Le Royaume-Uni et les Etats-Unis se sont accordés sur un cadre d'échange des données personnelles. Le "Data Bridge", dont l'entrée en vigueur a été fixée au 12 octobre après examen du Regulatory Policy Committee, permettra aux entreprises britanniques de transférer des données outre-Atlantique sans avoir besoin de rédiger des clauses contractuelles.
La Secrétaire d'État britannique à la Science, à l'Innovation et à la Technologie, Michelle Donelan, a annoncé le 21 septembre la signature d'un "Data Bridge" dont l'entrée en vigueur est fixée au 12 octobre.
Le Databridge va officialiser un accord de transfert de données UK-US et permettre ainsi une circulation facilitée des données personnelles outre-Atlantique, sans qu'aucune mesure supplémentaire de protection ne doive être adoptée par les entreprises britanniques.
Avant son entrée en vigueur, le "Data Bridge" devra être examiné par le RPC- Regulatory Policy Committee, un groupe d'experts indépendants chargé de contrôler les politiques gouvernementales, qui se doit encore d'y apporter des améliorations.
Enjeu économique de taille
Le Data Bridge est l'équivalent européen d'une décision d'adéquation. Auparavant, brexit oblige, les entreprises britanniques devaient mettre en place des clauses contractuelles pour chaque transfert de données personnelles vers les Etats-Unis.
Le Data Bridge va ainsi permettre que le niveau de protection des données transféré est suffisamment garanti, mais à un coût moindre.
L'enjeu économique de cet accord est en effet conséquent. En 2021, 93% des exportations de services du Royaume-Uni étaient basées sur des données et le Royaume-Uni a exporté plus de 79 millions de livres sterling (environ 90 millions d'euros) de ces services vers les Etats-Unis.
Quelles garanties côté US
L’annonce inclut l’objectif de “faciliter les flux de données entre les deux pays tout en assurant des protections de la vie privée fortes et efficaces, sans indiquer comment cela sera réalisé. Il y a certes des références à la “confiance dans l’économie numérique” et à la déclaration de l’OCDE sur l’accès du gouvernement aux données personnelles détenues par des entités du secteur privé, mais il n’y a pas de mention des protections de la vie privée au niveau fédéral ou étatique.
Quelles garanties côté UK
Alors que des discussions ont lieu en même temps avec les institutions européennes, ce nouveau mécanisme serait une extension du Cadre de Protection des Données UE-États-Unis (DPF). Ce DPF préliminaire est conçu pour remanier l’ancien arrangement du Bouclier de Protection des Données entre les États-Unis et l’UE, qui a été jugé illégal en 2020 selon les règles du RGPD dans l’affaire Schrems II.
Une extension au nouveau Privacy Shield?
Avec la nouvelle décision d’adéquation autorisant les transferts de données de l’UE vers des organisations américaines certifiées pour ce système, le data bridge alignerait la position du RGPD du Royaume-Uni avec celle du RGPD de l’U.E.
Mais quelques mois à peine après son entrée en vigueur, le nouveau cadre de protection des données EU-USA est déjà remise en cause.
Le député MoDem Philippe Latombe, en sa qualité de citoyen, a déposé un recours en annulation devant la Cour de justice de l'Union européenne. Il devrait être suivi par Max Schrems, membre de l'association autrichienne Noyb, à l'origine de l'invalidation du Privacy Shield.
Si le Data Privacy Framework de l'U.E est annulé, que restera t-il lors du Data Bridge britannique ?
A noter que depuis sa sortie de l'Union européenne, le Royaume-Uni a mis en place un accord similaire avec plusieurs pays, dont la Corée du Sud. Toujours sous un régime proche du RGPD, il souhaite assouplir les règles en matière de protection des données, ce qui permettrait de réaliser plus de 4 milliards de livres sterling (environ 46 milliards d'euros) d'économies en 10 ans.
Pour en savoir plus :
留言