Bruxelles a donné son premier feu vert pour que les données personnelles continuent de circuler entre le Royaume-Uni et l'UE dans l'ère post-Brexit.
La Commission européenne a publié vendredi un projet de décision concluant que le régime de protection des données du Royaume-Uni est conforme au RGPD, la loi phare de l'UE sur la protection des données.
Le GDPR, qui signifie Règlement général sur la protection des données, est devenu l'un des textes législatifs les plus reconnaissables de l'UE.
Bruxelles tient particulièrement à promouvoir et à défendre sa mise en œuvre, tant à l'intérieur qu'à l'extérieur du bloc.
La loi, qui s'applique également en Islande, au Liechtenstein et en Norvège, a inspiré de nombreuses lois sur la protection des données dans le monde.
L'article 45 du RGPD accorde à la Commission européenne le pouvoir d'évaluer si les pays tiers garantissent un niveau de protection des données "essentiellement équivalent" à ce que le RGPD offre aux citoyens de l'UE
Si la Commission européenne considère que la protection est "adéquate", des transferts de données à caractère personnel entre l'UE et ce pays tiers peuvent avoir lieu sans être soumis à des conditions supplémentaires.
C'est ce que Bruxelles recommande dans le cas du Royaume-Uni.
La décision de la Commission européenne n'est pas encore définitive : elle nécessite désormais l'avis du comité européen de la protection des données (EDPB) et le feu vert d'un comité composé de représentants nationaux.
Dans l'intervalle, les flux de données entre les deux continuent de fonctionner grâce à un régime provisoire inclus dans l'accord de libre-échange UE-Royaume-Uni signé l'année dernière. Ce régime expire le 30 juin.
« Garantir [la] circulation libre et sûre des données personnelles est crucial pour les entreprises et les citoyens des deux côtés de la Manche », a déclaré Věra Jourová, vice-présidente de la Commission européenne. "Le Royaume-Uni a quitté l'UE, mais pas la famille européenne de la vie privée."
L'histoire de deux RGPD
Après le Brexit, le Royaume-Uni n'est plus lié par le droit de l'UE. Avant que le pays ne quitte le bloc, le gouvernement britannique a trié sur le volet les lois européennes qu'il souhaitait préserver - et celles qu'il souhaitait supprimer.
Le GDPR a été retenu dans le droit interne du Royaume-Uni par transposition, dans ce que l'on appelle désormais le « RGPD britannique ». Les dispositions sont pratiquement les mêmes mais, après le Brexit, Westminster a le pouvoir de les revoir et de les modifier.
Avec cette possibilité à l'esprit, le projet de décision de la Commission européenne introduit des mécanismes pour surveiller et évaluer si le régime britannique reste équivalent à celui de l'UE.
"Ce contrôle est particulièrement important dans ce cas, car le Royaume-Uni va administrer, appliquer et faire respecter un nouveau régime de protection des données qui n'est plus soumis au droit de l'Union européenne et qui peut être susceptible d'évoluer", le texte lit.
La première évaluation interviendra quatre ans après l'entrée en vigueur de la décision.
Si la Commission considère que la protection des données au Royaume-Uni s'est détériorée ou s'est écartée par rapport à l'UE, elle pourrait soumettre les flux de données UE-Royaume-Uni à des conditions supplémentaires ou limiter la portée des transferts.
Dans un scénario plus extrême, Bruxelles pourrait suspendre ou abroger complètement la décision d'équivalence, bien que cela semble hautement improbable compte tenu des similitudes entre les deux RGPD et du large soutien à la protection des données des deux côtés de la Manche.
