Et ruit oceano nox– Et la nuit s’élance de l’océan

Le 29 mars 2017, la Grande-Bretagne a démarré le processus de retrait de l’Union européenne : le Brexit. Qu’adviendra-t-il du RGPD ? Des négociations qui devaient durer deux ans se sont donc ouvertes avec ses partenaires, qu’ils soient membres de l’UE ou non.

L’image, souvent reprise parce qu’elle est très juste, est celle d’un détricotage. Theresa May armée de sa paire de ciseaux, le withdrawal agreement, tente de recréer un tissu réglementaire viable et compatible avec les institutions européennes.

L’application du Règlement général des données personnelles en est un exemple parlant.

Le RGPD a été adopté par le Parlement européen le 14 avril 2016. Il vise à protéger la vie privée des citoyens européens et encadrer l’utilisation du data par la responsabilisation des différents acteurs de son traitement.

La Grande-Bretagne, comme la France, a construit un organe qui veillera à l’application de cet ensemble de normes : l’Information Commissioner’s Office, l’équivalent de la Commission Nationale de l’Informatique et des Libertés (CNIL). L’ICO sera donc chargée de réguler le traitement des données.

On pourrait croire qu’en sortant de l’Union Européenne, le Grande-Bretagne serait ravi d’abandonner toutes ces réglementations pour adopter son propre système et pourtant…

Il est intéressant de se pencher sur trois scenarii : le Bremain, le Brexit négocié et le Hard Brexit (sans accord).

Bremain
En cas de Bremain, les dispositions RGPD continueront à s’appliquer comme elles le font aujourd’hui. J’en profite pour rappeler que l’ICO a récemment sanctionné un groupe pro-Brexit pour avoir violé les dispositions d’une directive. Les amendes, s’élevant à un total de 140 000€ ont été prononcées contre Leave.EU et une compagnie d’assurance Eldon Insurance pour avoir envoyé des mails publicitaires sans avoir recueilli suffisamment le consentement des consommateurs et adhérents. Dans les faits, Eldon Insurance et Leave.EU partageaient le même personnel et le même compte Mailchimp. C’est une erreur humaine qui a entrainé la confusion. Cette décision est intéressante à plus d’un titre puisque l’on voit bien que l’ICO continue à appliquer RGPD et cela rappelle aux responsables de traitement qu’ils doivent sécuriser les outils et procédures.
Brexit
En cas de Brexit, le European Union Withdrawal Act dispose que les textes européens deviendront pour un certain nombre d’entre eux des normes de droit interne britannique après le retrait du Grande-Bretagne. La difficulté principale serait alors d’adapter le contenu au pays, en retirant donc toute mention faite aux institutions. Le but est alors d’assurer la protection des Anglais et des Européens aussi bien avant, qu’après le Brexit. L’ICO précise d’ailleurs que le Brexit n’aura aucune conséquence sur les politiques de confidentialité et autres mentions d’informations. On peut imaginer qu’un accord sera trouvé avant le Brexit et qu’il fixera le régime des données personnelles.
Hard Brexit
En cas d’échec et de Hard Brexit, la Grande-Bretagne ne pourra probablement pas prétendre à entrer dans l’Espace économique européen. Les responsables de traitement ainsi que les sous-traitants devront donc mettre en place un contrôleur data dans l’Union européenne chargé d’être l’intermédiaire avec l’Europe. Il sera probablement interdit de dévernie du data sur des sujets de droit européens en Grande-Bretagne sauf si les responsables parviennent à encadrer les transferts afin de les rendre conformes au RGPD. Des clauses types devront donc être insérées. On peut imaginer que le Grande-Bretagne sera reconnu comme suffisamment protecteur pour pouvoir se passer de telles sécurités. En attendant, en dehors des dérogations prévues à l’article 49 du RGPD, les clauses contractuelles standards (SCC) ou les règles d’entreprise contraignantes (BCR) doivent être utilisés afin d’assurer la protection du data. Dans les cas où les SCC ne sont pas utilisés, d’autres sécurités peuvent être mises en place.

Quelle que soit l’issue du Brexit, des conséquences devront être anticipées. Lorsque la Grande-Bretagne se sera retirée de l’Union, les entreprises devront donc décider de stocker les données de leurs clients en Europe ou au Grande-Bretagne.

Visiblement, l’ICO semble accepter la protection européenne pour le moment et les entreprises ont donc tout intérêt à stocker les données en Europe et à les traiter en Europe. Malheureusement, cela semble parfois compliqué du fait de la masse de données et de l’organisation interne de la société.

On peut imaginer que le régime se calquera sur celui que l’on réserve actuellement aux États-Unis par exemple. En principe, le transfert de données est interdit. L’entreprise, même si elle est basée au Grande-Bretagne ne pourra pas transférer les données de ses utilisateurs européens vers son siège. Une autorisation expresse peut être remise par l’utilisateur à l’entreprise. On peut espérer que la Grande-Bretagne assure un niveau de protection suffisant et que la Commission Européenne parviendra à passer au delà des frustrations du Brexit pour confirmer que le pays assure une protection efficace des données au même titre que Andorre, Argentine, Canada (pour les organisations commerciales), les îles Faroe, Guernsey, Israel, l’Ile de Man, Jersey, la Nouvelle Zélande, la Suisse, l’Uruguay et les États-Unis (Privacy Shield). On assure ce niveau de sécurité par l’insertion des clauses contractuelles sus-mentionnées. Il faudra rester prudent puisque sorti du cadre protecteur de l’Union Européenne, la Grande-Bretagne risque de traverser les mêmes difficultés que les États-Unis. Rappelons qu’après les révélations d’Edward Snowden, l’Union Européenne a tôt fait de retirer sa confiance qui n’est toujours pas tout à fait rétablie malgré l’adoption du Privacy Shield.

Les entreprises devront donc être prêtes à affronter une certaine insécurité juridique dans leur exploitation du data. Nous ne pouvons que les encourager à rester au fait des évolutions du secteur afin de rester conformes.

About Author

Related posts

Laisser un commentaire