Protection des données : la Commission européenne adopte in extremis des décisions relatives à l’adéquation du niveau de protection des données au Royaume-Uni

29 juin 2021
Corinne Thiérache et Alice Marie

La Commission européenne a adopté hier deux décisions d'adéquation vis-à-vis du Royaume-Uni, l’une au titre du règlement général sur la protection des données (RGPD), et l’autre au titre de la directive en matière de protection des données dans le domaine répressif.

En adoptant ces décisions avant la date butoir du 30 juin 2021, la Commission européenne met fin à l’incertitude et autorise ainsi les données à caractère personnel à circuler librement depuis l'Union européenne vers le Royaume-Uni, où elles bénéficient « d'un niveau de protection substantiellement équivalent à celui garanti en vertu de la législation de l'Union européenne ». Ces décisions d'adéquation facilitent également la mise en œuvre de l'accord de commerce et de coopération entre l'Union européenne et le Royaume-Uni, qui prévoit notamment l'échange d'informations à caractère personnel en matière de coopération judiciaire.

Après étude approfondie du système britannique de protection de données post-Brexit, la Commission a estimé que celui-ci reste fondé sur les mêmes règles que celles qui s'appliquaient lorsque le Royaume-Uni était membre de l'Union européenne. Dès lors, le Royaume-Uni a pleinement intégré dans son système juridique les principes, droits et obligations du RGPD et de la directive en matière de protection des données dans le domaine répressif.

Pour la première fois, les deux décisions d'adéquation incluent une clause dite « de suppression automatique », qui limite strictement la durée de l'adéquation à quatre ans, soit jusqu’au 27 juin 2025. Passé ce délai, les constats d'adéquation ne pourront être renouvelés que si le Royaume-Uni continue d'assurer un niveau adéquat de protection des données. Dans cet intervalle, la Commission pourra intervenir à tout moment si le pays s'écarte du niveau de protection actuellement en place.

Ceci constitue une bonne nouvelle et un soulagement pour les acteurs économiques alors que les récentes clauses contractuelles types (CCT) encadrant les transferts de données hors Union européenne soulèvent actuellement de vives critiques et des inquiétudes de la part des DPO.

Les avocats d’Alerion du Département Protection des données personnelles sont à votre disposition pour vous aider à clarifier la situation entre importateur et exportateur de données en dehors de l’Union européenne.

Corinne Thiérache, Associée, et Alice Marie, Avocate.