Brexit et transferts de données personnelles, quel avenir pour les décisions d'adéquation visant le Royaume-Uni ?

Une question fondamentale liée à ce retrait était celle du transfert des données vers le Royaume-Uni. Pour démontrer un niveau de protection adéquat de ces transferts, la Commission européenne a adopté le 28 juin 2021 deux décisions d'adéquation vis-à-vis du Royaume-Uni avec la présence inédite d'une clause d'extinction. Prudence justifiée notamment par la récente stratégie nationale en matière de données du DCMS. Cette jugée flexible pourrait conduire à révoquer ces décisions d'adéquation.

> Quelques éléments de contexte

C'est près de 5 ans suite au référendum du Brexit que le Royaume-Uni s'est officiellement retiré de l'Union Européenne, le 31 janvier 2020. En vertu de l'accord de retrait, dont la complexe négociation explique en partie la longueur du processus, le droit de l'Union européenne est resté applicable au Royaume-Uni jusqu'au 31 décembre 2020.

Une question fondamentale liée à ce retrait était celle du transfert des données vers le Royaume-Uni. En effet, le Royaume-Uni reste une place de marché centrale dans le cadre de l’économie digitale et du flux mondial des données.  Il est considéré, depuis le 30 juin 2021 comme un pays tiers à l’Union européenne dans le cadre des transferts à destination de son territoire. Or, rappelons que si les données peuvent circuler librement entre les différents pays membres de l'Union européenne, de tels transferts sont soumis aux règles énumérées au chapitre V du RGPD lorsque le pays de destination est un pays tiers à l'UE. 

> Implications juridiques d’une décision d’adéquation

Pour résumer les règles entourant les transferts vers les pays tiers, le RGPD dispose, dans son article 45, qu’un transfert de données à caractère personnel à destination d’un pays tiers ne sera valide que si le pays tiers en question assure un niveau de protection des données adéquat. Pour démontrer un tel niveau de protection, la Commission européenne peut émettre une décision d’adéquation par laquelle elle estime que la législation interne et les engagements internationaux d’un pays tiers sont suffisants pour que le transfert de données vers ce pays soit autorisé par principe, sans la mise en place de garanties supplémentaires exigées pour les pays ne disposant pas de telles décisions d’adéquation.

> Les décisions d’adéquations et récents développements

La Commission européenne a adopté le 28 juin 2021 deux décisions d'adéquation vis-à-vis du Royaume-Uni : l'une au titre du RGPD, et l'autre au titre de la directive en matière de protection des données dans le domaine répressif.

Ces décisions sont loin de constituer une surprise. Le Royaume-Uni a tout fait pour préparer un retrait de l’Union Européenne qui ne poserait pas d’obstacle au transfert des données vers son territoire. C’est ainsi que dès 2018 le gouvernement britannique a promulgué une loi prévoyant la persistance de mesures législatives européennes directement applicables dans le droit britannique. Il s’agit ainsi d’un “droit de l’Union conservée”, auquel aucune modification n’a été apportée, qui inclut notamment l’intégralité du RGPD, y compris ses considérants. Au-delà de l’identité textuelle, les dispositions du droit de l’Union conservé seront interprétées conformément à la jurisprudence pertinente de la CJUE, et aux principes généraux du droit de l’Union. Au vu de cette configuration, la Commission a donc décidé d’octroyer les décisions d’adéquations susmentionnées.

Remarquons cependant que, pour la première fois, les décisions d’adéquation visant le Royaume-Uni intègrent une clause d’extinction (“sunset clause”), qui limite explicitement à 4 ans la validité des décisions prises ce 28 juin 2021.

La présence inédite d’une clause d’extinction montre la prudence témoignée des institutions européennes sur la question du cadre juridique de protection des données au Royaume-Uni, et la prise en compte de la possibilité d’une potentielle divergence avec les règles du RGPD. Une prudence justifiée, car certaines réflexions émergent déjà, suite au Brexit, concernant l’assouplissement des réglementations entourant les données afin de faciliter leur utilisation commerciale. En particulier, la récente stratégie nationale en matière de données du DCMS cherche à mobiliser l’entier potentiel des données, et à “débloquer leur valeur” afin d'améliorer l'innovation et la croissance.

Plus spécifiquement, la consultation qui vient de s’ouvrir au Royaume-Uni semble montrer les premières étapes concrètes d’une divergence entre la réglementation britannique entourant les traitements de données à caractère personnel et le RGPD. L’objectif affiché est de permettre à la Grande Bretagne d’être plus agile dans le domaine des données, en simplifiant les règles et en les rendant moins restrictives. En effet, une revisite de l’intérêt légitime comme base légale de traitement est proposée dans le texte de la consultation. Afin d’éviter l’approche au cas par cas adoptée par le RGPD, considérée comme trop floue pour en faire une base juridique solide, la nouvelle réglementation britannique listerait explicitement les cas dans lesquels les entreprises pourraient mobiliser l’intérêt légitime dans le cadre de leurs activités. Cette liste comprend notamment les traitements nécessaires pour monitorer, détecter et corriger les biais de l'Intelligence Artificielle (IA). Le consentement des personnes concernées ne sera donc plus nécessaire pour un nombre non négligeable de traitements liés à l’IA, ce qui représente une prise de liberté conséquente par rapport aux standards établis par le RGPD.

De même, la direction choisie en matière de cookies par le gouvernement dans le cadre de la consultation est celle d’un assouplissement marqué des demandes de consentement. Oliver Dowden, le Ministre chargé des affaires Numérique, a expliqué que le gouvernement souhaitait faire disparaître les fenêtres demandant l’accord des internautes afin de déposer des cookies. Le ministre a affirmé que le consentement devait rester obligatoire pour certains traceurs publicitaires posant des « risques élevés » en matière de protection des données mais que la plupart étaient « inutiles ».

Une approche bien plus flexible des règles entourant les traitements de données à caractère personnel qui devra toutefois être soigneusement mise en balance avec l’adéquation des réglementations par rapport aux standards européens, au risque de se voir révoquer les décisions d’adéquation facilitant les transferts vers le Royaume-Uni.