Royaume-Uni : par une décision d’adéquation en date du 28 juin 2021, l’UE donne son feu vert à la libre circulation des données à l’issue de la période transitoire expirant le 1er juillet 2021
Le droit de l’UE devant cesser de s’appliquer le 31 décembre 2020 (le Royaume-Uni est sorti de l’UE le 31 janvier 2020, à la suite de quoi une période de transition s’est ouverte, jusqu’au 31 décembre 2020, pendant laquelle le Royaume-Uni a continué d’appliquer le droit de l’UE en échange d’un accès au marché), l’UE et le Royaume-Uni avaient conclu un accord aux termes duquel le RGPD resterait applicable au Royaume-Uni pendant une période supplémentaire de 6 mois à compter du 1er janvier 2021, soit jusqu’au 1er juillet 2021.
A l’issue de cette période supplémentaire, le RGPD cesse de s’appliquer directement : le transfert des données de l’UE vers le Royaume-Uni est considéré comme un transfert vers un pays tiers. Sauf décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni, dite « décision d’adéquation », de tels transferts ne pourront s’effectuer qu’avec la mise en place de garanties appropriées, telles que prévues par le RGPD (ex : clauses contractuelles types, règles contraignantes d’entreprise, etc.) et à la condition que les Européens disposent de droits opposables et de voies de droit effectives, conformément à l’article 46 du RGPD.
C’est donc dans ce cadre que l’ensemble des États membres de l’UE a voté en faveur de l’octroi au Royaume-Uni d’une décision d’adéquation – décision d’exécution de la Commission en date du 28 juin 2021, permettant ainsi aux données personnelles de circuler librement entre l’UE et le Royaume-Uni. La loi britannique applicable a en effet intégré le RGPD directement dans le droit britannique : le droit désormais applicable au Royaume-Uni est donc très semblable à celui qui s’applique dans l’UE. Cette décision d’adéquation est un énorme soulagement pour beaucoup d’entreprises au Royaume-Uni, compte tenu du volume de données échangées avec l’UE.
Néanmoins, certaines voix au Royaume-Uni s’élèvent déjà en faveur d’un assouplissement de la réglementation relative à la protection des données, au prétexte que cela représenterait un coût important pour les entreprises, mais également un obstacle à la croissance et à l’innovation. Un tel assouplissement risquerait d’aboutir à la remise en cause de la décision d’adéquation.
A noter par ailleurs que les clauses contractuelles types de la Commission européenne (l’un des mécanismes de garanties pouvant être utilisé avec des pays tiers ne bénéficiant pas d’une décision d’adéquation) ont été revue à la lumière du RGPD. De nouvelles clause contractuelles types sont entrées en vigueur le 27 juin 2021.
Pour plus d'informations, suivre ce lien.