Le 23 juin dernier, le Royaume Uni décidait de quitter l’Union Européenne… et ses données personnelles avec… Alors que l’on pensait (espérait ?) enfin naviguer sur la mer de la tranquillité des données personnelles, encore un nouveau raz de marée annoncé, cette fois venu d’Outre-Manche.
Le Règlement Général de Protection des Données Personnelles
Après des années de réglementation désuète, la Directive 95/46/CE de 1995 cède sa place au Règlement Général de Protection des Données Personnelles (GDPR). Ce dernier publié le 27 avril 2016, rentrera en application en 2018 après quatre longues années de négociations et de rebondissements. 3999 amendements et quelques 98 articles plus tard, le texte adopté permet en théorie l’harmonisation des règles de protection de données personnelles au sein de l’Union Européenne.
D’application directe et uniforme, il prend en compte les évolutions technologiques (Cloud Computing, Big data…). On y consacre le droit à la personne, du consentement au droit à l’oubli. On fait prendre ses responsabilités aux acteurs de l’ère numérique (chaîne de responsabilité, coresponsabilité). On encadre le transfert des données personnelles en dehors de l’Union Européenne et en cas de défaillance, on punit aussi… un peu, beaucoup… jusqu’à 4% du chiffre d’affaires mondial de l’entreprise.
Le Data Privacy Shield
De son côté, le Data Privacy Shield, destiné à sécuriser le transfert de données vers les Etats Unis suite à la fin du règne du Safe Harbor en octobre dernier, fait son petit bonhomme de chemin et serait en bonne voie pour un vote début juillet. L’Europe et les Etats Unis ont dû collaborer activement et rapidement devant le « quasi » vide juridique sur un projet visant à la protection des données personnelles sur le territoire de l’Oncle Sam.
La Commission Européenne manifeste son impatience et souhaite un vote rapide même si ce texte est imparfait et critiqué pour sa fragilité. La question de la protection des données européennes du gouvernement américain reste au cœur des débats. Si ce point restait insatisfaisant lors du vote du bouclier, il serait challengé sur les mêmes fondements que le Safe Harbour. L’article 29 préoccupe aussi sur la question du pouvoir et de l’indépendance de l’ombudsman (« Médiateur ») des États-Unis, qui traitera les plaintes européennes relatives au transfert de données personnelles.
Que va changer le Brexit ?
Bien que fragile et incertain, le cadre légal autour des données était presque là… que va changer le Brexit ?Avec le Règlement Européen applicable à compter de 2018 seulement, on peut aisément supposer, sans trop se tromper, que ce dernier n’aura jamais le loisir d’être mis en place.
Le Royaume Uni et ses données personnelles vont donc rejoindre le sort des Etats Unis : les données personnelles transférées de l’autre côté de la Manche seront considérées comme transférées en dehors de l’Union Européenne vers un pays tiers et donc interdites sauf à ce que soit offert un niveau de sécurité suffisant avec notamment la mise en place des gestions alternatives de transfert de données : les Binding Corporate Rules (BCR) et/ou Clauses Contractuelles Type (CCT).
Mais à quelque chose malheur est bon… Au-delà du chaos politique et de la chute des marchés, il se pourrait bien que le Brexit précipite la signature du Data Privacy Shield entre l’Union Européenne et les Etats Unis. En effet, si cet accord était rejeté, on pourrait craindre le renforcement de l’insécurité autour des transferts de données.
En cas d’échec de cet accord, les sociétés devraient faire le choix cornélien de s’exposer à payer des amendes pour transférer des données personnelles sans cadre légal, adopter les CCT ou BCR ou encore de conserver leurs données en Europe… Etant entendu que les CCT vivent peut-être leurs dernières heures : l’autorité de protection des données personnelles irlandaise envisagerait de demander à la CJUE de se prononcer quant à la conformité des CCT avec les réglementations européennes…
