Le 23 juin 2016, le Royaume-Uni a voté sa sortie de l’Union Européenne par référendum. Et cette décision engendre de nombreuses questions liées au transfert et à la protection des données pour les entreprises européennes. Le Brexit change la donne en ce qui concerne la circulation des données à caractère personnel notamment. Quel sera l’impact de cette nouvelle dynamique ? Dans quelles conditions cela va-t-il se faire ? Comment les données seront-elles stockées en Angleterre, en Irlande, au Pays de Galle et en Écosse ? Quel sera le poids du nouveau règlement européen sur la protection des données ?
D’après l’article 50 du Traité sur l’Union Européenne, un État qui décide de quitter l’UE doit le notifier au Conseil européen. Cette notification fait ensuite l’objet d’une négociation pour définir les modalités du retrait. Dans une telle situation, les traités UE cessent « d’être applicables à l’État concerné à partir de la date d’entrée en vigueur de l’accord de retrait ou, à défaut, deux ans après la notification […] sauf si le Conseil européen, en accord avec l’État membre concerné, décide à l’unanimité de proroger ce délai ».
Requalifier les relations UE-Royaume-Uni
Les questions liées aux flux de données personnelles sont particulièrement délicates. Les négociations avec les États-Unis (Safe Harbor, Privacy Shield) le prouvent. A l’avenir, transférer des informations vers le Royaume-Uni signifiera que ces informations quitteront le cadre législatif européen. Compte tenu de ces changements, plusieurs scénarios sont envisageables pour les futures relations entre les pays européens et les sociétés, les data centers, les éditeurs de logiciels ou encore les fournisseurs de solutions Cloud britanniques.
Le Royaume-Uni peut décider de rester membre de l’EEE (Espace Économique Européen). Il sera alors soumis à un certain nombre de règles en ce qui concerne la protection des données, au même titre que d’autres pays comme la Norvège, l’Islande ou le Liechtenstein. Les pays de l’EEE ont transposé les dispositions de la directive 95/46/CE sur la protection des données dans leur législation nationale et assurent un niveau de protection suffisant.
Il est toutefois interdit de transférer des données à caractère personnel vers des pays en dehors de cet espace. Cette interdiction ne concerne pas les transferts vers les pays reconnus comme « adéquats » par la Commission européenne (Andorre, Canada, Argentine, Iles Féroé…). Le responsable du traitement transmettant des données vers un pays tiers doit offrir des garanties suffisantes au regard de l’utilisation qui sera faite des données par le destinataire, ainsi qu’au regard de l’exercice des droits des personnes concernées.
Le Royaume-Uni pourrait éventuellement choisir une autre voie en suivant l’exemple de la Suisse. Dans ce cas, il devra signer des accords bilatéraux avec l’Union et obtenir une décision d’adéquation de la Commission Européenne en vertu de laquelle il sera reconnu comme « pays à niveau de protection adéquat ». Dans ce cas, la future règlementation sur la protection des données (General Data Protection Regulation – GDPR), qui se substituera aux législations nationales des États membres en 2018, pourrait s’appliquer au Royaume-Uni.
Privacy Shield 2.0
Dans l’éventualité où le Royaume-Uni ne parvient pas à trouver un accord avec l’Union Européenne, il deviendra alors un pays tiers à l’UE. Il se verra alors appliquer les mêmes règles et restrictions en ce qui concerne le transfert de données au-delà des frontières de l’Europe que n’importe quel autre pays du globe. En dehors du cadre légal européen, des pays comme les États-Unis par exemple ne sont pas considérés comme étant sûrs pour le transfert et le stockage de données personnelles. L’UE exige un niveau de protection élevé lorsqu’il s’agit de transfert ou de stockage en dehors de ses frontières; un niveau équivalent à ce qu’elle garantit sur son territoire.
La commission européenne a adopté le Privacy Shield le 12 juillet dernier. Cet accord avec les États-Unis pourrait influencer le futur du Royaume-Uni. Ce nouveau dispositif doit permettre aux entreprises de collecter des données personnelles dans l’UE et de les transférer vers les États-Unis tout en protégeant les droits des personnes concernées. En fonction des modalités de son retrait, on pourrait envisager un accord similaire avec ce futur État tiers de l’UE.