John Foster, directeur général des politiques du groupe d’employeurs CBI, a qualifié l’accord de percée. « La libre circulation des données est le fondement de l’économie moderne et essentielle pour les entreprises de tous les secteurs – de l’automobile à la logistique – jouant un rôle important dans le commerce quotidien de biens et de services », a-t-il déclaré.
La décision est assortie d’une clause d’extinction de quatre ans et de « garanties solides » qui permettent à l’UE de révoquer l’adéquation si les lois britanniques sur la protection des données s’écartent considérablement de celles de l’UE à l’avenir.
Les ministres conservateurs et les députés d’arrière-ban ont proposé d’assouplir le régime britannique de protection des données dans le cadre d’une initiative visant à réduire les formalités administratives et à renforcer la position concurrentielle du Royaume-Uni après le Brexit.
« Nous parlons d’un droit fondamental des citoyens de l’UE que nous avons le devoir de protéger », a déclaré Věra Jourová, vice-présidente chargée des valeurs et de la transparence à la CE. “C’est pourquoi nous avons des garanties importantes, et si quelque chose change du côté britannique, nous interviendrons.”
« Nous parlons d’un droit fondamental des citoyens de l’UE que nous avons le devoir de protéger. C’est pourquoi nous avons des garanties importantes, et si quelque chose change du côté britannique, nous interviendrons »
Un sujet de préoccupation était que la loi britannique permet aux agences gouvernementales d’accéder et de conserver des données en vrac sur des personnes qui ne sont pas suspectes – une pratique qui, selon eux, était incompatible avec RGPD.
Mais la Commission européenne dit le 28 juin 2021 que le Royaume-Uni avait mis en place de solides garanties pour protéger la confidentialité des données des citoyens contre l’utilisation par les services de renseignement.
Ceux-ci comprennent, en principe, l’autorisation préalable d’un organe judiciaire indépendant, le droit de faire appel contre la surveillance illégale devant le Tribunal des pouvoirs d’enquête et la Cour européenne des droits de l’homme.
La Commission européenne a également exclu les transferts de données pour le contrôle de l’immigration au Royaume-Uni de la décision d’adéquation du RGPD à la suite d’un arrêt de la Cour d’appel qui a trouvé la politique britannique illégale.
L’exemption en matière d’immigration a permis au ministère de l’Intérieur et à d’autres organisations ou entreprises de refuser l’accès aux données personnelles détenues sur des individus si cela pouvait « porter atteinte au maintien d’un contrôle efficace de l’immigration ».
La CE a déclaré qu’elle réévaluerait la nécessité de l’exclusion une fois que la situation aura été corrigée en vertu de la législation britannique.
Normes élevées de protection des données
Jourová a déclaré que la Commission européenne avait “écouté très attentivement” les préoccupations exprimées par le Parlement européen, les États membres et le comité européen de la protection des données sur la “possibilité de divergence future par rapport à nos normes dans le cadre de la vie privée de l’UE”.
Suite à la décision de l’UE, le ministère britannique du numérique, de la culture, des médias et des sports a déclaré que le gouvernement prévoyait de promouvoir la libre circulation des données personnelles par le biais d’accords commerciaux et d’accords d’adéquation des données avec d’autres pays.
Le secrétaire d’État au numérique, Oliver Dowden, a déclaré : « Après plus d’un an de discussions constructives, il est juste que l’Union européenne ait officiellement reconnu les normes élevées de protection des données du Royaume-Uni. Nous allons maintenant nous concentrer sur l’exploitation de la puissance des données pour stimuler l’innovation et stimuler l’économie tout en veillant à protéger la sécurité et la vie privée des personnes.
Julian David, PDG de l’organisme commercial TechUK, a déclaré que les accords étaient vitaux pour le commerce entre le Royaume-Uni et l’UE. “La décision d’adéquation des données fournit également une base au Royaume-Uni et à l’UE pour travailler ensemble sur des routes mondiales pour la libre circulation des données”, a-t-il déclaré.
Les députés d’arrière-ban conservateur pressent le gouvernement d’assouplir le régime britannique de protection des données après le Brexit. le Groupe de travail sur l’innovation, la croissance et la réforme de la réglementation (TIGRR), mis en place par Downing Street, recommande de remplacer le règlement britannique sur la protection des données 2018 par un « cadre plus proportionné des droits des citoyens sur les données ».
« La CE suivra de près l’évolution du système britannique. Nous avons renforcé nos décisions pour permettre cela et pour une intervention si nécessaire. L’UE a les normes les plus élevées en matière de protection des données personnelles et celles-ci ne doivent pas être compromises lorsque des données personnelles sont transférées à l’étranger.
Didier Reynders, Commission européenne
Le groupe propose de supprimer l’article 22 du RGPD pour permettre une prise de décision automatique et favoriser le partage des données de santé.
Écrire dans le Temps Financier en février, Dowden a indiqué que le Royaume-Uni devrait adopter une approche différente de la protection des données à l’avenir. « À l’heure actuelle, trop d’entreprises et d’organisations hésitent à utiliser les données, soit parce qu’elles ne comprennent pas les règles, soit parce qu’elles ont peur de les enfreindre par inadvertance », a-t-il écrit.
Il a déclaré que le prochain commissaire à l’information aurait un mandat plus large que la vie privée et serait invité à s’assurer que les gens peuvent utiliser les données “pour atteindre des objectifs économiques et sociaux”.
L’adéquation du Royaume-Uni sera surveillée de près
Le commissaire européen à la justice, Didier Reynders, a déclaré que l’UE interviendrait si le Royaume-Uni ne maintenait pas sa compatibilité avec la législation de l’UE sur la protection des données. «La commission suivra de près l’évolution du système britannique à l’avenir et nous avons renforcé nos décisions pour permettre cela et une intervention si nécessaire. L’UE a les normes les plus élevées en matière de protection des données personnelles et celles-ci ne doivent pas être compromises lorsque des données personnelles sont transférées à l’étranger.
La Commission européenne semble évoluer dans une direction où les décisions d’adéquation, plutôt que d’être une décision binaire, contiennent des exceptions et sont soumises à un examen continu, a déclaré Ben Rapp, expert et responsable de la confidentialité chez Securys. “Les entreprises vont devoir accorder plus d’attention à leurs transferts de données, même dans le cadre d’accords d’adéquation”, a-t-il déclaré.
Dai Davis, un avocat spécialisé dans la protection des données, a déclaré que la clause d’extinction donnerait à la Commission européenne un levier politique. “Il y a une réelle inquiétude que le Royaume-Uni puisse s’écarter du GDPR”, a-t-il déclaré.
Rapp a déclaré qu’il s’attendait à ce que la décision d’adéquation du Royaume-Uni soit contestée en justice avant la fin de l’année. Une contestation judiciaire réussie pourrait, par exemple, entraîner des restrictions entre les fournisseurs de services Internet de l’UE et du Royaume-Uni, les entreprises de télécommunications et les fournisseurs de services cloud.
Ces organisations peuvent être soumises à des ordres de partager les données de leurs clients avec le renseignement et les forces de l’ordre en vertu de la loi de 2016 sur les pouvoirs d’enquête.
Un remplacement du Privacy Shield pourrait inclure des exemptions pour les transferts de données qui pourraient être soumis aux lois de surveillance américaines, a suggéré Rapp.
