(Article co-écrit avec Valerian Bonnard)
Le 23 juin 2016, une majorité d’électeurs britanniques a choisi de quitter l’Union Européenne. L’un des arguments majeurs des pro-Brexit est de soustraire le Royaume-Uni à la réglementation européenne. Bien que sur le plan juridique une séparation totale soit possible, en pratique, l’opération pourrait s’avérer complexe et avoir des conséquences dommageables pour l’économie britannique étroitement liée à celle de l’union Européenne.
L’entrée en vigueur du nouveau Règlement européen sur la protection des données personnelles pourrait bien en être l’illustration.
Persistance du droit de l’Union pendant la procédure de sortie
Un certain laps de temps devra s’écouler avant que l’accord de retrait ne soit effectif. Selon l’article 50 du Traité de Maastricht portant sur la procédure de retrait d’un Etat membre, les traités cesseront d’être applicables au Royaume-Uni à partir de la date d’entrée en vigueur de l’accord de retrait ou, à défaut, deux ans après la notification, soit d’ici juin 2018.
Dans une déclaration conjointe[1], les présidents du Parlement, du Conseil européen, du Conseil de l’Europe et de la Commission ont déjà invité le gouvernement britannique à entamer au plus vite les négociations sur les termes et conditions du retrait et rappellent que, jusqu’à la fin de ce processus de négociations, le Royaume-Uni restera un membre de l’Union européenne, avec tous les droits et obligations qui en découlent. Le droit de l’Union continuera ainsi à s’appliquer jusqu’à la date du retrait.
L’impact du Brexit sur la protection des données au Royaume-Uni
La directive 95/46/CE sur la protection des données personnelles a été transposée en droit britannique par le Data Protection Act de 1998 (suivant leur interprétation dirons certains).
Concernant le traitement des informations, l’interrogation porte surtout sur les textes à venir et notamment sur le nouveau Règlement sur la protection des données (GDPR) adopté le 27 avril dernier et qui sera applicable à compter du 25 mai 2018, sans oublier l’actuelle révision de la directive vie privée et communications électronique prévue pour 2017 et la transposition de la Directive NIS « network and information security ».
Pour ce qui est du Règlement sur la protection des données personnelles, ce texte d’application directe dans chaque Etat Membre a pour objectif d’harmoniser le cadre juridique au sein de l’Union et de favoriser ainsi le développement de l’économie numérique.
Il prévoit également de nouvelles obligations pour les responsables de traitement et pour les sous-traitants et renforce considérablement les sanctions en cas de non-conformité dont le montant pourra s’élever à 4% du chiffre d’affaire mondial d’un groupe ou 20 millions d’euros. Sur ce sujet, comme sur celui du guichet unique ou de l’obligation de désigner un « DPO[2] », le Royaume Uni a d’ailleurs toujours manifesté son désaccord avec les nouvelles mesures.
Techniquement le Règlement sera applicable depuis son entrée en vigueur jusqu’à la date de retrait effectif du Royaume-Uni.
Première option, si le pays entendait rester dans le marché unique, il devrait adopter une législation équivalente à celle applicable dans l’Union (à l’instar de la Norvège membre de l’EEE[3] par exemple). Encore faudrait-t-il que l’EEE soit d’accord et que ses membres y aient un intérêt. De plus, les décisions de justice rendues par la CJUE auraient un effet direct au sein Royaume-Uni ; un sujet souvent critiqué et remis en cause par les représentants de ce pays.
Une deuxième solution, plus probable et déjà suivie par la Suisse, consisterait à signer des accords bilatéraux avec l’Union et à obtenir une décision d’adéquation de la Commission Européenne en vertu de laquelle le Royaume-Uni serait reconnu comme pays à niveau de protection adéquat[4].
De leur côté, les présidents des institutions de l’Union souhaitent entretenir un partenariat fort avec le Royaume-Uni afin de minimiser l’impact économique de sa sortie, mais ils ont fermement indiqué qu’il n’y aurait pas de marché unique « à la carte ».
D’un point de vue économique, beaucoup de prestataires de service cloud traitant de données collectées au sein de l’Union Européenne proposent un hébergement des données dans des centres situés au Royaume-Uni. Google et Amazon, deux géants du net, envisageraient même de réviser leur stratégie d’expansion londonienne[5].
Dans tous les cas, à compter de juin 2018, le Royaume-Uni aura intérêt à garantir un niveau de protection des données similaire ou équivalent à celui de l’Union Européenne.
Les règles européennes de protection des données font office de standard dans le monde y compris pour les multinationales américaines, tant sur le plan de la sécurité informatique que des principes de respect de la vie privée. Faute d’accord, ces entreprises devront gérer les divergences entre la législation nationale britannique et la réglementation européenne ; elles devront arbitrer des choix de localisation des traitements. Or en matière économique, le pragmatisme est de règle.
Contrairement à ce que prêchent les eurosceptiques, le GDPR devrait alléger la charge administrative des organisations tout en tenant compte des contraintes des entreprises comme le Royaume-Uni n’a eu de cesse de le réclamer.
Par contre, concernant les transferts de données en dehors de l’EEE, bien que le Règlement entende faciliter les échanges de données personnelles, le statut de pays tiers n’en demeure pas moins contraignant. Dès lors que le destinataire des données ne fait pas partie du marché unique, les transferts de données personnelles doivent s’inscrire dans un cadre juridique particulier.
Cette situation fait écho à l’invalidation du Safe Harbor par la Cour de Justice Européenne et aux difficultés que cela a engendré pour les entreprises américaines dans l’attente du Privacy Shield, un nouvel instrument juridique négocié entre les Etats-Unis et l’UE. Toutefois, quand bien même la Commission Européenne se prononcerait en faveur de cet accord, ce répit pourrait être de courte durée. En effet, en cas de recours porté devant la CJUE, la validité des transferts de données vers les Etats-Unis, accusés de pratiquer une surveillance massive et indiscriminée des personnes au sein de l’Union sans garanties suffisantes, pourrait être remise en cause par la Cour Européenne.
Toutes les incertitudes ne sont pas levées quant au niveau de protection des données garanti par le Royaume-Uni
Dans l’hypothèse où la Commission devrait évaluer le niveau de protection des données assuré par le Royaume-Uni, on peut raisonnablement penser que la reconnaissance d’un niveau de protection adéquat se fera sans difficulté. Il fut en effet parmi les premiers Etats à avoir instauré une autorité indépendante sur ce sujet et la directive de 1995 actuellement en vigueur le restera jusqu’à sa sortie de l’Union.
Cependant, à la suite de fuites portant sur des documents confidentiels[6], les services de sécurité et de défense britanniques ont récemment été accusés de pratiquer une surveillance massive des citoyens au moyen d’un usage abusif des données personnelles les concernant. Le Quartier Général des communications du gouvernement[7] serait en effet en mesure d’intercepter des flux d’une dizaine de gigabits par seconde, notamment au travers d’architectures Big Data opensource, réputées pour leur voracité. De plus, le projet de Loi sur le renseignement britannique[8] est très controversé, au motif qu’il autoriserait des pratiques liberticides telles que le piratage d’appareil en dehors de toute enquête criminelle ou encore l’accès à l’ensemble des données (licites et illicites) de navigation d’une personne pendant un an en cas d’enquête. Ce nouveau texte vient renforcer le volumineux arsenal législatif de lutte contre le terrorisme.
L’analyse du niveau d’adéquation menée par la Commission devra tenir compte de la mise en balance du respect des droits et des libertés fondamentaux avec la législation nationale relative à la sécurité publique, la défense, la sécurité nationale et l’accès des autorités publiques aux données personnelles.
Non seulement le Royaume-Uni pourrait se voir refuser la reconnaissance d’adéquation, mais en cas de décision d’adéquation, un recours pourrait aussi être engagé contre ladite décision devant la Cour de Justice de l’Union Européenne. La complexité d’une telle situation serait une barrière d’entrée sur le marché européen de la donnée.
…A moins que le Royaume-Uni choisisse de redevenir un Etat tiers sans solliciter de décision d’adéquation
En l’absence de décision d’adéquation, le responsable du traitement ou le sous-traitant devra prendre des mesures pour compenser l’insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée et notamment les règles d’entreprises contraignantes (BCR), les clauses types de protection des données adoptées par la Commission et les clauses contractuelles autorisées par une autorité de contrôle.
Leur objectif sera d’assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée, y compris l’existence de droits opposables dont les personnes pourront se prévaloir de manière effective.
[1] http://europa.eu/rapid/press-release_STATEMENT-16-2329_fr.htm
[2] Data Protection Officer ou Délégué à la Protection des Données
[3] EEE : Espace Economique Européen
[4] https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
[5] http://uk.businessinsider.com/google-and-amazon-could-turn-their-backs-on-britain-if-it-leaves-the-eu-2016-6
[6] http://www.itnews.com.au/news/snowden-leak-reveals-uk-spies-big-data-surveillance-414691
[7] UK Government Communications Headquarters’ (GCHQ)
[8] UK Investigatory Powers Bill
