UNION EUROPEENNE : DONNEES PERSONNELLES AU ROYAUME-UNI

La Commission a engagé ce jour un processus devant conduire à l'adoption de deux décisions relatives à l'adéquation du niveau de protection des données pour les transferts de données à caractère personnel vers le Royaume-Uni, une dans le cadre du règlement général sur la protection des données et l'autre dans celui de la directive en matière de protection des données dans le domaine répressif. La publication des projets de décisions constitue la première étape d'un processus devant conduire à leur adoption. Cela suppose d'obtenir l'avis du Comité européen de la protection des données, ainsi que le feu vert d'un comité composé de représentants des États membres de l'UE. Une fois ce processus arrivé à terme, la Commission pourrait procéder à l'adoption des deux décisions d'adéquation. Au cours des mois écoulés, la Commission a étudié attentivement la législation et les pratiques du Royaume-Uni en matière de protection des données à caractère personnel, y compris les règles relatives à l'accès des pouvoirs publics aux données. Elle en a conclu que le Royaume-Uni garantissait un niveau de protection substantiellement équivalent à celui garanti en vertu du règlement général sur la protection des données (RGPD), et, pour la première fois, en vertu de la directive en matière de protection des données dans le domaine répressif. Mme Věra Jourová, vice-présidente chargée des valeurs et de la transparence, a déclaré: «Le fait que la libre circulation sécurisée des données à caractère personnel soit garantie est capital pour les entreprises comme pour les citoyens de part et d'autre de la Manche. Le Royaume-Uni a certes quitté l'UE, mais pas la famille européenne en matière de protection de la vie privée. Il nous faut cependant nous assurer que nos décisions résisteront à l'épreuve du temps. C'est pourquoi nous les avons assorties de mécanismes clairs et stricts permettant leur suivi, leur examen, leur suspension ou leur retrait, afin d'être en mesure de faire face à toute évolution problématique du système britannique une fois ces décisions rendues.» M. Didier Reynders, commissaire chargé de la justice, a fait la déclaration suivante: «Il est essentiel de maintenir un flux de données sécurisées entre l'UE et le Royaume-Uni en vue de conserver des liens commerciaux étroits et de coopérer efficacement dans la lutte contre la criminalité. Nous avons engagé ce jour le processus pour ce faire. Nous avons procédé à la vérification approfondie du système de protection de l'information en vigueur au Royaume-Uni depuis que ce dernier a quitté l'UE. À présent, c'est au tour des autorités européennes de protection des données de passer les projets de décisions au crible. Le droit fondamental des citoyens de l'UE à la protection de leurs données ne saurait souffrir aucune concession lorsque des données à caractère personnel traversent la Manche. C'est précisément cela que les décisions relatives à l'adéquation du niveau de protection des données garantiront, une fois adoptées.» Alors qu'avec d'autres pays tiers la convergence s'obtient grâce au processus d'adéquation entre des systèmes souvent divergents, le droit de l'UE a façonné le régime britannique de protection des données des décennies durant. Il est cependant essentiel, à présent que le Royaume-Uni n'est plus lié par les règles de l'UE en matière de respect de la vie privée, que les constats d'adéquation résistent à l'épreuve du temps. C'est pourquoi ces décisions d'adéquation, une fois adoptées, ne devraient être valides, dans un premier temps, que pour une période de quatre ans. Après ces quatre ans, il serait envisageable de renouveler le constat d'adéquation, à condition que le niveau de protection britannique reste adéquat. D'ici là, les flux de données entre l'Espace économique européen et le Royaume-Uni se poursuivront et resteront sécurisés grâce au régime provisoire conditionnel convenu dans l'accord de commerce et de coopération UE-Royaume-Uni. Cette période provisoire prendra fin le 30 juin 2021.

Prochaines étapes

Après avoir pris en compte l'avis du Comité européen de la protection des données, la Commission européenne demandera le feu vert aux représentants des États membres dans le cadre de la procédure de comitologie. Cela fait, la Commission européenne pourrait adopter les décisions relatives à l'adéquation du niveau de protection des données au Royaume-Uni sous leur forme définitive.

Contexte

L'article 45, paragraphe 3, du RGPD et l'article 36, paragraphe 3, de la directive en matière de protection des données dans le domaine répressif donnent à la Commission le pouvoir de décider, par voie d'actes d'exécution, qu'un pays tiers assure «un niveau de protection adéquat», à savoir un niveau de protection des données à caractère personnel substantiellement équivalent à celui garanti au sein de l'UE. Si un pays tiers est jugé «adéquat», alors les transferts de données à caractère personnel de l'UE vers le pays tiers en question peuvent avoir lieu sans être soumis à aucune autre condition. Au Royaume-Uni, le traitement des données est régi par le «RGPD britannique» et la loi de 2018 sur la protection des données, tous deux basés sur le RGPD et la directive en matière de protection des données dans le domaine répressif de l'UE. Ces actes prévoient des garanties similaires, des droits individuels, des obligations pour les responsables du traitement des données et les sous-traitants, des règles sur les transferts internationaux, un système de contrôle et un accès aux voies de recours offertes en vertu du droit de l'UE. Les projets de décisions comprennent aussi une évaluation détaillée des conditions et des limites, ainsi que des mécanismes de surveillance et des recours applicables en cas d'accès aux données par des pouvoirs publics britanniques, notamment à des fins répressives et de sécurité nationale. Il y a lieu également de noter que le Royaume-Uni est partie à la Convention européenne des droits de l'homme et à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe, unique instrument multilatéral contraignant en matière de protection des données, et qu'il s'est engagé à le rester. Cela signifie que, bien qu'il ait quitté l'UE, le Royaume-Uni continue de faire partie de la famille européenne en matière de protection de la vie privée. Le fait de continuer d'adhérer à ces conventions internationales est d'une grande importance au regard de la stabilité et de la viabilité des décisions d'adéquation proposées. Ces projets de décisions relatives à l'adéquation du niveau de protection des données envoyés ce jour au Comité européen de la protection des données concernent les flux de données transitant depuis l'UE vers le Royaume-Uni. Les flux de données allant dans la direction opposée, à savoir du Royaume-Uni vers l'UE, sont régis par la législation britannique en vigueur depuis le 1er janvier 2021. Estimant que l'UE assure un niveau de protection adéquat, le Royaume-Uni a décidé que les données pouvaient circuler librement depuis le Royaume-Uni vers l'UE. p/o Virginie Gastine Menou RISQUES ET VOUS ✍🏼 Proposer une offre de job : 💈 Consulter les offres qui vous correspondent :