Le 28 juin 2021, la Commission européenne a adopté deux décisions d’adéquation concernant le Royaume-Uni. L’une en lien avec le RGPD et l’autre avec la Directive sur les données personnelles dans le cadre répressif (Directive (UE) 2016/680). Suite à la sortie du Royaume-Uni de l’Union européenne le 1er janvier 2021, un accord de commerce et de coopération provisoire a été mis en place. Cet accord protégeait les flux internationaux de données entre les deux juridictions et devait expirer le 31 juin 2021. Les décisions d’adéquation de la Commission européenne signifient que le Royaume-Uni est considéré comme garantissant « un niveau de protection essentiellement équivalent à celui garanti par la loi de l’UE » et que les données à caractère personnel peuvent circuler librement entre le Royaume-Uni et l’UE. Pour la première fois, les décisions d’adéquation de la Commission européenne comprennent une clause de fin programmée, ce qui signifie qu’elles expireront automatiquement quatre ans après leur entrée en vigueur.
S’exprimant sur les deux décisions d’adéquation de la Commission européenne, Didier Reynders, Commissaire à la justice, a déclaré : « Après des mois d’évaluations minutieuses, nous pouvons aujourd’hui donner aux citoyens de l’UE la certitude que leurs données à caractère personnel seront protégées lorsqu’elles sont transférées au Royaume-Uni. Il s’agit d’une composante essentielle de notre nouvelle relation avec le Royaume-Uni. Elle est importante pour des échanges commerciaux fluides et une lutte efficace contre la criminalité. La Commission surveillera attentivement l’évolution du système britannique dans les années à venir et nous avons sécurisé nos décisions en permettant des adaptations ou des interventions si nécessaire. L’UE applique les normes les plus strictes en matière de protection des données à caractère personnel et elles ne doivent pas être compromises lorsque les données à caractère personnel sont transférées vers l’étranger. »
Ce que signifie la décision d’adéquation concernant le Royaume-Uni
Le communiqué de presse de la Commission européenne souligne que le régime de protection des données du Royaume-Uni continue d’appliquer les mêmes règles qu’avant de quitter l’UE et qu’il a intégré des éléments fondamentaux du RGPD et de la Directive sur les données personnelles dans le cadre répressif dans son système juridique depuis.
Dans sa décision, la Commission européenne a souligné que le système juridique du Royaume-Uni fournit des garanties solides pour protéger les données à caractère personnel auxquelles les autorités publiques ont accès, notamment :
- La collecte de données par les autorités de renseignement est soumise à l’autorisation préalable d’un organisme judiciaire indépendant
- Toute mesure doit être nécessaire et proportionnée à ses finalités
- Toute personne qui pense avoir fait l’objet d’une surveillance illégale peut intenter une action devant le Tribunal des pouvoirs d’enquête
En outre, les deux décisions d’adéquation de la Commission européenne concernant le Royaume-Uni comprennent pour la première fois une clause de fin programmée qui impose un délai strict de validité de quatre ans à compter de leur jour d’entrée en vigueur. À l’issue de ces quatre années, la décision d’adéquation peut être renouvelée par la Commission européenne, uniquement si le Royaume-Uni continue de prouver qu’elle garantit un niveau essentiellement équivalent de protection des données. Pendant ces quatre années, la Commission européenne peut intervenir si le Royaume-Uni s’écarte de son niveau actuel de protection des données.
Les deux décisions d’adéquation de la Commission européenne concernant le Royaume-Uni contribueront grandement à régler toute incertitude restante liée au Brexit. À l’heure où les nouvelles clauses contractuelles types et les Directives du CEPD se présentent comme un défi pour les professionnels de la protection de la vie privée, les décisions d’adéquation concernant le Royaume-Uni adoptées par la Commission européenne peuvent être rassurantes... pour le moment.
Suivez OneTrust sur LinkedIn, Twitter et YouTube pour connaître les dernières informations sur la décision d’adéquation concernant le Royaume-Uni.
