Par Gérard Haas, Anne Charlotte Andrieux et Céline Rodier
Seulement deux mois après la décision d’adéquation rendue en faveur du Royaume-Uni par la Commission européenne permettant de transférer librement des données de ressortissants européen outre-manche, Londres envisage de s’écarter du cadre règlementaire européen de protection des données.
Pour rappel, cette décision d’adéquation avait été adoptée in extremis, seulement deux jours avant l’expiration de la période transitoire de six mois pendant laquelle le RGPD demeurait applicable au Royaume-Uni, et alors que plusieurs réserves avaient été émises par les parlementaire européen.
La Commission européenne avait annoncé qu’elle réévaluerait le niveau d’adéquation du Royaume-Uni tous les quatre ans, soit en 2025.
En ces circonstances, la prochaine échéance prévue en 2025, sera-t-elle avancée ?
Récapitulatif chronologique des dernières actualités
Les changements annoncés par le gouvernement britannique
Dans une annonce faite au journal The Telegraph, Oliver Dowden, le ministre britannique chargé du numérique, a annoncé que le Royaume-Uni envisage de s’écarter du régime européen d’encadrement des cookies et traceurs publicitaires. En effet, il estime que les fenêtres cookies « apparaissant sans arrêt » sur les écrans des internautes constituent une contrainte[1].
Ce changement s’inscrit dans le cadre d’une réforme plus large qui est envisagée par le Royaume-Uni en matière de protection des données, les mesures applicables à l’heure actuelle étant jugées trop contraignantes.
Cette actualité est à mettre en perspective avec les dernières recommandations de la CNIL, laquelle prend en considération le confort de l’utilisateur dans son appréciation de la validité du consentement et rappelle que « lorsque le refus peut être manifesté par la poursuite de la navigation, le message sollicitant le consentement (par exemple, la fenêtre ou le bandeau) [doit disparaître] au bout d’un laps de temps court, de manière à ne pas gêner l’utilisation du site ou de l’application et à ne pas, ainsi, conditionner le confort de navigation de l’utilisateur à l’expression de son consentement au traceur. »
Les conséquences envisageables
Depuis la décision d’adéquation rendue par la Commission européenne le 28 juin dernier, les transferts de données outre-manche peuvent s’effectuer librement et en conformité avec la règlementation européenne.
Cependant, si le Royaume-Uni vient à s’écarter de manière trop importante du cadre règlementaire de l’Union, la Commission européenne pourrait être amenée à activer la clause de révision anticipée et réévaluer le niveau d’adéquation du pays.
Si Londres mène sa réforme à terme, deux scenarii sont envisageables :
- Soit le Royaume-Uni maintient son cadre règlementaire actuel en matière de cookies impliquant le recours aux bannières cookies et au recueil du consentement des internautes.
- Soit le Royaume-Uni décide de s’affranchir du cadre européen et de permettre la libre collecte des données via les traceurs, auquel cas la Commission européenne pourrait estimer que Londres enfreint les règles relatives à la licéité du traitement de données.
Si l’adéquation du Royaume-Uni au regard des standards de protection européens résulte nécessairement d’une appréciation globale de la règlementation locale, la Commission pourrait en déduire que Londres n’offre plus un niveau de protection « essentiellement équivalent » à celui exigé par Bruxelles.
Si la Commission demeure libre de cette appréciation, elle pourra saisir une nouvelle fois le Comité européen de la protection pour avis, et le cas échéant revenir sur sa décision d’adéquation.
En pareille hypothèse, les acteurs économiques du continent devront prévoir de recourir aux outils de transferts de données hors Union Européenne prévus au Chapitre V du RGPD (articles 44 et suivants).
Cela implique que des mécanismes contractuels complémentaires soient mis en œuvre, tels que des clauses contractuelles types ou des règles d’entreprise contraignantes, pour permettre les transferts outre-manche.
Le Cabinet HAAS Avocats, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, accompagne régulièrement les entreprises dans leur mise en conformité RGPD.
Le cabinet HAAS Avocats propose à ce titre un accompagnement à l’encadrement des transferts hors-UE et l’élaboration d’outils de transfert appropriés (clauses contractuelles types, Binding corporate Rules).
Pour nous contacter, cliquez ici.
[1] « Protection des données : le Royaume-Uni veut s'écarter de la réglementation européenne », Le Figaro, 26 août 2021.