Voilà presque deux mois que le Brexit est survenu entre le Royaume-Uni et l’Union européenne, avec le Brexit. Cependant, tous les liens n’ont pas été rompus dès le 1er janvier 2021. Ainsi, pour ce qui est du Règlement général sur la protection des données (RGPD), il restera en vigueur outre-Manche jusqu’au 30 juin 2021, grâce à un accord trouvé entre les deux parties juste avant le divorce.
Le RGPD est un texte majeur de l’UE. Entré en vigueur en 2016 et appliqué depuis 2018, ce texte fixe les conditions dans lesquelles les données personnelles peuvent être recueillies, stockées et traitées, mais conforte aussi les droits des personnes et établit de nouvelles obligations pour les organisations qui gèrent ces données, accompagnées de sanctions en cas de manquement de leur part.
Compte tenu de l’enjeu que revêt la protection des données personnelles, Bruxelles tient dès à présent à préparer l’étape d’après, de sorte qu’un cadre soit en place avec Londres dès le 1er juillet 2021. Aussi la Commission a-t-elle annoncé le 19 février un processus visant à reconnaître le bon niveau de protection proposé par le droit britannique par rapport à celui qui existe sur le Vieux Continent.
Un niveau de protection a priori suffisant
Il s’avère qu’en la matière, le Royaume-Uni offre un niveau de protection adéquat au regard des exigences européennes : la Commission, après avoir « étudié attentivement la législation et les pratiques du Royaume-Uni (…) a conclu que le Royaume-Uni garantissait un niveau de protection substantiellement équivalent à celui garanti en vertu du RGPD », mais aussi de la directive Police Justice.
Les observations de la Commission européenne devront toutefois être vérifiées par le Comité européen de la protection des données, qui rassemble les autorités de chaque pays, comme la Commission nationale de l’informatique et des libertés (CNIL) en France, ainsi que par un comité composé de représentants des États membres de l’UE. Le premier doit rendre un avis, le second délivré son feu vert.
La Commission européenne suggère toutefois que ce ne devrait pas être un obstacle réel. Le Royaume-Uni a été membre de l’UE pendant presque cinquante ans. De fait, « le droit de l’UE a façonné le régime britannique de protection des données des décennies durant », fait ainsi observer Bruxelles. C’est très différent du cas de pays plus lointains, qui reposent sur des systèmes juridiques plus éloignés.
Dans le monde, les pays qui ont un niveau de protection adéquat par rapport aux normes européennes sont rares. On en dénombre six : la Suisse, le Japon, Israël, l’Argentine, l’Uruguay et la Nouvelle-Zélande. Le Canada est un cas particulier, car il est en adéquation partielle. D’autres pays qui ne sont pas dans l’UE, comme l’Islande et la Norvège, appliquent le RGPD car ils sont membres de l’EEE.
La Commission européenne, si elle ne semble pas craindre un défaut d’adéquation du Royaume-Uni en matière de données personnelles, se pose toutefois des questions à plus long terme. Aujourd’hui, les règles britanniques sont très similaires à celles de l’Europe et elles ne devraient pas bouger tout de suite. Mais d’ici quelques (dizaines) d’années, est-ce que ce sera toujours le cas ?
C’est pourquoi la Commission européenne suggère que ces décisions d’adéquation soient temporaires, c’est-à-dire valides pour une période de quatre ans. De cette façon, il y aurait ainsi des rendez-vous réguliers entre Bruxelles et Londres pour vérifier la proximité entre les deux systèmes juridiques, et renouveler, le cas échéant cette adéquation si le niveau de protection reste suffisant outre-Manche.
« Il est essentiel, à présent que le Royaume-Uni n’est plus lié par les règles de l’UE en matière de respect de la vie privée, que les constats d’adéquation résistent à l’épreuve du temps », explique ainsi Bruxelles. Avec une revoyure tous les quatre ans, c’est aussi un bon moyen pour l’Union européenne de s’assurer que le Royaume-Uni reste amarré à l’Europe et à ses valeurs.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
