Brexit : Les décisions d’adéquation de la Commission européenne relatives au transfert des données à caractère personnel vers le Royaume-Uni
La Commission européenne a adopté deux décisions d’adéquation au titre du Règlement général sur la protection des données personnelles (ci-après « RGPD ») et de la directive en matière de protection des données dans le domaine répressif :
- décision d’exécution de la commission du 28.6.2021 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Royaume-Uni ;
- décision d’exécution de la commission du 28.6.2021 constatant, conformément à la directive (UE) 2016/680 du Parlement européen et du Conseil, le caractère adéquat du niveau de protection des données à caractère personnel assuré par le Royaume-Uni.
La Commission européenne a constaté que le Royaume-Uni offre un niveau de protection des données adéquat ; signifiant que le niveau de protection des données personnelles au Royaume-Uni est suffisant et équivalent à celui garantit par le RGPD pour permettre aux pays de l’Union européenne de transférer des données personnelles au Royaume-Uni.
La vice-présidente de la Commission européenne a déclaré dans un communiqué du 28 juin 2021 que « bien que le Royaume-Uni ait quitté l’Union européenne, son régime juridique en matière de protection des données à caractère personnel est resté identique. C’est la raison pour laquelle nous adoptons aujourd’hui ces décisions d’adéquation ».
Cependant, sont exclus de ces décisions les transferts de données liées à l’immigration.
Contexte
Ces décisions font suite au départ du Royaume-Uni de l’Union européenne.
Une période transitoire avait été mise en place jusqu’au 30 juin 2021 et depuis le 1er juillet 2021 le Royaume-Uni est devenu un pays tiers à l’Union européenne.
Comme expliqué dans l’article et l’infographie publiés le 22 décembre 2020 sur « Le transfert des données à caractère personnel vers le Royaume-Uni au regard du Brexit » disponible à l’adresse suivante :https://www.dcavocat.com/données-à-caractère-personnel, deux scénarios étaient envisagés :
- la Commission européenne pouvait émettre une décision d’adéquation ;
- la Commission européenne pouvait ne pas émettre une décision d’adéquation et imposer la mise en place de garanties appropriées telles que les clauses contractuelles types.
Ainsi, en l’espèce, c’est le premier scénario qui a été retenu.
Clause de suppression automatique
Il convient de préciser que ces deux décisions incluent une clause dite « de suppression automatique ». Cela signifie qu’à l’expiration d’un délai de quatre ans, l’adoption de ces deux décisions sera renouvelée « si le Royaume-Uni continue d’assurer un niveau adéquat de protection des données. ».
Suivi
Pendant ce délai de quatre ans, « la Commission continuera de suivre la situation juridique au Royaume-Uni et pourrait intervenir à tout moment si le pays s’écarte du niveau de protection actuellement en place » (communiqué en date du 28 juin 2021 de la Commission européenne).
La Commission européenne pourra donc « suspendre, abroger ou modifier » les décisions d’adéquation si le Royaume-Uni n’assure plus un niveau de protection adéquat.
Ainsi, les transferts de données à caractère personnel, de l’Union Européenne vers le Royaume-Uni, peuvent être réalisés sans encadrement spécifique.
Par Debora Cohen - 9 juillet 2021