Brexit et données personnelles : et s’il n’y avait pas d’accord avec l’Europe au 29 mars 2019 ?

L’actualité de cette semaine est riche en rebondissements pour le Royaume-Uni et l’Europe. Les députés ont de nouveau refusé la proposition d’accord pour la sortie de l’Union européenne, mais ils ont également refusé une sortie sans accord (le « no-deal »). Ces méandres guidés par des intérêts politiques portent un fort préjudice à la vie des affaires. Voyons ici par exemple l’impact d’un « no-deal » sur les efforts et investissements autour du RGPD (Règlement Général sur la Protection des Données). Et si le juridique aidait le monde des affaires à anticiper les incertitudes politiques…

Les conséquences de « l’entre deux » pour les entreprises

A l’issue des débats de cette semaine, une chose est sûre : aucun accord n’est trouvé. Le 29 mars prochain est pourtant une date butoir pour le Royaume-Uni. Une solution temporaire est envisagée, négocier un report du délai. En effet, les députés britanniques ont adopté jeudi dernier une motion du gouvernement en faveur d’un report du Brexit ainsi qu'un nouveau vote sur l'accord de retrait.

Dans cette attente, le Royaume-Uni est toujours au sein de l’Union européenne. Toutefois, les investissements, les contrats, souffrent de l’incertitude politique. Les contrats sont au service du monde des affaires afin de limiter les conséquences des luttes politiques autour du Brexit. Des clauses aménagent dès aujourd’hui les vicissitudes des débats entre le Royaume-Uni et le l’Union européenne.

Et demain en cas de « no-deal » ?

Le Royaume-Uni ne sera plus dans l’Union européenne. Il convient de noter que cette hypothèse n’est pas impossible. En effet, le 13 décembre 2018, le Gouvernement britannique un publié un Guide portant sur les futurs amendements à la législation nationale de protection des données personnelles dans le cas d’un Brexit sans accord (« No Deal Guidance »).

Selon ce texte, en cas de Brexit sans accord, le Gouvernement :

  • reconnaîtrait, à titre transitoire, tous les États de l'EEE et Gibraltar comme assurant un niveau de protection adéquat des données à caractère personnel, permettant à ces données de continuer à circuler librement du Royaume-Uni vers ces Pays après la sortie du Royaume-Uni de l'UE ;
     
  • sur une base transitoire, préserverait les décisions d’adéquation de l'UE, permettant le transfert de données personnelles du Royaume-Uni vers les pays en bénéficiant (tels que l’Argentine, Israël ou le Japon et les entreprises américaines signataires du Privacy Shield) ;
     
  • reconnaîtrait l'utilisation des clauses contractuelles types élaborées par la Commission européenne comme une mesure appropriée permettant les transferts internationaux de données à partir du Royaume-Uni.
     

En tout état de cause, le Royaume-Uni ne sera plus un pays de confiance et les transferts/échanges de données à caractère personnel depuis l’Union européenne vers le Royaume-Uni seront soumis à des conditions drastiques de conformité pour garantir un niveau fort de protection aux données qui sont transférées.

Il faudrait donc impérativement que la Commission européenne prenne une décision d'adéquation du régime britannique afin que le Royaume-Uni reste un pays de confiance. Cependant, la Commission européenne ne se prononcera qu’une fois le Brexit finalisé.

 

Le point rassurant : Un des pas les plus forts du RGPD est qu’il a une portée extraterritoriale. En effet le RGPD a vocation à s’appliquer à toutes les entreprises, qu’elles soient ou non en Union européenne lorsqu’elles mettent en œuvre des traitements visant à fournir des biens et services à des personnes dans l’Union européenne ou à suivre leurs comportements au sein de l’Union (article 3.2 RGPD).

Conclusion

Les entreprises ayant des opérations transfrontalières entre le Royaume-Uni et l'Union européenne pourront être soumises à deux régimes juridiques indépendants régissant le traitement des données à caractère personnel. Or, les données à caractère personnel sont dans la grande majorité des contrats et des échanges. Il s’agit donc d’une situation complexe pour les entreprises. A ce jour, le monde des affaires lutte contre l’incertitude politique au moyen de clauses contractuelles pour anticiper et prévoir les différents cas afin que leurs intérêts économiques ne souffrent pas des dérives politiques.

 



A propos de l'auteur

Yaël Cohen-Hadria
Yaël
Cohen-Hadria
Partner

Bureau :

Paris

Expert en :

IT | IP | Data
• CNIL et Data Management
• Droit d’auteur
• Propriété Intellectuelle
• Internet et e-commerce
• Contrats informatiques
• Sécurité et réseaux