Comment s’organisent les transferts de données France / UK depuis le Brexit ?

Rappel de quelques dates    

Il est important de retracer la chronologie de  la protection des données personnelles au Royaume-Uni. Voilà un rappel des faits : 

• 1984 : Création de l’ICO, autorité de protection des données anglaise 
• 16 juillet 1998 : Data protection Act : premier cadre juridique anglais concernant la protection des données personnelles 
• 27 avril 2016 : le RGPD est adopté par le Parlement européen 
• 23 juin 2016 : Référendum : les anglais s’expriment en faveur du départ du Royaume Uni de l’Union Européenne à hauteur de 51,6% 
• 25 mai 2018 : Entrée en application du RGPD
• 25 mai 2018 : Data Protection Act : loi d’exécution du RGPD 
• 1 février 2020 : l’Angleterre quitte l’Union Européenne
• 28 juin 2021 : Décision d’adéquation de la Commission européenne 
• 17 juin 2022 : proposition de loi visant à organiser la protection des données personnelles en Angleterre (sans le RGPD !) 
• 2024 : Expiration automatique de la décision d’adéquation

Nouveau projet de loi : grand remplaçant anglais du RGPD ? 

Le nouveau projet de loi présenté par Boris Johnson comporte plusieurs changements majeurs avec le RGPD, et illustre de nouvelles ambitions anglaises vers l’international. 

Parmi les différences majeures qu’introduit ce nouveau projet de loi, on note la refonte de l’autorité de contrôle : ICO. L’institution, créée en 1984, sera totalement révisée dans sa structure et composition. Le projet entend également revoir le rôle et la nécessité du DPO dans les entreprises concernant la réalisation d’une analyse d’impact. Enfin, nos voisins d’Outre Manche tendent également à favoriser les transferts internationaux de données, en supprimant notamment les obstacles, jugés comme un “énorme problème de conformité et de droit pour les entreprises” et comme “n’étant pas viable à long terme”.

Et maintenant ? 

La décision d’adéquation étant toujours en vigueur jusqu’en 2024, vous pouvez continuer à organiser les transferts de données de manière habituelle, et à héberger vos données en Angleterre. En effet, la décision d’adéquation atteste que le Royaume Uni offre actuellement un niveau de protection des données en adéquation avec celui promis par le RGPD.

Mais cette décision d’adéquation, nous l’avons vu, prend fin en 2024. 

And after ? 

Ce questionnement reste malheureusement en suspens. Le nouveau projet de loi introduisant des différences majeures avec le RGPD, il est difficilement concevable – mais pas impossible – que la décision d’adéquation soit reconduite. 

Si elle est reconduite, alors les transferts de données tels qu’actuellement organisés pourront continuer. 

Si en revanche la décision d’adéquation n’est pas renouvelée, alors les entreprises devront trouver un nouveau fondement pour organiser ces transferts de données hors UE. 

Comment organiser un transfert de données hors UE ? 

Le RGPD prévoit quelques solutions pour organiser un transfert de données hors UE. En effet, tout responsable de traitement et tout sous-traitant peut organiser un transfert de données hors UE s’il respecte le principe prévu à l’article 44 du RGPD. 

L’article 44 prévoit que le transfert de données ne peut être réalisé que dans les cas prévus par le RGPD. On énumère 5 fondements prévus par le règlement européen pour la protection des données organisant les transferts de données vers l’international. 

• Les transferts fondés sur une décision d’adéquation : article 45 du RGPD. C’est le cas où la Commission admet que le pays offre un niveau de protection adéquat et adapté. Alors, le transfert est autorisé et licite, comme c’est actuellement le cas pour le Royaume Uni ou encore la Suisse.
  
  
• Les transferts moyennant des garanties de protection des données appropriés : article 46 du RGPD : C’est un fondement qui permet à un responsable de traitement ou un sous-traitant d’organiser un transfert de données vers l’international si le transfert promet une protection similaire au RGPD, mais que la Commission n’est pas intervenue. Le responsable de traitement ou le sous-traitant peut, à cet effet, utiliser des instruments juridiques contraignants (comme un contrat comportant des clauses type, une certification ou le respect d’un code de conduite). 
  
  
• Les règles d’entreprise contraignantes ou Corporate Binding Rules : article 47 du RGPD : Ce sont des règles contraignantes devant respecter un ensemble de conditions précises prévues par le RGPD, qui engagent la responsabilité du responsable de traitement. Elles doivent être approuvées par les autorités de contrôle concernées, et être étendues à l’ensemble des entités des entreprises impliquées. 
  
  
• Accord international : Article 48 du RGPD : Les États peuvent conclure des accords internationaux organisant les transferts de données, tel que le Privacy Shield.
  
  
• Coopération internationale : Article 50 du RGPD : La Commission et les autorités de contrôles peuvent créer des mécanismes basés sur les différentes législations permettant les transferts de données hors Union Européenne. Ces mécanismes permettent de faciliter le transfert de données et garantissent un niveau de protection approprié. 
  
  
• Les exceptions prévues par l’article 49 : Le RGPD prévoit des exceptions permettant le transfert de données entre états. Ce sont des exceptions individuelles, qui ne sauraient s’étendre à des transferts réguliers ou concernant un Etat ou une population, mais plutôt un individu précis, ou dans des cas particuliers définis.
  • Consentement de la personne concernée 
  • Transfert nécessaire à l’exécution d’un contrat ou de mesures pré-contractuelles 
  • Transfert réalisé pour des motifs d’intérêt public 
  • Transfert réalisé à des fins judiciaires 
  • Transfert concourt à la sauvegarde des intérêts vitaux d’une personne
  • Transfert fondé sur l’ouverture publique des données 
  • Transfert nécessaire aux fins des intérêts légitimes du responsable de traitement, n’est pas répétitif, que le nombre de personnes concernées est limité, que les risques évalués ne menacent pas les garanties de protection accordées. L’autorité de contrôle doit être informée de ce transfert.