Brexit: Les conséquences sur la protection des données au Royaume-Uni, Karen Mac Cullagh

For the english version click HERE

Dans un précédent article du blog: Brexit: les conséquences pour les services financiers, numériques et les industries ‘Fintech’, j’ai souligné la contribution de ces secteurs à l’économie du Royaume-Uni et abordé comment la perte des droits relatifs à la détention de passeport, l’accès au marché unique, et la libre circulation des travailleurs provenant des états membres de l’Union européenne pourraient avoir un impact négatif sur ces secteurs et conduire à une sortie de l’Union européenne économiquement ruineuse.

Cet article considère les conséquences du Brexit en terme de protection des données sur l’économie britannique puisque de nombreuses entreprises et organisations génèrent et comptent sur d’immenses volumes de données personnelles dans leurs opérations (p. ex. sous la forme de dossiers de clients, de données comportementales, de profilages et transactionnelles). Les données personnelles générées et analysées sont de très précieux atouts économiques – Les données des citoyens européens sont estimés valoir annuellement 1 trillion € d’ici à 2020. La majorité de ces données personnelles sont transférées au-delà des frontières nationales afin d’être traitées et stockées sur des serveurs dans des centres de données, et, par conséquent, le Royaume-Uni héberge le plus grand marché de centre de données en Europe, et le troisième plus grand au monde.

L’histoire des lois de la protection des données au Royaume-Uni

Le Royaume-Uni a pour la première fois introduit une législation sur la protection des données en 1984 en réponse aux demandes du monde des affaires concernant la perte d’échanges commerciaux transfrontaliers de données personnelles au Royaume-Uni. Le pays était considéré comme un ‘paradis des données’. Par exemple, en 1974, le Conseil de l’inspection des données Suédois a bloqué le transfert de données personnelles pour la préparation de cartes de santé vers le Royaume-Uni, invoquant le manque de protection légale comme justification à la restriction. L’impact économique et politique de tels différends en terme de transfert de données personnelles a eu pour effet la demande d’une loi supranationale de protection des données afin de faciliter et de contrôler les flux de données transfrontaliers, et éventuellement conduit à l’introduction de la Directive 95/46/CE (ci-après ‘la Directive’). Chaque état membre a transposé les dispositions de la Directive par des lois internes de transposition. Au Royaume-Uni, la Directive a été transposée par le Data protection Act 1998 (loi de protection des données, DPA 1998). Cependant, même si chaque état membre a transposé les dispositions de la Directive en droit interne, ils ne l’ont pas fait de manière uniforme, et cela a conduit à une application et une exécution fragmentées. En effet, l’échec des états membres à correctement transposer la Directive fut un facteur clé dans la décision de la remplacer par un règlement (ainsi que l’incertitude qu’elle ne serait bientôt plus adaptée à l’objectif du fait des changements dans les technologies de traitement des données personnelles).

Le RGPD 2016/679 (le règlement de la protection des données à caractère personnel)

Le Règlement (UE) 2016/679 (ci-après ‘le RGPD 2016/679) doit entrer en application le 25 mai 2018. Il abrogera et remplacera la Directive 95/46/EC et sera directement applicable au Royaume-Uni sans nécessiter de transposition en droit interne. Puisqu’il est fortement probable que le Royaume-Uni n’aura pas terminé le ‘processus de sortie’ le 25 mai 2018, le gouvernement du Royaume-Uni sera dans un premier temps dans l’obligation d’amender le DPA 1998 afin d’accorder la législation avec les exigences du RGPD 2016/679. ( voir sur ce point Brexit or not Brexit: how will the GDPR rules apply to the UK? part.1, by Olivia Tambou)

Néanmoins, la sortie de l’Union européenne permettra au Royaume-Uni de réfléchir aux implications d’une relation commerciale dans laquelle le Royaume-Uni sera soit obligé de continuer de donner effet au RGPD 2016/679, soit de choisir de s’y conformer volontairement, ou d’opter pour la conception et la mise en œuvre de sa propre loi de protection des données.

Si le Royaume-Uni sortait de l’Union européenne tout en rejoignant l’association européenne de libre-échange (AELE) dont les membres actuels sont l’Islande, le Liechtenstein et la Norvège, et fasse des échanges commerciaux avec l’Union européenne via l’Espace Économique Européen (EEE), alors il serait obligé d’appliquer le RGPD 2016/679 puisque la protection des données a été harmonisée dans le marché interieur et est partie à l’accord EEE. Cependant, le gouvernement a indiqué dans le White Paper «Nous ne chercherons pas à devenir membre du marché unique, nous poursuivrons plutôt un nouveau partenariat stratégique avec l’Union européenne, incluant un accord de libre-échange ambitieux et compréhensif et un nouvel accord douanier». Donc, à première vue, il semble que le Royaume-Uni ne sera pas obligé de continuer à mettre en œuvre le Règlement une fois sortie de l’Union européenne.

Faut il continuer à se conformer au RGPD 2016/679?

Certains ont suggérés que le gouvernement du Royaume-Uni pourrait introduire une loi de protection des données qui serait moins fastidieuse pour les petites entreprises, et qui serait plus propice aux affaires en général. En effet, le gouvernement a indiqué son intention de « s’intéresser ultérieurement à la meilleure manière d’aider les entreprises britanniques au sujet de la protection des données tout en maintenant un haut niveau de protection pour les citoyens », suggérant qu’il pourrait s’écarter des dispositions du RGPD 2016/679 dans le futur. On pourrait penser que l’introduction de règles de protection des données moins rigoureuses rendrait le Royaume-Uni plus attractif en tant que partenaire commercial. Néanmoins, cela ne sera pas forcément le cas au vu des raisons exposées ci-dessous.

La portée territoriale du RGPD 2016/679

Premièrement, quels que soient les accords commerciaux négociés, l’article 3(1) du RGPD 2016/679 sera appliqué au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. De plus, l’article 3(2) stipule qu’il sera appliqué au traitement des données à caractère personnel par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, « lorsque les activités de traitement sont liées à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes, ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union ».

Au vu de la portée extra-territoriale du RGPD 2016/679, avoir à se conformer avec un cadre réglementaire de protection des données spécifique au Royaume-Uni représenterait une charge de conformité juridique supplémentaire pour les entreprises opérant à l’échelle transnationale – une charge qui s’ajouterait au coût des affaires au Royaume-Uni et qui conduira à un désavantage économique des entreprises britanniques.

Minimisation des coûts de la conformité

Deuxièmement, le cadre juridique de la protection des données de l’Union européenne (à la fois la Directive 95/46/EC et le futur RGPD 2016/679) est considéré comme une « référence absolue ». En effet, « plus de la moitié des pays du monde ont désormais une loi de protection des données et/ou de protection de la vie privée, et la plupart ont été fortement influencés par l’approche européenne ».

Par conséquent, même si le Royaume-Uni adopte un standard différent (plus souple) de protection des données pour les entreprises britanniques et non-européennes, il est probable que le monde des affaires britanniques fasse pression sur le gouvernement britannique afin de mettre en œuvre des lois de protection des données qui apporteront un niveau équivalent de protection puisque se conformer à un cadre juridique de protection des données distinct, spécifique au Royaume-Uni, représenterait une charge de conformité additionnelle indésirable pour les entreprises opérant à l’échelle transnationale. Manquer de le faire pourrait résulter en un blocage des transferts de données vers le Royaume-Uni pour cause de préoccupations en matière de protection des données et de la vie privée (p. ex. Les cartes d’identités de santé Suédoises). En effet, les pays comme le Canada ou la Suisse, ont activement cherché à mettre en œuvre des niveaux équivalents de législation de protection des données dans leurs juridictions afin de faciliter le transfert et le traitement des données personnelles.

The Investigatory Powers Act 2016 (loi régissant les pouvoirs d’enquêtes) – barrage à la reconnaissance de l’adéquation?

Cela soulève la question, si le Royaume-Uni continue volontairement d’aligner sa réglementation de protection des données avec le RGPD 2016/679, après sa sortie de l’Union européenne: obtiendra t il une décision ‘d’adéquation’ de la part de la Commission européenne, lui permettant ainsi de traiter les données personnelles des citoyens de l’UE et de l’EEE?

Une décision positive d’adéquation ne peut être prévue avec certitude à ce stade, comme lors de l’évaluation de l’adéquation, la Commission européenne considérera certainement les dispositions de la loi récemment adoptée le Investigatory Powers Act 2016 (loi régissant les pouvoirs d’enquêtes). Cette législation oblige les fournisseurs de services internet à conserver les données de navigation des abonnés et utilisateurs pendant 12 mois et à les rendre accessibles à de nombreux organismes gouvernementaux dont l’Agence des normes alimentaires et le service de la fiscalité et des douanes du Royaume-Uni dans l’objectif de la lutte contre la criminalité. La législation contient peu d’opportunités de contrôle judiciaire. Cependant, la décision préjudicielle rendue dans les affaires jointes Tele2 Sverige AB v Post-och telestyrelsen and Secretary of State for the Home Department v Tom Watson, Peter Brice, Geoffrey Lewis (ci-après Tele 2 & Watson) a établi que la législation nationale (au RU, the Data Retention and Investigatory Powers Act (DRIPA) 2014 la loi de rétention des données et de pouvoirs d’enquêtes) qui contenait des pouvoirs essentiellement similaires était illégale. La Cour a jugé que le droit de l’UE excluaient les législations nationales qui, dans l’objectif de la lutte contre la criminalité, permettent une conservation générale et sans distinction de toutes les données relatives au trafic et à la localisation de tous les abonnés et utilisateurs enregistrés liées à tous moyens de communication électronique. La Cour a aussi jugé que le droit de l’UE excluaient les lois de surveillance lorsque l’accès n’est pas limité à la lutte des crimes graves, lorsqu’une autorisation préalable par un tribunal ou une autorité indépendante n’est pas exigée et lorsqu’il n’y a pas d’exigence que les données soient conservées dans l’Union européenne.

La décision Tele 2 & Watson a été rendue trop tard pour influencer le passage du Investigatory Powers Act 2016 (loi régissant les pouvoirs d’enquêtes) – le successeur du DRIPA 2014 (qui a expiré à la fin du mois de Décembre 2016). Néanmoins, il est évident au vu de cette décision que certains aspects du Investigatory Powers Act 2016 tels que l’extension des pouvoirs de conservation de données de connexion internet (c.-à-d. les historiques de navigation sur le web collectés au niveau des sites), l’absence d’exigence d’informer les personnes affectées si elles font l’objet d’une surveillance, et l’absence d’exigence de garder les données conservées à l’intérieur de l’Union européenne vont probablement être contestées. Par conséquent, il est fortement probable que la Commission européenne ne délivrera pas de décision d’adéquation avant que le Investigatory Powers Act 2016 ne soit amendé.

L’absence d’une décision d’adéquation réduirait le flux de données personnelles provenant des états membres de l’UE. Les entreprises britanniques devraient alors recevoir et traiter les données personnelles en tant que ‘pays tiers’. Les entreprises britanniques auraient alors à compter sur un consentement explicite, des clauses types ou des règles d’entreprises contraignantes, pour réaliser le transfert de données personnelles vers et depuis les états membres de l’UE ( pour plus d’informations se référer cf. d’Olivia Tambou sur le blog à venir). Cela augmenterait le fardeau réglementaire et le coût pour les entreprises établies au Royaume-Uni qui traitent les données personnelles des citoyens de l’UE puisque ces mécanismes approuvés pour transférer légalement des données ajoutent une couche administrative additionnelle et varient entre les juridictions.

CONCLUSION

Les données personnelles sont, et resteront, un atout économique clé, et les transferts transfrontaliers de données personnelles continueront quels que soient les accords commerciaux que le gouvernement du Royaume-Uni négociera pour sa sortie de l’Union européenne. Donc, si le Royaume-Uni veut éviter une stratégie de Brexit ruineuse économiquement, il devra s’assurer que des mesures adéquates de protection des données soient mises en place pour protéger les données personnelles des citoyens européens. La façon la plus simple d’y arriver serait d’assurer que la législation britannique de protection des données soit pleinement conforme avec les dispositions du RGPD 2016/679.

En complément, le gouvernement britannique devrait réviser les dispositions du Investigatory Powers Act 2016 afin d’assurer sa conformité avec la décision préjudicielle rendue dans Tele 2 & Watson, puisque l’absence d’une adéquate ou équivalente protection des données entravera les transferts transfrontaliers de données personnelles, causera la délocalisation d’entreprises internationales et les incitera à reconsidérer de futurs investissements au Royaume-Uni, soit le contraire de ce que souhaite le Royaume-Uni.

Dr. Karen Mac Cullagh, Course Director, LLM Media Law, Policy & Practice at the Unversity of East Anglia, Norwich

Pour aller plus loin

Pour une évaluation critique détaillée des différents types d’accords commerciaux que le Royaume-Uni négociera peut être pour sa sortie (avec un accent particulier sur les services financiers, numériques et Fintech) et les implications en terme de protection des données de chaque modèle commercial, voir: Mc Cullagh, K. “Brexit: Potential Implications for Digital and ‘Fintech’ industries,” International Data Privacy Law, (2017) Vol 7, Iss.1.

Lire les autres posts en lien avec celui-ci: