Suite au rejet de l’accord négocié de sortie de l’Union Européenne par les députés britanniques le 15 janvier 2019, le scénario le plus probable est donc le « non deal » : un retrait sans accord de l’UE [1].
La procédure de sortie de l’UE doit s’achever le 29 mars 2019, mais jusqu’à cette date, le Royaume-Uni reste un Etat membre de l’Union européenne.

Depuis le 25 mai 2018, le Règlement UE n°2016/679 sur la Protection des Données à caractère personnel (RGPD) est entrée en vigueur. Dans la mesure où il s’agit d’un règlement européen, et non pas d’une directive, le texte est entré en application directement et en même temps dans tous les Etats membres de l’Union européenne, sans transposition.

Avec le Brexit, se pose la question des conséquences sur le RGPD et plus largement, sur le sort des opérations de transfert des données à caractère personnel vers le Royaume-Uni.

I. RGPD : un territoire d’application étendu.

Le RGPD avait pour objectif d’étendre la portée du champ d’application de la législation de l’UE concernant la protection des données. C’est pourquoi, son champ d’application s’applique à tout traitement de données à caractère personnel :
 qui a lieu dans le cadre des activités d’un établissement, d’un responsable de traitement ou d’un sous-traitant, sur le territoire de l’UE, que le traitement ait lieu ou non dans l’UE ;
 relatives à des personnes situées sur le territoire de l’UE par un responsable de traitement ou un sous-traitant ;
 relatives à des personnes situées sur le territoire de l’UE par un responsable de traitement ou un sous-traitant qui n’est pas dans l’UE si le traitement est lié : A l’offre de biens ou de services aux personnes concernées dans l’UE (payant ou gratuit)/ Au suivi du comportement des personnes au sein de l’UE.

Ainsi, peu importe la nationalité de la personne concernée, seuls comptent les critères de l’établissement des acteurs impliqués dans le traitement et le territoire où est situé la personne. En raison de sa portée extraterritoriale, pour la majorité des acteurs britanniques le RGPD continuera de s’appliquer dans leurs relations avec leurs partenaires européens.

II. Le transfert des données vers le Royaume-Uni.

Faute d’accord, le 30 mars 2019, le Royaume-Uni deviendra un pays tiers au sens du RGPD. En principe, les transferts de données à caractère personnel hors du territoire de l’UE sont interdits, à moins que le pays ou le destinataire n’assure un niveau de protection suffisant.

Conformément à l’article 44 du RGPD, tout transfert de données à caractère personnel vers un pays tiers doit être réalisé :

 par une décision d’adéquation de la Commission (art. 45 du RGPD) ; ou
 par la présence de garanties appropriées par le responsable du traitement ou le sous-traitant (art. 46 du RGPD). Il peut s’agir d’instruments juridiques contraignants et exécutoires, de règles d’entreprise contraignantes (BCR –Binding Corporate Rules), de clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne, de codes de conduite ou de certifications ; ou
 par des dérogations spécifiques (art. 49 du RGPD) telles que l’obtention explicite du consentement de la personne concernée au transfert, un transfert nécessaire à l’exécution d’un contrat, …

III. Le transfert des données du royaume-uni vers l’UE et les pays tiers.

Adoptée le 23 mai 2018, la loi britannique sur la protection des données (dite « DPA ») fournit un cadre juridique adapté aux règles européennes sur le plan national, et continuera à s’appliquer après le Brexit. Le Gouvernement britannique a d’ailleurs publié un guide relatif aux futurs amendements à la législation nationale de protection des données dans l’hypothèse d’un Brexit sans accord (No Deal Scenario). Ainsi, le Gouvernement britannique semble mettre en avant trois hypothèses possibles sur la question du transfert des données :
 il pourra reconnaître à titre transitoire, tous les Etats de l’EEE et Gibraltar comme assurant un niveau de protection adéquat des données ce qui aura pour conséquence la continuité de circulation des données du Royaume-Uni vers ces pays après le Brexit ;
 sur une base transitoire, le Gouvernement pourra préserver les décisions d’adéquation de l’UE (Amérique, Japon, Suisse, Israël, …) ce qui permettra le transfert des données du Royaume-Uni vers ces pays tiers ;
 il pourra reconnaître comme mesure appropriée pour permettre les transferts internationaux de données à partir du Royaume-Uni, les clauses contractuelles types élaborées par la Commission.

Finalement, à la lecture de ce Guide, le Gouvernement affirme que les mêmes standards du RGPD vont continuer à s’appliquer au Royaume-Uni et l’Information Commissionner Office (ICO) restera le régulateur indépendant de la protection des données au Royaume-Uni.

Par conséquent, l’enjeu pour les acteurs est d’examiner si les biens et/ou services des filiales, partenaires et/ou prestataires sont fournis au sein du Royaume-Uni pour ensuite adopter les stratégies notamment contractuelles pour rester en conformité avec les exigences du Règlement sur la protection des données.

Aleksandra THÉLOT Juriste en Propriété Intellectuelle thelot@regimbeau.eu www.regimbeau.eu