Par Anne-Charlotte Andrieux et Noa Setti
Les parlementaires européens ont émis des réserves sur l’adéquation du Royaume-Uni aux standards européens en matière de protection des données, faisant craindre le report du projet d’adéquation jusqu’alors attendu pour la fin du mois de juin 2021. La période transitoire expirant au 1er juillet prochain, il convient plus que jamais de se préparer à mettre en place des instruments de transferts adéquats.
Il y a quelques mois, nous vous annoncions que le BREXIT aura des conséquences sur la circulation des données entre le Royaume-Uni et les Etats européens.
Plus particulièrement, il est prévu que le RGPD s’applique au Royaume-Uni jusqu’au 1er juillet 2021, à l’exception des dispositions applicables aux autorités de contrôle.
Dès le 1er juillet 2021, les transferts de données vers le Royaume Uni seront donc considérés comme des transferts vers un pays tiers à l’Union européenne.
A ce titre, il était attendu que la Commission européenne se prononce sur le statut du Royaume-Uni.
La publication de projets de décisions d’adéquation du Royaume-Uni par la Commission européenne
Plus particulièrement, la Commission européenne devait préciser si elle reconnaissait le Royaume-Uni comme offrant un niveau de protection adéquat et si des données à caractère personnel pouvaient y être transférées en toute sécurité.
C’est ainsi que le 19 février 2021, la Commission a engagé un processus devant conduire à l'adoption de décisions relatives à cette adéquation du niveau de protection du Royaume-Uni, en publiant des projets de décisions.
Or, pour être adoptées, de telles décisions devaient ensuite être soumises à l’avis du Comité européen de la protection des données (CEPD).
L’émission d’avis favorable du CEPD à ces projets
C’est dans ce cadre que le 13 avril dernier, le CEPD a donné un avis favorable à ces projets.
En effet, l’autorité a considéré qu’il y avait un fort alignement entre les cadres juridiques européen et britannique s’agissant de certains concepts fondamentaux tels que les motifs d'un traitement licite et équitable traitement à des fins légitimes ; la limitation de la finalité ; la qualité et la proportionnalité des données ; la conservation, la sécurité et la confidentialité des données ; la transparence ; les catégories particulières de données ; la prise de décision automatisée et le profilage.
Le Comité a donc conclu que le Royaume-Uni offrait un niveau de protection essentiellement équivalent à celui qui est garanti par le droit de l'UE s'agissant du transfert de données à caractère personnel.
Dans sa décision, le CEPD a toutefois soulevé certaines préoccupations relatives notamment aux accords internationaux conclus entre le Royaume-Uni et des pays tiers et plus généralement à la nécessité pour le Royaume-Uni de maintenir son niveau de protection actuel à l’avenir.
La remise en cause de ces projets par le Parlement européen
Du côté des députés européens, ceux-ci refusent d’accepter ces décisions d’adéquation du Royaume-Uni, et souhaitent la modification des projets.
En effet, dans une résolution adoptée le 21 mai 2021, le Parlement a demandé à la Commission européenne de revoir ses décisions, en prenant en considération les récentes décisions de la CJUE (arrêt Shrems II) et en répondant aux préoccupations soulevées par le CEPD dans ses avis.
Plus précisément, les députés s’inquiètent de l’absence de clarté s’agissant de certains points centraux tels que le régime des exemptions à des fins d’immigration et de sécurité nationale, ou encore la question des transferts ultérieurs et des accords internationaux du Royaume-Uni.
Dans leur résolution, les députés estiment qu’en adoptant lesdites décisions sans avoir répondu à toutes les préoccupations exprimées, la Commission européenne outrepasserait ses compétences.
C’est ainsi que le Parlement « invite la Commission à modifier les deux projets de décisions d’exécution afin de les rendre pleinement conformes au droit de l’Union et à sa jurisprudence ».
Ils concluent ainsi que les autorités nationales devraient, en l’absence de telles garanties, suspendre les transferts de données vers le Royaume-Uni.
Or, la période transitoire expire dans une dizaine de jours - autant de temps dont dispose la Commission européenne pour se prononcer sur ce sujet.
***
Le Cabinet HAAS Avocats, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne régulièrement les entreprises dans leur mise en conformité RGPD.
Le cabinet HAAS Avocats propose à ce titre un accompagnement à l’encadrement des transferts hors-UE et l’élaboration d’outils de transfert appropriés (clauses contractuelles types, Binding corporate Rules).
Pour nous contacter, cliquez ici.