Connect with us

Technologie

Le futur partage de données entre le Royaume-Uni et l’UE mis en péril par la législation sur le Brexit

Published

on


Les pouvoirs accordés aux ministres britanniques en vertu du règlement sur la sortie de l’UE leur permettent de déterminer ou de révoquer les décisions relatives à l’adéquation des données sans grand contrôle parlementaire, et pourraient compromettre la capacité du Royaume-Uni à partager des données avec l’Europe, ont déclaré des experts à Computer Weekly.

Alors que les négociations du Royaume-Uni avec l’UE continuent d’être embourbées dans des désaccords, les inquiétudes s’intensifient quant à la capacité d’échanger librement des données entre les deux pays, ce qui repose sur la capacité du gouvernement britannique à obtenir une décision de l’UE en matière d’adéquation des données.

Sans une telle décision, les entreprises britanniques pourraient rencontrer des difficultés à échanger des données avec leurs filiales de l’UE, ou avec leurs clients et leurs fournisseurs. Les experts craignent que la législation britannique, si elle est utilisée, pourrait saper les perspectives d’une telle décision.

Introduit en février 2019, le règlement de sortie de l’UE transfère les pouvoirs décisionnels de la Commission européenne (CE) aux ministres britanniques qui, grâce à l’utilisation d’un instrument législatif, pourront éviter tout examen sérieux de la part du Parlement.

C’est parce que l’instrument (un outil de création de législation secondaire) est soumis à la « procédure de résolution négative », ce qui signifie qu’une fois qu’il est signé par le ministre compétent, il devient loi à moins qu’il ne soit activement annulé par le Parlement dans les 40 jours.

Bien que n’importe quel député puisse déposer une motion d’annulation (appelée « prière ») au cours de cette période, le gouvernement n’est pas tenu d’en débattre à la Chambre des communes et, selon l’Institut pour le gouvernement, alors que « la procédure négative donne au Parlement un droit de veto théorique sur la législation secondaire, en réalité ce pouvoir est rarement utilisé ».

Il a ajouté : « La dernière fois que la Chambre des communes a prié contre une loi secondaire, c’était en 1979, alors que les Lords n’ont pas rejeté un instrument négatif depuis 2000. »

Le règlement stipule que le secrétaire d’État doit suivre l’évolution de la compétence de l’adéquation « sur une base continue », et qu’un examen doit être effectué « à des intervalles d’au plus quatre ans ».

En revanche, dans le cadre législatif actuel de l’UE, l’adoption d’une décision d’adéquation – qui détermine si un pays en dehors de l’UE offre un niveau adéquat de protection des données et, par conséquent, si les données peuvent être partagées avec elle – nécessite l’apport de plusieurs organismes.

Il s’agit notamment d’une proposition initiale de la CE, qui est ensuite examinée par le Conseil européen de la protection des données et votée par un comité de représentants des États membres, avant de retourner à la CE pour approbation finale.

À tout moment, le Parlement européen ou le Conseil peuvent demander aux CE de maintenir, de modifier ou de retirer la décision d’adéquation si elles décident qu’elle dépasse les pouvoirs d’exécution de la CE.

Manque de responsabilisation

Selon Nick Dearden, directeur de Global Justice Now (GJN), alors que le gouvernement prend des pouvoirs précédemment investis dans l’UE, « ils ne traduisent pas du tout les mécanismes démocratiques ou de responsabilisation ».

« Je trouve tout simplement absolument extraordinaire, étant donné que l’un des arguments au sujet de l’UE était à quel point elle était antidémocratique, que nous nous trouvions dans une situation où les ministres du gouvernement sont capables de prendre des pouvoirs étendus qui n’auraient pas été possibles dans l’UE », a déclaré M. Dearden à Computer Weekly.

« De toute évidence, nous avons un gouvernement ici qui ne s’intéresse pas du tout à la responsabilité démocratique. Ce serait un énorme problème dans le meilleur des cas, mais c’est particulièrement un problème à un moment où nous transférons des pouvoirs d’un endroit à l’autre, c’est-à-dire dans leurs mains, parce que ce que cela signifie, c’est qu’ils construisent tout un système qui est antidémocratique, et nous n’avons tout simplement pas les freins et contrepoids là pour les maîtriser en ce moment.

Le Règlement sur les sorties donne également aux ministres le pouvoir de créer de nouvelles clauses contractuelles normalisées (CSC) qu’ils considèrent comme un niveau approprié de protection des données, qui pourrait également servir de base juridique pour les transferts de données à des juridictions ou entités non adéquates.

En juillet, une décision historique de la Cour de justice de l’Union européenne (CJUE) qui a annulé l’accord de partage de données entre les États-Unis et l’UE a également mis en doute la légalité de l’utilisation des CSC comme base pour les transferts internationaux de données, estimant que, bien qu’elles soient juridiquement valides, les entreprises ont toujours la responsabilité de veiller à ce que ceux qu’elles partagent les données avec des protections de la vie privée accordées équivalentes à celles contenues dans le droit de l’UE.

Alors que divers organismes européens de réglementation de la protection des données et de la protection de la vie privée sont en train de décider à quoi ressembleraient les CSC appropriés à la suite de la décision de la CJUE (familièrement connue sous le nom de Schrems II d’après l’avocat autrichien qui a lancé l’affaire), la mêmeve procédure de résolution s’appliquerait aux ministres britanniques lors de la création de leurs propres CSC, ce qui signifie qu’ils pourraient potentiellement créer leurs propres normes, encore une fois sans un examen parlementaire approprié.

S’adressant à Computer Weekly, Javier Ruiz Diaz, un consultant indépendant en politique numérique qui a déjà travaillé en tant que directeur de la politique et de la campagne de l’Open Rights Group, a déclaré que le transfert du pouvoir de Bruxelles à Westminster n’est « pas un transfert à données non-like », parce que malgré les critiques valables que beaucoup ont de la bureaucratie de l’UE, les freins et contrepoids en place tendent à favoriser des niveaux plus élevés d’engagement dans le processus.

« D’une part, ce modèle est détaché des citoyens ordinaires, mais d’autre part, à cause de ce détachement, ils [more] processus officiels d’engagement que vous avez au Royaume-Uni », a déclaré Ruiz Diaz, ajoutant qu’il ya des préoccupations que le Royaume-Uni est plus intéressé à prioriser les flux de données et le commerce sur la protection des données.

« D’après tout ce que nous savons du gouvernement, ils veulent vraiment avoir ce nouveau Royaume-Uni de pointe, algorithmique, IA, axé sur les données », a-t-il dit.

Dans sa stratégie nationale sur les données récemment publiée, le gouvernement s’est engagé à éliminer les « risques juridiques et sécuritaires réels et perçus du partage des données », qui, selon lui, contribueraient à « une transformation radicale de la façon dont le gouvernement comprend et débloque la valeur de ses propres données ».

Selon les rapports de l’article de Le Gardien, des sources de l’UE ont déclaré que la stratégie de données avait exacerbé les préoccupations existantes concernant l’approche du Royaume-Uni à la fin de la période de transition.

« Nous faciliterons également les flux transfrontaliers de données en éliminant les obstacles inutiles aux transferts internationaux de données qui favorisent la croissance et l’innovation », a déclaré un document de consultation accompagnant la stratégie de données, qui demande également aux répondants quels pays sont prioritaires pour les futurs arrangements d’adéquation des données au Royaume-Uni.

Faisant écho à Ruiz Diaz, M. Dearden a déclaré : « Il y a une inquiétude particulière en matière de protection des données parce que nous savons que c’est un domaine que le gouvernement britannique veut aller de l’avant, ce qui pourrait édulcorer les normes. »

Possibilités divergentes

Bien que les ministres aient la possibilité de prendre de nouvelles décisions d’adéquation ou de SCC, cela rendrait plus difficile d’être jugé adéquat par l’UE elle-même.

Phil Lee, associé du groupe d’information, de protection de la vie privée, de sécurité et d’information du cabinet d’avocats Fieldfisher, a déclaré à Computer Weekly qu’après la fin de la période de transition, le Royaume-Uni ne sera plus soumis au droit de l’UE, et une fois que le Règlement général sur la protection des données (GDPR) sera copié dans les livres de lois du Royaume-Uni, c’est au gouvernement de savoir comment il se développera à partir de là.

« Parce que nous serons souverains, nous pouvons choisir les pays sur lesquels nous voulons accorder l’adéquation », a-t-il dit. « our ces raisons, nous pourrions choisir d’accorder des adéquations à des pays totalement différents de ceux que l’UE a reconnus comme adéquats.

« Ais si nous le faisons, cela aura inévitablement un impact sur notre position auprès de l’UE et sur la question de savoir si l’UE nous considère comme sûrs de recevoir des données de l’UE, parce que la préoccupation serait que vous puissiez simplement transférer des données au Royaume-Uni, puis les transférer du Royaume-Uni vers des pays que le Royaume-Uni considérerait comme adéquats, mais l’UE ne le fait pas »

Bien qu’il soit déjà incertain si le Royaume-Uni sera jugé adéquat par l’UE, en grande partie en raison de ses lois de surveillance intrusives, telles que la Loi sur les pouvoirs d’enquête et l’adhésion à l’Alliance des cinq yeux, Ruiz Diaz a déclaré qu’il entendait des préoccupations que certains au gouvernement « se rendent compte que l’adéquation européenne de l’UE ne peut pas en valoir la peine de leur point de vue ».

Il a ajouté : « Si vous lisez entre les lignes sur les ambitions déclarées du gouvernement en matière de données, une grande partie n’est pas compatible avec une décision d’adéquation. »

M. Dearden, de GJN, a ajouté que le maintien des mêmes normes du GDPR, et donc l’adéquation avec l’UE, « est quelque chose qu’ils vont potentiellement faire des compromis afin d’obtenir un accord commercial américain, ou un accord commercial avec divers autres pays ».

« Ela rendra plus difficile pour nous de commercer avec l’UE, mais autant que je puisse voir, c’est la voie qu’ils sont les plus susceptibles de suivre », a-t-il dit. « Pour eux, l’objectif de sortir de l’UE était de sortir des normes et des protections qui ont été négociées au fil des ans par ce bloc.

« La norme que le gouvernement britannique étudie est une norme qui profite au secteur privé des grandes technologies – et il est prêt à renoncer à la relation avec l’UE et les réseaux commerciaux qui se sont construits au fil du temps pour obtenir cela. »

Se référant aux documents commerciaux américano-britanniques divulgués en novembre 2019, Ruiz Diaz a déclaré : « Les États-Unis espèrent très ouvertement utiliser le Royaume-Uni pour affaiblir la protection des données européennes. » Il a ajouté que tout cela devrait être pris en considération dans le contexte d’une « Bataille géopolitique sur l’économie numérique mondiale  » entre les modèles réglementaires de l’Europe, des Etats-Unis et de la Chine.

Mais il a également déclaré que l’UE et le Royaume-Uni étaient essentiellement enfermés dans un jeu de poulet réglementaire, une situation de « qui se déplace en premier ».

« Dites que le Royaume-Uni obtient lui-même l’adéquation – et c’est un grand si à l’heure actuelle – qui lierait les mains du gouvernement britannique en termes de ce qu’il pourrait faire, » a dit Ruiz Diaz, tout en convenant également avec Lee que si le R-U commence à prendre des décisions d’adéquation ailleurs, il lierait les mains de l’UE aussi.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance