L’accord conclu fin 2020 entre l’UE et le Royaume-Uni pour encadrer leur nouvelle relation règle de nombreux points qui étaient encore en suspens en ce qui concerne la politique numérique et la cybersécurité. Il faudra, par contre, encore patienter pour savoir comment les transferts de données entre les deux parties seront régis.
L’accord de commerce et de coopération prévoit en effet que le statu quo continue de s’appliquer temporairement pour le transfert et la protection des données. Pendant un maximum de 6 mois, le Royaume-Uni restera soumis au règlement général sur la protection des données (2016/679) et la directive police-justice (2016/680) ainsi que la jurisprudence de la Cour de Justice de l’Union européenne.
Ce délai doit permettre à la Commission européenne de négocier avec le Royaume-Uni des mesures d’adéquation qui soient juridiquement robustes, afin d’éviter le même scénario que pour les dispositifs ‘Safe Harbour’ et ‘Privacy Shield’ avec les États-Unis. Le texte prévoit que le statu quo prendra fin dès que l’adéquation sera accordée ou après un délai de 4 mois pouvant être prolongé de 2 mois supplémentaires.
Selon Thomas Boué, directeur des relations avec les gouvernements au sein de la Business Software Alliance (BSA), cet accord transitoire s’explique par deux éléments sur lesquels des solutions pérennes sont nécessaires. La première a trait aux règles applicables au Royaume-Uni en matière de sécurité nationale, en particulier la loi régissant les pouvoirs d’enquête, jugée incompatible avec le droit européen par la Cour de Justice de l’UE fin 2020 (EUROPE 12575/13). La seconde est liée aux velléités du Royaume-Uni de devenir une plaque tournante (‘hub’) dans les transferts internationaux et de signer des décisions d’adéquation avec d’autres États tiers.
Des données transférées depuis l’UE vers le Royaume-Uni pourraient très bien être ensuite retransférées du Royaume-Uni vers un État tiers (‘onward transfers’). « Les transferts de données sont essentiels pour les entreprises de toute taille pour fonctionner, innover et créer des emplois dans tous les secteurs de l'économie, de l’industrie à l'agriculture, des start-up locales aux prestataires de services. Il est indispensable pour les deux économies de s'assurer que les données continuent de circuler de manière sûre et sécurisée entre l'UE et le Royaume-Uni », plaide Thomas Boué.
La Commission européenne rappelle qu’elle travaille sur ces décisions d’adéquation depuis mars 2020. Après leur publication, ces décisions devront être adoptées par les États membres dans le cadre d’une procédure de comitologie, après un avis du Comité européen de la protection des données (CEPD).
En juillet 2018, l’UE et le Japon avaient conclu un accord sur le transfert des données personnelles (EUROPE 12064/2), en parallèle de la signature de l’accord bilatéral de libre-échange.
Géoblocage et cybersécurité
Mais la nouvelle relation entre l’UE et Londres est déjà effective dans d’autres domaines. En matière numérique, cela signifie par exemple que le règlement sur la portabilité des contenus en ligne (2017/1128) cesse de s’appliquer au Royaume-Uni. Cela signifie, par exemple, que l’opérateur britannique Sky ne propose plus ses produits aux Britanniques qui se déplacent dans l’UE.
En matière de cybersécurité, l’accord de commerce et de coopération réintègre de façon limitée le Royaume-Uni dans les travaux de l’UE, en lui permettant notamment de participer à certains travaux de l’Agence européenne de cybersécurité (ENISA) en ce qui concerne, par exemple, le renforcement des capacités. Le texte prévoit également un dialogue régulier et des coopérations à l’échelon international, ainsi qu’un partage spécifique d’expérience entre les deux parties.
Voir l'accord de commerce et de coopération entre l'UE et le Royaume-Uni : https://bit.ly/3nqembI (Sophie Petitjean)