Protection des données: la Commission adopte des décisions relatives à l’adéquation du niveau de protection des données concernant le Royaume-Uni

Protection des données: la Commission adopte des décisions relatives à l’adéquation du niveau de protection des données concernant le Royaume-Uni

D’après un communiqué de presse de la Commission européenne du 28 juin : 

Contexte

Le 19 février, la Commission a publié deux projets de décisions d’adéquation et lancé la procédure pour leur adoption. Au cours des mois écoulés, la Commission a étudié attentivement la législation et les pratiques du Royaume-Uni en matière de protection des données à caractère personnel, y compris les règles relatives à l’accès des pouvoirs publics britanniques aux données. La Commission a été en contact étroit avec le comité européen de la protection des données, qui a rendu son avis le 13 avril, le Parlement européen et les États membres. Au terme de ce processus approfondi, la Commission européenne a demandé aux représentants des États membres de donner leur feu vert sur les décisions d’adéquation dans le cadre de la procédure de comitologie. L’adoption des décisions du 28/06/2021, qui fait suite à l’approbation des représentants des États membres, est la dernière étape de la procédure. Les deux décisions d’adéquation sont entrées en vigueur le 28/06/2021.

L’accord de commerce et de coopération entre l’Union européenne et le Royaume-Uni (ACC) prévoit un engagement de l’UE et du Royaume-Uni à respecter des normes élevées en matière de protection des données. L’ACC prévoit également que tout transfert de données à effectuer dans le cadre de sa mise en œuvre doit se faire conformément aux règles sur la protection des données de la partie qui procède au transfert (il s’agit, pour l’UE, des règles du RGPD et de la directive en matière de protection des données dans le domaine répressif). L’adoption des deux décisions unilatérales et autonomes est importante pour assurer une bonne application et un fonctionnement correct de l’ACC. L‘ACC prévoit un régime provisoire conditionnel en vertu duquel les données peuvent circuler librement depuis l’UE vers le Royaume-Uni. Cette période provisoire prend fin le 30 juin 2021.

La Commission a adopté le 28/06 deux décisions d’adéquation vis-à-vis du Royaume-Uni – l’une au titre du règlement général sur la protection des données (RGPD) et l’autre au titre de la directive en matière de protection des données dans le domaine répressif. Les données à caractère personnel peuvent désormais circuler librement depuis l’Union européenne vers le Royaume-Uni, où elles bénéficient d’un niveau de protection substantiellement équivalent à celui garanti en vertu de la législation de l’Union. Les décisions d’adéquation facilitent également la mise en œuvre correcte de l’accord de commerce et de coopération entre l’Union européenne et le Royaume-Uni, qui prévoit l’échange d’informations à caractère personnel, par exemple en matière de coopération judiciaire. Les deux décisions d’adéquation incluent des mesures de sauvegarde solides en cas de divergences futures, telles qu’une clause dite «de suppression automatique», qui limite la durée de l’adéquation à quatre ans.

Mme Věra Jourová, vice-présidente chargée des valeurs et de la transparence, a déclaré : « Bien que le Royaume-Uni ait quitté l’Union européenne, son régime juridique en matière de protection des données à caractère personnel est resté identique. C’est la raison pour laquelle nous adoptons aujourd’hui ces décisions d’adéquation. Dans le même temps, nous avons été très attentifs aux craintes exprimées par le Parlement, les États membre et le comité européen de la protection des données, en particulier quant à d’éventuelles divergences futures du cadre britannique de protection des données par rapport aux normes de l’UE. Il s’agit d’un droit fondamental des citoyens de l’Union, citoyens que nous avons le devoir de protéger. C’est la raison pour laquelle nous avons prévu des mesures de sauvegarde importantes et si des changements surviennent du côté britannique, nous interviendrons. »

M. Didier Reynders, commissaire chargé de la justice, a fait la déclaration suivante : « Au terme de plusieurs mois d’examens minutieux, nous pouvons aujourd’hui donner l’assurance aux citoyens de l’Union que leurs données à caractère personnel seront protégées lorsqu’elles seront transférées vers le Royaume-Uni. Il s’agit d’un volet essentiel de notre nouvelle relation avec le Royaume-Uni. Il est important pour assurer la fluidité des échanges et une lutte efficace contre la criminalité. La Commission suivra de près la manière dont le système britannique évoluera à l’avenir et nous avons renforcé nos décisions pour y parvenir et pour intervenir si nécessaire. L’Union européenne dispose des normes les plus élevées en matière de protection des données à caractère personnel et ces normes ne doivent pas être compromises lorsque ces données sont transférées vers l’étranger. »

Les éléments clés des décisions d’adéquation

  • Le système britannique de protection de données reste fondé sur les mêmes règles que celles qui s’appliquaient lorsque le Royaume-Uni était membre de l’Union. Le Royaume-Uni a pleinement intégré dans son système juridique post-Brexit les principes, droits et obligations du RGPD et de la directive en matière de protection des données dans le domaine répressif.
  • En ce qui concerne l’accès aux données à caractère personnel par les pouvoirs publics britanniques, notamment pour des raisons de sécurité nationale, le système britannique prévoit des mesures de sauvegarde fortes. Plus particulièrement, la collecte de données par les services de renseignement est, en principe soumise à l’autorisation préalable par un organe judiciaire indépendant. Toute mesure doit être nécessaire et proportionnée à l’objectif poursuivi. Toute personne qui pense avoir fait l’objet d’une surveillance illégale peut saisir le tribunal chargé des pouvoirs d’enquête (Investigatory Powers Tribunal). Le Royaume-Uni est également soumis à la compétence de la Cour européenne des droits de l’homme et il doit adhérer à la convention européenne des droits de l’homme, ainsi qu’à la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, qui constitue le seul traité international contraignant dans le domaine de la protection des données. Ces engagements internationaux sont un volet essentiel du cadre juridique examiné dans les deux décisions d’adéquation.
  • Pour la première fois, les décisions d’adéquation incluent une clause dite « de suppression automatique », qui limite strictement leur durée. Cela signifie que les décisions viendront automatiquement à expiration quatre ans après leur entrée en vigueur. Passé ce délai, les constats d’adéquation ne peuvent toutefois être renouvelés que si le Royaume-Uni continue d’assurer un niveau adéquat de protection des données. Au cours de ces quatre années, la Commission continuera de suivre la situation juridique au Royaume-Uni et pourrait intervenir à tout moment si le pays s’écarte du niveau de protection actuellement en place. Dans le cas où la Commission déciderait de renouveler le constat d’adéquation, le processus d’adoption serait relancé.
  • Les transferts effectués aux fins du contrôle britannique de l’immigration sont exclus du champ d’application de la décision d’adéquation adoptée en vertu du RGPD, et ce afin de refléter un récent arrêt de la Cour d’appel d’Angleterre et du pays de Galles (England and Wales Court of Appeal) sur la validité et l’interprétation de certaines restrictions des droits à la protection des données dans ce domaine. La Commission réexaminera le bien-fondé de cette exclusion une fois que la situation aura été réglée au regard du droit britannique.

30/06/2021

 

Maison de l'Europe de Paris

Maison de l'Europe de Paris

D'autres ressources qui pourrait vous intéresser.

Souscrire à notre newsletter