Close
  • Français
  • English

To be adequate or not…

12/01/2021

Nos amis britanniques ont coupé les liens avec l’Union européenne. De ce fait, le RGPD ne devrait plus s’appliquer après une période transitoire. Les données à caractère personnel qui circulaient auparavant librement vont être soumises à de nouvelles règles, si la Commission européenne prend une décision d’adéquation favorable au Royaume-Uni. Echaudée par deux échecs devant la CJUE, confrontée à la contradiction du Cloud Act, la Commission s’engage dans une voie redoutable.

 

 Le RGPD (art.45) prévoit les conditions selon lesquelles un transfert de données à caractère personnel peut être opéré en dehors de l’Union. Il en est ainsi lorsque la Commission a constaté que le pays cible offre un niveau de protection adéquat.

C’est précisément en raison d’un défaut d’adéquation que la Cour de justice de l’Union européenne a successivement sanctionné la décision Safe Harbor (arrêt C-362/14 du 6 octobre 2015, Maximillian Schrems/ Data Protection Commissionner) et la décision Privacy Shield (arrêt C311-18 du 16 juillet 2020 Data Protection Commissioner/ Facebook inc. et Maximillian Schrems) qui autorisaient de tels transferts vers les Etats-Unis. Le dernier arrêt, a été motivé par les ingérences, résultant des programmes de surveillance fondés sur l’article 702 du FISA (1978) et sur l’E.O. 12333 (1981), qui ne sont pas soumises à des exigences assurant un niveau de protection substantiellement équivalent à celui garanti par la Charte de l’Union (article 52).

Le contrôle strict exercé par la CJUE est à comparer avec la teneur très favorable des propos de Vĕra Jourová, commissaire européenne, dans le dernier rapport sur l’application du Privacy Shield, du 23 octobre 2019 « Avec quelque 5 000 sociétés participantes, le bouclier de protection des données est une réussite. L’examen annuel nous permet de vérifier que tout fonctionne correctement. Nous poursuivrons le dialogue sur la diplomatie numérique avec nos homologues américains afin de rendre le bouclier plus solide, notamment en matière de contrôle, d’application de la législation et, à plus long terme, pour améliorer la convergence de nos systèmes ».

C’est dire si la Commission multipliera les précautions lorsqu’elle va prendre une nouvelle décision d’adéquation. Le cas britannique va lui donner l’occasion d’appliquer la jurisprudence à une des conséquences du Brexit. Depuis  le 1er janvier, en effet, le Royaume-Uni n’est plus dans l’Union. L’accord de commerce et de coopération, conclu le 24 décembre 2020, prévoit cependant que le règlement européen pour la protection des données personnelles (RGPD) reste applicable de manière transitoire au Royaume-Uni pour une durée maximale de 6 mois.

A compter du 1er juillet, les transferts devront reposer sur une décision d’adéquation. Compte tenu des arguments avancés par la CJUE à l’occasion de son dernier arrêt, comment évaluer l’impact de l’accord bilatéral adopté par les Etats-Unis et le Royaume-Uni dans le cadre du Cloud Act, en octobre 2019 ? On connaît la contrariété de ce texte avec le RGPD.

La décision d’adéquation repose notamment sur les engagements internationaux pris par le pays bénéficiaire et les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers qu’il applique. Le Cloud Act est donc un obstacle majeur à la prise d’une décision d’adéquation au bénéfice des britanniques, sauf s’ils venaient à renoncer à l’accord de 2019. S’il n’en était pas ainsi, le RGPD serait vidé de son sens. Un Schrems III serait inévitable. Le Royaume-Uni sera bien obligé de satisfaire à des conditions imposées par l’Union, faute de quoi la transfert des données pourrait être compromis.