Le 29 mars 2017, la Grande-Bretagne a démarré le processus de retrait de l’Union européenne : le Brexit. Qu’adviendra-t-il du RGPD ? Des négociations qui devaient durer deux ans se sont donc ouvertes avec ses partenaires, qu’ils soient membres de l’UE ou non.

L’image, souvent reprise parce qu’elle est très juste, est celle d’un détricotage. Theresa May armée de sa paire de ciseaux, le withdrawal agreement, tente de recréer un tissu réglementaire viable et compatible avec les institutions européennes.

L’application du Règlement général des données personnelles en est un exemple parlant.

Le RGPD a été adopté par le Parlement européen le 14 avril 2016. Il vise à protéger la vie privée des citoyens européens et encadrer l’utilisation du data par la responsabilisation des différents acteurs de son traitement.

La Grande-Bretagne, comme la France, a construit un organe qui veillera à l’application de cet ensemble de normes : l’Information Commissioner’s Office, l’équivalent de la Commission Nationale de l’Informatique et des Libertés (CNIL). L’ICO sera donc chargée de réguler le traitement des données.

On pourrait croire qu’en sortant de l’Union Européenne, le Grande-Bretagne serait ravi d’abandonner toutes ces réglementations pour adopter son propre système et pourtant…

Il est intéressant de se pencher sur trois scenarii : le Bremain, le Brexit négocié et le Hard Brexit (sans accord).

Quelle que soit l’issue du Brexit, des conséquences devront être anticipées. Lorsque la Grande-Bretagne se sera retirée de l’Union, les entreprises devront donc décider de stocker les données de leurs clients en Europe ou au Grande-Bretagne.

Visiblement, l’ICO semble accepter la protection européenne pour le moment et les entreprises ont donc tout intérêt à stocker les données en Europe et à les traiter en Europe. Malheureusement, cela semble parfois compliqué du fait de la masse de données et de l’organisation interne de la société.

On peut imaginer que le régime se calquera sur celui que l’on réserve actuellement aux États-Unis par exemple. En principe, le transfert de données est interdit. L’entreprise, même si elle est basée au Grande-Bretagne ne pourra pas transférer les données de ses utilisateurs européens vers son siège. Une autorisation expresse peut être remise par l’utilisateur à l’entreprise. On peut espérer que la Grande-Bretagne assure un niveau de protection suffisant et que la Commission Européenne parviendra à passer au delà des frustrations du Brexit pour confirmer que le pays assure une protection efficace des données au même titre que Andorre, Argentine, Canada (pour les organisations commerciales), les îles Faroe, Guernsey, Israel, l’Ile de Man, Jersey, la Nouvelle Zélande, la Suisse, l’Uruguay et les États-Unis (Privacy Shield). On assure ce niveau de sécurité par l’insertion des clauses contractuelles sus-mentionnées. Il faudra rester prudent puisque sorti du cadre protecteur de l’Union Européenne, la Grande-Bretagne risque de traverser les mêmes difficultés que les États-Unis. Rappelons qu’après les révélations d’Edward Snowden, l’Union Européenne a tôt fait de retirer sa confiance qui n’est toujours pas tout à fait rétablie malgré l’adoption du Privacy Shield.

Les entreprises devront donc être prêtes à affronter une certaine insécurité juridique dans leur exploitation du data. Nous ne pouvons que les encourager à rester au fait des évolutions du secteur afin de rester conformes.