Les échanges de données entre le Royaume-Uni et l’UE peuvent se poursuivre après la décision d’adéquation
6 min read
La Commission européenne a enfin a accordé l’adéquation des données au Royaume-Uni, deux jours seulement avant l’expiration de la période de transition prolongée pour les flux de données. Cela signifie que, pour l’instant, les entreprises européennes peuvent continuer à envoyer des données au Royaume-Uni sans garanties ni formalités supplémentaires. C’est une excellente nouvelle pour UK plc, en particulier le secteur de la technologie, mais il y a un problème.
La décision d’adéquation du Royaume-Uni est particulièrement vulnérable. Il comporte une clause d’extinction et devra donc être formellement examiné et présenté à nouveau pour approbation en 2025.
Elle fera l’objet d’un réexamen permanent car la Commission, le Parlement européen et le comité européen de la protection des données craignent tous que le Royaume-Uni n’ait l’intention de s’écarter sensiblement de l’approche de la protection des données inscrite dans le Règlement général sur la protection des données (RGPD).
La CE a déjà inclus une exception – les données ne peuvent pas être transférées au Royaume-Uni à des fins de traitement de l’immigration, car la Cour d’appel du Royaume-Uni a jugé que les exemptions de protection des données au Royaume-Uni pour le contrôle de l’immigration sont illégales.
Craintes futures
Il y a deux raisons d’avoir peur de l’avenir de l’adéquation du Royaume-Uni. Premièrement, le Comité européen de la protection des données (EDPB) et ses autorités de contrôle constituantes continuent de se concentrer sur les transferts de données à caractère personnel vers les pays qui pratiquent une surveillance de masse.
L’impulsion de cette activité d’exécution vient de la Cour européenne de justice (CEJ) Arrêt Schrems II en juillet 2020, qui a abrogé l’accord d’adéquation alors en vigueur pour les États-Unis en raison d’une surveillance excessive des citoyens étrangers.
Cependant, la CJCE a également constaté que le régime de surveillance équivalent du Royaume-Uni, tel qu’édicté dans la loi sur les pouvoirs d’enquête, être illégal pas plus tard qu’en octobre 2020. L’adéquation du Royaume-Uni fera certainement face à des défis juridiques en conséquence et il serait difficile pour la CJCE de maintenir sa position sur les États-Unis tout en permettant à l’adéquation du Royaume-Uni de se poursuivre.
Le Royaume-Uni continue également de signaler son intention de s’écarter substantiellement du consensus européen sur la protection des données. Le récit s’étale sur le Stratégie nationale de données, lancé en septembre 2020, le article d’opinion très publique par Oliver Dowden, le secrétaire d’État au numérique, à la culture, aux médias et aux sports publié dans le Temps Financier en février de cette année, et le Groupe de travail sur l’innovation, la croissance et la réforme de la réglementation (TIGRR) dirigé par Iain Duncan Smith, qui a publié son rapport plus tôt en juin 2021.
L’approche du Royaume-Uni présente des points communs : la protection des données est un fardeau onéreux ; il devrait être plus facile de monétiser les données personnelles ; il devrait y avoir moins de réglementation de la soi-disant intelligence artificielle (IA) ; le régulateur devrait soutenir l’exploitation commerciale des données personnelles.
Tout cela est en contradiction avec la position européenne.
Droits fondamentaux
La protection des données est inscrite dans le Charte des droits fondamentaux de l’UE – ironiquement, bien sûr, inspiré par le Convention européenne des droits de l’homme rédigé à l’origine par les Britanniques – comme le huitième droit humain fondamental. L’Europe ne considère pas la protection des données comme une bureaucratie superflue mais comme un élément essentiel de l’équilibre entre les citoyens, le gouvernement et l’entreprise privée.
Dans cette vision européenne, les droits priment sur les revenus. Le Royaume-Uni semble s’aligner plus étroitement sur la position américaine, comme en témoigne la loi californienne sur la protection de la vie privée des consommateurs, où l’accent est moins mis sur la protection des citoyens contre les abus de leurs données que sur la garantie qu’ils perçoivent une part des bénéfices de la vente de leurs données. Cela est rendu explicite dans le rapport TIGRR en particulier, qui non seulement déclare (au paragraphe 205) que « les données personnelles sont une monnaie », mais suggère également qu’un mécanisme de participation aux revenus pourrait être développé par l’État.
L’IA – ou l’apprentissage automatique, comme on l’appelle plus correctement – est considérée en Europe comme présentant un risque important pour les personnes. Les preuves ne manquent pas que l’apprentissage automatique peut ancrer les préjugés raciaux, de genre et de privilèges – nous avons vu des exemples récents, notamment l’automatisation américaine l’évaluation des risques avant le procès étant biaisée contre les personnes de couleur; Le processus de sélection des candidats à l’IA d’Amazon est discriminatoire envers les femmes ; et le large éventail sectarisme dans la base de données ImageNet. Nous avons également vu des initiatives européennes visant à renforcer les protections contre d’éventuels dommages causés par la prise de décision automatisée, y compris la législation promulguée en Danemark et la proposition Règlement de l’UE pour l’IA.
L’indépendance du régulateur de la protection des données est un élément clé pour déterminer l’adéquation, conformément à l’article 45.2(b) du RGPD. L’efficacité de l’organisme de réglementation britannique, l’Information Commissioner’s Office, a déjà été remise en question, et la suggestion de Dowden selon laquelle le prochain commissaire sera une personne nommée politiquement chargée de garantir que « les gens peuvent utiliser les données pour atteindre des objectifs économiques » suggère en outre que le ne souhaite pas que le gouvernement ou le secteur privé soient tenus de rendre des comptes.
Si le Royaume-Uni continue sur sa lancée, nous pouvons nous attendre à voir des contestations judiciaires intentées par des groupes de pression à travers le Royaume-Uni et l’Europe, avec une forte probabilité que la CJCE statue en leur faveur.
Nous pouvons également nous attendre à ce que l’EDPB et ses membres constitutifs fassent pression sur la Commission européenne pour qu’elle révise la décision d’adéquation et soit imposent des exceptions supplémentaires, soit l’abroge entièrement.
Et surtout, nous pouvons nous attendre à ce que les entreprises et les consommateurs de l’UE votent avec leurs pieds. Envoi de données vers des pays sans adéquation est beaucoup plus onéreux qu’avant – pourquoi risquer de s’engager dans des transferts vers le Royaume-Uni si l’adéquation est une affaire judiciaire ou une décision de la Commission sur le point d’être perdue ?
Les citoyens britanniques seront les vrais perdants – pris entre la pression économique de la réduction des affaires avec l’Europe d’une part et la dilution de leurs droits fondamentaux à la vie privée et à la protection des données d’autre part.
Ben Rapp est co-fondateur de Sécurités, une conseil en confidentialité aidant les entreprises à renforcer la confiance des parties prenantes en assurant la confidentialité des données à l’échelle mondiale et locale.
