Depuis hier, les entreprises françaises n'ont plus besoin d’encadrer les flux de données personnelles vers le Royaume-Uni au moyen de garanties appropriées prévues par le RGPD pour les transferts vers les pays tiers. En effet, l'Union européenne vient de trouver un accord avec Londres, pour une durée au moins de 4 ans.
Le Royaume-Uni et l'Union européenne se sont donc accordés sur l'application du Règlement général pour la protection des données personnelles (RGDP), après le 1er Juillet 2021. Les deux décisions d'adéquations viennent d'être publiées et adoptées pour une durée de 4 ans.
Des démarches simplifiées.
Grâce à cette décision d'adéquation, la Commission européenne a ainsi conclu que "le Royaume-Uni a pleinement intégré dans son système juridique post-Brexit les principes, droits et obligations du RGPD et de la directive en matière de protection des données dans le domaine répressif".
Ces accords représentent une étape majeure à la fois procédurale et financière pour toutes les entreprises britanniques qui traitent les données des citoyens européens et qui n'auront donc pas besoin d'effectuer des démarches supplémentaires pour garantir que ces informations sont correctement protégées.
Quid de l'accord UK-US ?
Rappelons que cette décision d'adéquation était très loin d'être acquise, principalement en raison des préoccupations de l'UE et de la société civile concernant le régime de surveillance du Royaume-Uni et de son adhésion à l'alliance pour le renseignement militaire "Five Eyes" avec l'Australie, le Canada, la Nouvelle-Zélande et les États-Unis.
C'est la signature en octobre 2019 d'un accord de coopération entre le Royaume-Uni et les Etats-Unis qui constitue encore l'une des principales craintes de la Commission européenne.
Ce texte, qui s'inscrit dans le cadre du CLOUD Act, prévoit que les autorités répressives peuvent demander des preuves électroniques directement auprès d'un fournisseur de services cloud sans passer par les procédures prévues par les traités d'entraide judiciaire mutuelle pour les infractions passibles d'une peine maximale d'emprisonnement d'au moins trois ans. Avec l'invalidation du Privacy Shield, cet accord ne serait donc pas en conformité avec le RGPD.
A ce sujet, les autorités britanniques ont expliqué que les détails de la mise en œuvre concrète des garanties en matière de protection des données font encore l'objet de discussions entre le Royaume-Uni et les États-Unis. Tout en affirmant que cet accord n'entrera en vigueur seulement si "sa mise en œuvre est conforme aux obligations légales qui y sont prévues".
Le Royaume-Uni est donc tenu de communiquer à Bruxelles les informations sur "la manière avec laquelle les États-Unis se conformeront à leurs obligations au titre de l'accord".
L'accord de coopération entre le Royaume Uni et les Etats Unis continue de susciter des craintes, Cloud Act oblige "
L'adoption de ces textes ne clôture donc pas pour autant certains questionnements et ne met pas fin aux craintes quant aux éventuelles divergences du cadre britannique de protection des données par rapport à l'UE, s'agissant de l'accord de coopération entre le Royaume Uni et les Etats Unis. Raison pour laquelle ces décisions d'adéquation au RGPD ne sont valables que pour une durée de 4 ans.
Cette décision d'adéquation intègre par ailleurs, et pour la première fois, une clause dite de "suppression automatique", en cas de non conformité RGPD de l'accord britannique-américain