Introduction
Si l’accord de commerce et de coopération entre l’Union Européenne et le Royaume Uni, officialisé le 24 décembre 2020, ne tranche pas la question d’adéquation en matière de transferts de données entre les deux territoires, l’accord prévoit néanmoins une période de transition courant à partir du 1er janvier 2021, pendant laquelle le cadre RGDP demeure majoritairement (mais pas complètement, nous y reviendrons ci-dessous) applicable pour les transferts de données de l’UE vers le Royaume Uni. L’accord a ainsi le mérite d’offrir un répit - certes de courte durée - aux opérateurs économiques effectuant des transferts de données transfrontaliers dans le cadre de leurs activités.
Le présent article se propose de décrypter ce dispositif, en se penchant successivement sur (I) les dispositifs qui persisteront pendant la période intérimaire, (II) les changements à prévoir pendant la même période et (III) les issues possibles à la fin de la période de transition.
I – Ce qui ne change pas avec la période d’intérim.
Il convient tout d’abord de noter que l’accord de commerce et de coopération n’a aucun impact sur les transferts de données du Royaume-Uni vers l’Espace Economique Européen (ci-après EEE) : dans un règlement publié dès le 28 février 2019, le gouvernement britannique avait en effet accordé une décision d’adéquation aux pays de l’EEE.
Pour l’heure, donc, un sous-traitant basé en France, et traitant des données personnelles de consommateurs anglais par exemple, pourra donc continuer à opérer comme précédemment.
Quant aux transferts de données de l’EEE vers le Royaume-Uni, l’accord de commerce et de coopération prévoit donc que le cadre RGPD continuera de s’appliquer au-delà du 1er janvier 2021, ce qui signifie qu’une société basée dans l’EEE pourra continuer d’envoyer des données vers le Royaume-Uni pour y effectuer un traitement automatisé par exemple. L’article FINPROV.10A (p.452) de l’accord en question prévoit que le cadre RGPD restera applicable soit a) jusqu’au jour où des décisions d’adéquation concernant le Royaume Uni seront adoptées par la Commission européenne, soit (b) pour une période d’une durée initiale de quatre mois, prolongeable de deux mois, “sauf si l’une des Parties s’y oppose”.
Au maximum donc, le cadre RGPD continuera de courir jusqu’au 1er juillet 2021.
Il est important de souligner que l’UE se réserve le droit de mettre fin à cette période intérimaire antérieurement et indépendamment des deux échéances citées précédemment a) dans le cas où le Royaume-Uni modifierait le régime de protection des données applicable en son sein à la date du 31 décembre 2020 ou b) dans le cas où le pays exercerait les pouvoirs désignés sans l’accord de l’Union au sein du conseil de partenariat.
II- Ce qui change avec la période d’intérim.
Comme déjà esquissé rapidement en entête de cet article, si le cadre RGPD reste majoritairement en place au-delà du 1er janvier 2021, le dispositif connait néanmoins un changement de taille : la fin du mécanisme de “guichet unique” RGPD pour le Royaume-Uni et donc la nécessité pour les responsables de traitement ou sous-traitants basés de l’autre côté de La Manche, et agissant pour le compte d’opérateurs basés dans l’EEE, de nommer un représentant RGPD en Union Européenne (ci-après, représentant UE).
Le mécanisme dit du “guichet unique” permet d’instituer un interlocuteur unique pour les responsables de traitement ou sous-traitants établis à l’intérieur de l’UE mais effectuant des transferts de données entre plusieurs pays. Cet interlocuteur unique est l’autorité de protection des données du pays où se trouve l’établissement principal de l’entreprise - pour les sociétés basées au Royaume-Uni, et jusqu’au 1er Janvier 2021, il s’agissait donc du Information Commissioner’s Office (ICO), l’équivalent de la CNIL en France. Or ce mécanisme ne s’applique pas aux entreprises établies hors de l’UE : post 1er janvier 2021 donc, toute entreprise britannique traitant des données pour le compte d’une entreprise française sera tenue de désigner un représentant UE sur place, ainsi que dans l’ensemble des pays de l’EEE avec lesquels elle traite.
Comme prévu par l’article 27 du RGPD, le rôle du représentant UE est double : il permet tout d’abord de faire la liaison avec les autorités compétentes locales. Il agit également comme point de contact local pour les citoyens de l’EEE afin qu’ils puissent exercer leurs droits facilement et surveiller le traitement de leurs données par le sous-traitant ou responsable de traitement. Le représentant est une personne physique ou morale, souvent un professionnel du droit ou un spécialiste des données. De par son rôle, il est souvent basé depuis le territoire dans le ressort duquel le plus grand nombre de données est collecté.
III – Les issues possibles à la fin de la période d’intérim.
Quelles pourraient être les issues possibles à la fin de la période d’intérim de 4 à 6 mois ainsi instituée par l’accord du 24 décembre 2020 ?
Deux scénarios principaux semblent se dessiner : la Commission Européenne pourrait tout d’abord accorder sa décision d’adéquation au Royaume Uni – un scénario qui semble toutefois improbable au vu du court délai imparti par l’accord, des délais habituels pour de telles décisions d’adéquation et de la multitude d’autres sujets qui restent à être négociés entre les deux blocs.
A défaut d’une décision d’adéquation de l’UE en faveur du Royaume Uni, les transferts de données en provenance de pays européens pourraient se voir qualifiés de transferts vers un pays tiers dès le 2 juillet 2021 : une telle issue qui soulèverait, elle-même, une multitude d’interrogations et de difficultés.
Tout d’abord parce que l’arrêt de la CJUE du 6 juillet 2020, dit “Schrems II”, semble semer le doute sur l’ensemble des transferts internationaux de données vers des pays tiers : si la décision en question vise les transferts de données vers les Etats-Unis (invalidant l’accord “Privacy Shield” conclu entre les Etats-Unis et l’UE au motif que les engagements contenus dans ce dernier peuvent être contournés par la législation fédérale américaine en termes de sécurité nationale), l’arrêt pourrait préfigurer des décisions futures sur les transferts de données de l’UE vers le Royaume-Uni. Le Royaume-Uni étant lui-même souvent pointé du doigt pour la portée de ses lois de sécurité nationale (notamment pour son appartenance à l’alliance des services de renseignement Five Eyes et pour le Regulation of Investigatory Powers Act de 2000, étendant le pouvoir de surveillance des institutions publiques).
Ensuite, car il n’est ni clair ni certain quel cadre encadrera les échanges entre les responsables de traitement ou sous-traitants de pays tiers et l’EEE dans les mois, voir les années, à venir. En effet, si la décision Schrems II n’a pas invalidée les clauses contractuelles types (ci-après CCT) [1], la décision de la CJUE semble avoir poussé la Commission à revoir sa copie en la matière. Le 12 novembre dernier, la CJUE a annoncé un projet d’adoption de nouvelles CCTs, ouvert à la consultation jusqu’au 10 décembre 2020.
Conclusion
Il y a fort à parier que les CCTs connaîtront donc des changements dans les mois à venir, et que les entreprises basées dans l’EEE ainsi que leurs partenaires commerciaux basés au Royaume-Uni souhaitant se préparer pour la période débutant après le 1er Juillet 2021 devront faire preuve d’une agilité accrue.
