La Commission européenne a adopté, lundi 28 juin, deux décisions reconnaissant l'adéquation des règles britanniques en matière de protection des données personnelles avec celles en vigueur dans l'Union européenne.
Avec le franchissement de cette dernière étape d'un processus entamé en février (EUROPE 12662/2), les données à caractère personnel peuvent désormais circuler librement depuis l'Union européenne vers le Royaume-Uni jusqu'au 27 juin 2025, l'UE considérant comme suffisamment robustes les mesures de sauvegarde en place du côté britannique.
« Le Royaume-Uni reste dans la famille de la protection des données », a déclaré Christian Wigand, porte-parole à la Commission.
Interrogé sur les transferts potentiels de données personnelles de citoyens européens aux autorités britanniques à des fins de surveillance, il a évoqué une analyse détaillée de l'institution européenne, telle que requise par l'arrêt 'Schrems II' de la Cour de justice de l'UE, selon lequel le droit britannique contient des mesures de sauvegarde robustes.
Plus particulièrement, la collecte de données par les services de renseignement est, en principe, soumise à l'autorisation préalable d'un organe judiciaire indépendant. Toute mesure doit être nécessaire et proportionnée à l'objectif poursuivi. Et toute personne qui pense avoir fait l'objet d'une surveillance illégale peut saisir le tribunal chargé des pouvoirs d'enquête ('Investigatory Power Tribunal').
En outre, le Royaume-Uni reste soumis à la compétence de la Cour européenne des droits de l'homme et il adhère à la convention 108 du Conseil de l'Europe pour la protection des données personnelles, qui constitue le seul traité international contraignant dans ce domaine.
M. Wigand a aussi souligné l'importance de la clause d'extinction inscrite dans les décisions d'adéquation qui prévoit, pour la première fois dans un texte de ce genre, la fin de l'équivalence dans quatre ans. « C'est une garantie pour que le Royaume-Uni reste aligné avec le droit de l'UE », a-t-il indiqué, précisant que la décision d'adéquation pouvait être révoquée à tout moment.
Enfin, en vertu du règlement RGPD, les transferts liés au contrôle britannique de l'immigration sont exclus du champ d'application des décisions d'adéquation, et ce afin de refléter un récent arrêt de la Cour d'appel d'Angleterre et du pays de Galles sur la validité et l'interprétation de certaines restrictions des droits à la protection des données dans ce domaine. La Commission réexaminera le bien-fondé de cette exclusion une fois que la situation aura été réglée au regard du droit britannique.
Fin mai, le Parlement européen avait demandé à la Commission de revoir sa copie sur cette question, en s'assurant que le droit britannique respecte la jurisprudence européenne et les préoccupations du Comité européen de la protection des données (CEPD) (EUROPE 12724/16).
« Nous avons été très attentifs aux craintes exprimées par le Parlement, les États membres et le CEPD, en particulier quant à d'éventuelles divergences futures du cadre britannique de protection des données par rapport aux normes de l'UE », a assuré la vice-présidente chargée des valeurs et de la transparence, Věra Jourová, dans un communiqué.
Voir les décisions d'adéquation : https://bit.ly/360Ql4N (Mathieu Bion)