Comme prévu, la Commission Européenne a adopté deux décisions d’adéquation pour le transfert de données personnelles vers le Royaume-Uni – l’une en vertu du règlement général sur la protection des données (RGPD) et l’autre pour la directive relative à l’application des lois.
Ces décisions d’adéquation facilitent également la mise en œuvre correcte de l’accord de commerce et de coopération entre l’UE et le Royaume-Uni, qui prévoit l’échange d’informations personnelles, par exemple pour la coopération en matière judiciaire.
Il convient de noter que, pour la première fois, ces décisions d’adéquation comportent une « clause de caducité », qui limite la durée de l’adéquation à quatre ans, après quoi une nouvelle évaluation sera effectuée.
En pratique, il n’est plus nécessaire pour les organisations de mettre en œuvre des mesures de protection supplémentaires telles que les clauses contractuelles types ou les règles d’entreprise contraignantes pour transférer des données à caractère personnel au Royaume-Uni.
1.Que signifie l’adoption d’une décision d’adéquation en pratique ?
L’adoption d’une décision d’adéquation pour un pays spécifique signifie que, pour la Commission européenne, ce pays spécifique offre un niveau adéquat de protection des données (c’est-à-dire que le cadre juridique est essentiellement équivalent à celui de l’UE).
En pratique, cela signifie que les organisations soumises au RGPD peuvent partager des données personnelles avec une autre organisation située dans ce pays tiers dans les mêmes conditions qu’avec une organisation soumise directement au RGPD.
Concrètement, il n’est pas nécessaire pour ces organisations de mettre en œuvre des mesures de protection supplémentaires telles que les clauses contractuelles types ou les règles contraignantes d’entreprise pour transférer des données personnelles au Royaume-Uni. Elles doivent seulement mettre en œuvre les mêmes mesures que si elles partageaient des données avec une organisation locale (par exemple, s’il s’agit d’un sous-traitant, une clause du contrôleur au sous-traitant conforme à l’article 28 du GDPR serait nécessaire).
2. Principales conclusions de la Commission européenne pour l’adoption des décisions d’adéquation
La Commission a estimé que le Royaume-Uni offrait un niveau de protection équivalent principalement pour les raisons suivantes :
- Le système de protection des données du Royaume-Uni continue de reposer sur les mêmes règles que celles qui étaient applicables lorsque le Royaume-Uni était un État membre de l’UE.
- En ce qui concerne l’accès aux données à caractère personnel par les autorités publiques au Royaume-Uni, le système britannique prévoit des garanties solides telles que :
- La collecte de données par les services de renseignement est, en principe, soumise à l’autorisation préalable d’un organe judiciaire indépendant.
- Toute personne qui estime avoir fait l’objet d’une surveillance illégale peut intenter une action devant l’Investigatory Powers Tribunal.
- Le Royaume-Uni est soumis à la juridiction de la Cour européenne des droits de l’homme et doit adhérer à la Convention européenne des droits de l’homme ainsi qu’à la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Ces engagements internationaux sont des éléments essentiels du cadre juridique évalué dans les deux décisions d’adéquation.
- Les transferts aux fins du contrôle de l’immigration britannique sont néanmoins exclus du champ d’application de la décision d’adéquation adoptée en vertu du RGPD en raison d’un récent arrêt de la Cour d’appel d’Angleterre et du Pays de Galles sur la validité et l’interprétation de certaines restrictions des droits de protection des données dans ce domaine. La Commission a toutefois indiqué qu’elle réévaluerait la nécessité de cette exclusion une fois qu’il aura été remédié à la situation en droit britannique.
3. Effet de la clause de caducité
Les décisions d’adéquation comprennent une « clause de caducité », qui limite leur durée à quatre ans. Après cette période, les décisions d’adéquation ne pourront être renouvelées que si le Royaume-Uni continue à assurer un niveau adéquat de protection des données.
En outre, la Commission surveillera la situation juridique au Royaume-Uni et pourrait intervenir à tout moment avant la fin de cette période de quatre ans, si le Royaume-Uni s’écarte du niveau de protection actuellement en place.
Si la Commission décide de renouveler la décision d’adéquation, le processus d’adoption recommencera.
Pour une lecture complète de la décision d’adéquation, cliquez ici.
Pour toute question, n’hésitez pas à contacter Arnaud Blanc
Cette publication est également disponible en en_GB.