Bruxelles a donné sa bénédiction à la libre circulation des données entre les 27 pays membres et le Royaume-Uni. La Commission européenne a en effet adopté lundi deux décisions dites d’adéquation, l’une au titre du règlement général sur la protection des données (RGPD) et l’autre au titre de la directive en matière de protection des données dans le domaine répressif, qui permettront aux entreprises de transférer des données de l’UE vers son ancien État membre sans craindre de violer les règles de confidentialité du Vieux Continent.
« C’est un très gros problème pour toutes les entreprises opérant au Royaume-Uni, car cela évite des complications qui auraient pu interférer avec les flux de données de l’UE vers le Royaume-Uni », a expliqué à Bloomberg Rafi Azim-Khan, avocat spécialisé dans la protection des données chez Pillsbury à Londres. Alors que l’UE et le Royaume-Uni étaient toujours en discussion en décembre sur les derniers détails d’un accord commercial historique post-Brexit, une solution provisoire de six mois garantissant la libre circulation des données avait été mise en place.
Les données à caractère personnel peuvent donc désormais circuler librement depuis l’Union européenne vers le Royaume-Uni, où elles bénéficient d’un niveau de protection substantiellement équivalent à celui garanti en vertu de la législation de l’Union. Les décisions d’adéquation facilitent également la mise en œuvre correcte de l’accord de commerce et de coopération entre l’Union européenne et le Royaume-Uni, qui prévoit l’échange d’informations à caractère personnel, par exemple en matière de coopération judiciaire.
Pour répondre aux préoccupations selon lesquelles Londres pourrait à l’avenir s’éloigner des règles strictes de protection de la vie privée de l’UE (RGPD et directive en matière de protection des données dans le domaine répressif), la commission a ajouté une clause dite d’extinction, qui conduit à un réexamen de l’accord sur le transfert de données tous les quatre ans. Passé ce délai, les constats d’adéquation ne peuvent être renouvelés que si le Royaume-Uni continue d’assurer un niveau adéquat de protection des données.
« Bien que le Royaume-Uni ait quitté l’Union européenne, son régime juridique en matière de protection des données à caractère personnel est resté identique. C’est la raison pour laquelle nous adoptons aujourd’hui ces décisions d’adéquation », commente dans un communiqué la Tchèque Věra Jourová, vice-présidente chargée des valeurs et de la transparence de la Commission européenne. « Dans le même temps, nous avons été très attentifs aux craintes exprimées par le Parlement, les États membre et le comité européen de la protection des données, en particulier quant à d’éventuelles divergences futures du cadre britannique de protection des données par rapport aux normes de l’UE. Il s’agit d’un droit fondamental des citoyens de l’Union, citoyens que nous avons le devoir de protéger. C’est la raison pour laquelle nous avons prévu des mesures de sauvegarde importantes et si des changements surviennent du côté britannique, nous interviendrons. »
« Il s’agit d’un volet essentiel de notre nouvelle relation avec le Royaume-Uni. Il est important pour assurer la fluidité des échanges et une lutte efficace contre la criminalité. La Commission suivra de près la manière dont le système britannique évoluera à l’avenir et nous avons renforcé nos décisions pour y parvenir et pour intervenir si nécessaire », ajoute de son côté le Belge Didier Reynders, commissaire européen chargé de la justice. « L’Union européenne dispose des normes les plus élevées en matière de protection des données à caractère personnel et ces normes ne doivent pas être compromises lorsque ces données sont transférées vers l’étranger. »