas son mot à dire sur les lois de surveillance que ses membres promulguent, de sorte qu’il peut y avoir des pays dans l’UE qui ont des lois de surveillance beaucoup plus strictes que le Royaume-Uni, ouvrant la possibilité que, techniquement, les données des citoyens de l’UE pourraient être plus sûrs détenus au Royaume-Uni que dans un État membre qui avait , par exemple, a adopté une législation sur la surveillance déloyale ou a compromis l’indépendance de son système judiciaire.

Au-delà du GDPR

Treacy a noté que le Royaume-Uni visait clairement à être évalué comme une compétence du point de vue de la protection des données, et cela pourrait être vu dans certaines des décisions stratégiques prises en ce qui concerne la loi de 2018 sur la protection des données, qui va au-delà de ce qui est exigé par le Règlement général sur la protection des données (GDPR) seul.

« Nous avons cherché à avoir ici une législation très cohérente et en fait, à certains égards, plus étendue sur la protection des données que dans l’UE, et c’est évidemment chose faite en vue d’aider cette évaluation de l’adéquation », a-t-elle déclaré.

« n point important à noter est que ce jugement va faire partie de la législation britannique, nous allons donc continuer à en prendre note, et nous devrons nous conformer à ce qu’il exige même après avoir quitté l’UE, parce qu’il fera partie de notre droit »

Treacy a fait valoir que, compte tenu de ces facteurs, ainsi que d’autres tels que l’indépendance du système juridique du Royaume-Uni et de ses régulateurs de la protection des données, et le fait que les individus ont des droits et l’accès à des recours juridiques, le Royaume-Uni coche beaucoup de cases.

« La grande inconnue est de savoir comment nos lois sur la surveillance seraient évaluées », a-t-elle dit. « En fin de compte – et vous le voyez aussi avec les négociations sur le bouclier de protection de la vie privée – ce n’est pas seulement une évaluation purement objective – il y aura d’autres facteurs qui seront discutés et pris en compte aussi, et il n’est pas toujours clair exactement ce qu’ils sont. »

Que faire ensuite

Alors que nous attendons un résultat de toute façon, il est raisonnable pour les organisations de se préparer à la décision éventuelle sur l’adéquation des données pour aller à l’encontre du Royaume-Uni, et Le président de Segment Kahn a déclaré qu’il vaut la peine d’examiner cela aujourd’hui.

« Les récentes déclarations de l’OIC confirment que les entreprises britanniques peuvent continuer à s’appuyer sur le bouclier de protection de la vie privée pour l’instant – une indication claire que le Royaume-Uni souhaite se démarquer de l’UE dans son approche », a-t-il déclaré. « En plus, cela signifie que les entreprises britanniques peuvent probablement s’attendre à une voie plus simple vers les transferts de données transatlantiques après la période de transition. Avec l’UE, cependant, les choses sont devenues beaucoup plus compliquées.

« Quel que soit le résultat pour le Royaume-Uni, la décision de la CJUE indique clairement que les entreprises doivent savoir exactement quelles données elles ont, d’où elles proviennent et comment elles circulent dans leurs systèmes et services. Faire le strict minimum pour respecter le droit à la vie privée ne suffit plus au niveau éthique – et à une époque d’incertitude réglementaire, c’est aussi une mesure imprudente en termes de conformité future.

Il y a plusieurs choses que les organisations basées au Royaume-Uni peuvent faire tout de suite pour se mettre dans la meilleure position possible à l’avenir, a déclaré Hannah Ife, associée chez JMW Solicitors. La première étape consiste à examiner les flux de données à caractère personnel entrant et à sortir de l’EEE, à identifier les mécanismes clés sur lesquels s’appuient le transfert de données à caractère personnel, en accordant une attention particulière aux clauses contractuelles standard (CSC), qui pourraient devoir être révisées si l’UE en publiait de nouvelles.

Les multinationales devraient réfléchir à la façon dont elles utilisent les règles d’entreprise contraignantes actuelles approuvées par l’EEE pour les transferts à l’intérieur et à l’extérieur du Royaume-Uni, et les mettre à jour pour refléter le nouveau statut du Royaume-Uni en tant que pays tiers.

Ife a également conseillé la mise à jour de la documentation et des avis de confidentialité pour couvrir les transferts de données entre le Royaume-Uni et l’EEE en vertu des règlements d’adéquation du Royaume-Uni, et si vous transférez également des données des États-Unis, pour vérifier que celui que vous transférez des données à là a fait les mises à jour requises à leur engagement de se conformer au bouclier de confidentialité.

Les contrôleurs de données basés au Royaume-Uni qui n’ont pas de bureaux dans l’EEE mais transfèrent des données sur les citoyens européens devraient également envisager de nommer un représentant européen local en vertu de l’article 27 du RGDPR – et l’inverse est vrai pour les contrôleurs européens qui transfèrent des données sur les citoyens britanniques.

Enfin, a déclaré l’Ife, les organisations devront examiner les avis de confidentialité, les évaluations d’impact sur la protection des données (DPIA) et d’autres documents pour inclure des références actualisées au droit de l’UE, aux transferts de données entre le Royaume-Uni et l’UE, et ainsi de suite.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending