Quels impacts pratiques d’un hard Brexit sur la gestion des données personnelles ?

Le 29 mars 2019, date officielle de sortie du Royaume Uni de l’Union Européenne (UE), approche et fatalement les hypothèses d’un "hard Brexit", tout autant que d’un report du Brexit, sont envisagées. En sortant de l’Union, le Royaume-Uni devient un pays tiers et se pose alors la question des transferts de données personnelles.

A la mi-janvier, la Première Ministre Britannique a soumis au vote du Parlement une proposition d’accord de divorce telle que convenue avec Bruxelles. Massivement rejetée, cette proposition fera l’objet d’une refonte pour être à nouveau soumise au Parlement le 12 mars prochain. En cas de second désaveu, la première ministre britannique devra alors envisager le scénario d’un "hard Brexit", sans disposition transitoire. En cas de sortie de l’Union Européenne sans accord, comment seront encadrés les flux de données personnelles ? Quels seront les impacts pratiques d’un hard Brexit sur les transferts de données personnelles outre Manche ? 

Le Royaume Uni offre-t-il un niveau de protection adéquat pour les transferts de données personnelles depuis l’UE ?

Tout transfert de données personnelles en dehors de l’Union doit faire l’objet d’un encadrement spécifique, dans le cas où le pays destinataire n’a pas été reconnu par la Commission européenne comme disposant d’un niveau de protection adéquat. Actuellement et dans la mesure où le Royaume-Uni fait toujours partie de l’Union, il n’a pas fait l’objet d’une telle décision d’adéquation. Pour autant, le Gouvernement Britannique a d’ores et déjà exprimé sa volonté de pousser la Commission européenne à reconnaître le Royaume-Uni comme possédant un niveau de protection adéquat. Ceci aurait pour effet d’assurer pour l’avenir la licéité des transferts depuis l’UE, sans qu’il soit nécessaire de procéder à d’autres formalités. 

Mais ne pourrait-on pas considérer que le Royaume-Uni possède nécessairement un niveau de protection adéquat, puisqu’il a adhéré à la Convention de Strasbourg du 28 janvier 1981[1]? Ce texte, aussi appelé Convention n°108, est le premier instrument international contraignant visant à protéger les données personnelles et réglementant les flux transfrontaliers des données. De plus, la Convention n°108 a été modernisé en 2018[2], afin de protéger davantage les individus en cas de traitement automatisé de leurs données personnelles. 

Etrangement, tant le Comité Européen de la Protection des Données que la CNIL ne semblent envisager cette hypothèse. Le Comité Européen de la Protection des Données a publié, le 12 février dernier, une note d’information[3] sur le sujet, dans laquelle il confirme que les outils alternatifs prévus par le RGPD en l’absence de décision d’adéquation seront la voie à suivre en cas de hard Brexit. Le régulateur Britannique ("Information Commissioner’s Office", ou "ICO") n’envisage pas non plus cette hypothèse d’adéquation tirée de l’adhésion du Royaume-Uni à cette Convention, mais cible plutôt les différents outils de transfert décrits par le RGPD.[4]  

Les outils alternatifs prévus par le RGPD en l’absence de décision d’adéquation
Le RGPD prévoit:
  • des clauses contractuelles types : ce sont des clauses contractuelles édictées par la Commission Européenne, que le responsable de traitement fait signer au destinataire des données hors de l’UE, bien sûr en s’assurant qu’elles soient respectées ; ou-         des clauses contractuelles ad hoc : ce sont des clauses rédigées au cas par cas par les responsables de traitement, qui doivent ensuite les faire valider par la CNIL, après avis du Comité européen de la protection des données ; 
  • des BCR ("binding corporate rules" ndlr) : c’est une politique globale de protection des données établissant des standards intra groupe. Les BCR sont d’usage dans les groupes internationaux ; 
  • les codes de conduites et les mécanismes de certifications : ils doivent également être validés par la CNIL, après avis du Comité européen de la protection des données. Ces outils sont nouveaux, ils ont été introduits par le RGPD et nécessitent encore d’être davantage définis par le Comité européen de la protection des données.

 La CNIL a pris soin de publier, le 20 février dernier, une note d’accompagnement décrivant les étapes pour se préparer à un no-deal Brexit et rappelant précisément ces outils de transfert. L’on regrette néanmoins l’absence de véritable approche pratico-pratique en matière de conseil quant à la sélection de ces outils.

Quel régime encadrera les transferts de données personnelles depuis le Royaume Uni et à destination de l’UE ?

La réciproque à ce raisonnement s’applique, à savoir que l’ICO[5] semble se positionner en faveur d’une utilisation des mécanismes d’adéquations issus du droit européen pour encadrer les transferts de données personnelles affluant vers le Royaume Uni. Ainsi, le Gouvernement Britannique devra adopter des décisions d’adéquation calquées sur les principes européens, et visant chaque Etat étranger. Sachant que les décisions d’adéquation rendues par la Commission européenne ne seront plus applicables outre Manche.

Enfin, pour ce qui est des flux de données personnelles en provenance des Etats Unis, les américains précisent que l’application du Privacy Shield sera écartée, au profit d’un régime ad hoc détaillé par leurs soins[6].

Il sera donc important de suivre l’évolution de cette thématique à l’approche du 29 mars prochain car il est de plus en plus probable que les entreprises doivent très rapidement mettre en œuvre elles-mêmes la documentation nécessaire à la poursuite de leurs relations avec le Royaume-Uni.

Frédérique Didout et Alexandre Diehl, avocats à la Cour