La Commission européenne souligne les conséquences du Brexit sur les transferts de données

Le Royaume-Uni sera considéré comme un pays tiers dès sa sortie effective de l’Union européenne. Et cela peut affecter les transferts de données personnelles, comme vient de souligner la direction générale Justice et consommateurs de la Commission européenne.

Pour mémoire, et comme le rappelle la Commission nationale informatique et libertés (Cnil) sur son site, « en principe, les transferts de données à caractère personnel hors du territoire de l’Union européenne sont interdits, à moins que le pays ou le destinataire n’assure un niveau de protection suffisant ». Pour un pays qui n’est pas reconnu par l’Union comme proposant un cadre législatif garantissant ce niveau, à l’instar de l’Inde, entre autres, une autorisation de la Cnil est nécessaire. A l’inverse, pour des pays reconnus par l’Union, comme l’Argentine, le Canada, les Etats-Unis et la Nouvelle-Zélande, aucune autorisation n’est généralement requise ; seule une déclaration l’est.

La notice de Bruxelles est motivée par les « incertitudes considérables » liées au Brexit, et « en particulier concernant le contenu d’un possible accord de retrait » de l’Union européenne. Et pour la direction générale Justice et consommateurs de la Commission européenne, il est important que « tous les responsables de traitements de données personnelles » prennent compte des éventuelles conséquences juridiques.

C’est la première fois que la Commission européenne fait une telle déclaration. Et pour Eduardo Ustaran, associé du cabinet Hogan Lovells et spécialiste du droit européen sur la protection des données, c’est une déclaration importante : « entre les lignes, la Commission explique en fait que le Royaume-Uni ne devrait s’attendre à être reconnu comme ‘approprié par défaut’ et que la question est assujettie à un accord politique plus vaste ». Pour lui, il s’agit d’avertir le gouvernement et les entreprises britanniques des conséquences évidentes de l’absence d’accord couvrant la protection des données personnelles : « aussi inévitables que soient les conséquences, il est assez glaçant que la Commission européenne souligne que si aucun accord n’est trouvé, le Royaume-Uni rejoindra les rangs des pays considérés comme non sûrs pour protéger les données personnelles des ressortissants de l’Union ».

Stewart Room, chargé de la practice protection des données de PwC, estime toutefois que le Royaume-Uni affiche une posture au moins aussi bonne que « d’autres membres de l’Union européenne » et au-delà, pointant notamment le Canada et les Etats-Unis qui profitent du Privacy Shield. Il relève en outre qu’à l’échéance du Brexit, le cadre législatif britannique devrait être respectueux du RGPD.

Quoiqu’il en soit, selon lui, une éventuelle absence d’accord ne devrait pas pénaliser les grandes organisations et les multinationales déjà habituées à gérer ces questions. Mais c’est notamment pour les PME que cela pourrait générer des difficultés.

Avec nos confrères de ComputerWeekly (groupe TechTarget).