Dans la foulée de la reconnaissance (controversée) de l’adéquation du droit anglais avec les règles européennes en matière de données personnelles, le gouvernement de Sa Majesté fait exactement ce à quoi l’on pouvait s’attendre de la perfide Albion : détricoter sa législation et couper les ponts avec le RGPD honni.

Dans la foulée de la reconnaissance (controversée) de l’adéquation du droit anglais avec les règles européennes en matière de données personnelles, le gouvernement de Sa Majesté fait exactement ce à quoi l’on pouvait s’attendre de la perfide Albion : détricoter sa législation et couper les ponts avec le RGPD honni.

Les données personnelles pourront continuer à circuler librement de part et d’autre de la Manche, l’UE ayant jugé le niveau de protection offert par la loi britannique adéquat. Mais entre les projets de modification de la législation en la matière, les accords du Royaume-Uni avec les Etats-Unis et ses exemptions dès lors que les sujets touchent à l’immigration ou la sécurité nationale, l’adéquation pourrait bien faire long feu.

Après l’entrée en vigueur du Brexit, quasiment rien ne changeait du point de vue des transferts de données personnelles entre l’UE et le Royaume-Uni. Le cadre européen devait rester appliqué outre-Manche lors des six mois suivant la sortie de la Grande-Bretagne. Soit jusqu’au 1er juillet. Après quoi, faute d’accord allant dans le sens d’une autorisation générale des transferts de données vers le sol britannique, tout transfert serait considéré comme étant effectué vers un pays tiers, avec toutes les obligations que cela implique.

En février dernier, la Commission européenne publiait un projet de décision d’adéquation. En d’autres termes, elle reconnaissait que la législation britannique offrait un niveau de protection des données personnelles similaire à celui du RGPD. En effet, les règles actuelles de l’autre côté de la Manche sont calquées sur le cadre européen. En avril, le CEPD, organisme réunissant les gendarmes européens des données personnelles, a donné son feu vert au texte.

Adéquat, mais…

Qui est désormais validé par les 27 du Conseil européen, signe que l’entrée en vigueur de cette décision d’adéquation est proche et que, globalement, rien ne devrait changer du point de vue des transferts de données personnelles. A moins que la Grande-Bretagne ne décide de suivre l’avis d’un comité d’experts missionné par le gouvernement de Sa Majesté et ne modifie la loi, ce qui pourrait amener les institutions européennes à revoir leur position.

D’autant que la validation du CEPD était nuancée, des nuances reprises par le Parlement européen à une très courte majorité début juin. Les Cnil européennes considéraient en effet qu’il existait outre-Manche des risques aussi bien de surveillance de masse que de transferts vers des pays tiers du fait d’accord internationaux. La résolution des eurodéputés pointe ainsi que le régime britannique permet, pour des raisons d’immigration ou de sécurité nationale, un accès indiscriminé aux données.

Pire encore, le Parlement s’inquiète de futurs transferts de données entre la Grande-Bretagne et des pays tiers, en tête desquels les Etats-Unis. Ce qui implique que « les données des citoyens de l'UE pourraient être partagées outre-Atlantique, malgré les récentes décisions de la Cour de justice européenne qui ont jugé les pratiques américaines d'accès et de conservation en masse des données incompatibles avec le RGPD ».