Le transfert de données à caractère personnel en général, et dans le secteur financier en particulier, est l’une des nombreuses lacunes de l’accord de commerce et de coopération (ACC) de Brexit. Il existe une période de transition, mais lorsqu’elle se terminera plus tard dans l’année, les établissements financiers pourraient ne plus être autorisés à transférer des données sur les clients entre le Royaume-Uni et l’UE. Ce bras de fer à propos du PIBR pourrait nous en apprendre beaucoup sur d’autres discussions entre l’UE et le Royaume-Uni.
Ceux qui ont apprécié la succession interminable d’échéances lors du départ du Royaume-Uni de l’UE seront ravis du processus qui donne une forme concrète au maigre accord de commerce et de coopération (ACC) conclu la veille de Noël. En ce qui concerne les transferts de données, par exemple, les règles de la GDPR resteront en vigueur jusqu’au 30 avril, «période qui sera prolongée de deux mois supplémentaires à moins que l’une des parties ne s’y oppose», selon les orientations de la Commission nationale de protection des données (CNPD) du Luxembourg. Ainsi, si votre entreprise a des flux de données internes stockés outre-Manche ou utilise un fournisseur de services britannique, chaque relation doit être soigneusement analysée.
Le Royaume-Uni est-il essentiellement équivalent ?
Un accord plus permanent sera alors nécessaire. Si l’UE décide que le régime britannique de protection des données personnelles est «substantiellement équivalent», elle peut autoriser la poursuite des relations existantes. Toutefois, si cette «décision d’adéquation» est prise à l’encontre du Royaume-Uni, «les règles sur les transferts internationaux de données entreront en vigueur», a déclaré le CNPD. En d’autres termes, il n’y aura pas d’accord explicite sur le transfert de données, ou alors l’UE et le Royaume-Uni devront créer un nouveau cadre.
Peu de pays bénéficient d’une décision d’adéquation de la Commission européenne», a déclaré Julien Leroy, conseiller juridique principal à l’Association des banques luxembourgeoises (ABBL). Quant à l’avancement des négociations sur l’équivalence : Nous n’avons aucune idée de ce qui se passe, sauf qu’on nous a dit que la Commission européenne travaille dur pour revoir les normes», a-t-il déclaré. Compte tenu de la récente réticence du Royaume-Uni à conclure des accords, l’argent intelligent supposerait un Brexit de données sans accord.
Les entreprises de services financiers devraient donc revoir leurs flux de données pour s’assurer qu’elles peuvent faire face à un Brexit de données sans marché, sinon elles risquent les sévères sanctions prévues dans le GDPR. M. Leroy estime que la plupart des banques luxembourgeoises qui ont pris des mesures n’ont pas pris de risques et ont soit créé des silos de données séparés, soit mis en œuvre des dispositions contractuelles standardisées approfondies.
Solution contractuelle
Qu’est-ce que cela signifierait pour les exportateurs de données à travers la Manche et les organisations de l’UE qui détiennent des données héritées du Royaume-Uni ? En l’absence d’une décision d’équivalence, les flux de données doivent cesser et les données pertinentes doivent être rapatriées au Royaume-Uni. Par ailleurs, les mesures considérées comme des «garanties appropriées» en vertu de l’article 46 du RIPD peuvent assurer une protection suffisante des données à caractère personnel. Selon M. Leroy, la principale solution consiste à créer «des garanties supplémentaires - des clauses contractuelles types - pour s’assurer que le transfert est sécurisé et que les données sont protégées de la même manière que dans le cadre du GDPR.
Cette dernière voie est cependant potentiellement lourde, comme le montre l’arrêt de la Cour de justice de l’Union européenne du 16 juillet «Schrems II», qui a invalidé la décision de la Commission européenne sur l’adéquation du cadre de protection de la vie privée UE-USA. Plus de 5 000 entreprises américaines ont construit leurs relations commerciales transatlantiques sur cette base. Si la décision maintient la validité des clauses contractuelles types, des garanties supplémentaires sont nécessaires au cas par cas.
Une autre solution consiste à ce que l’UE et le Royaume-Uni s’entendent sur un régime sur mesure, comme les règles qui s’appliquent aux pays de l’Espace économique européen. L’ACC ne contient que quelques paragraphes sur la protection des données, et ceux-ci sont d’un niveau très élevé, sans aucune substance», note M. Leroy. Dans quel contexte ces discussions pourraient-elles donc avoir lieu ?
Les bureaucrates non élus de Londres et de Bruxelles
La clé des futures relations UE-Royaume-Uni semble résider dans le cadre institutionnel extrêmement complexe défini dans l’ACC. Ce projet prévoit la création de pas moins de 19 comités spécialisés composés de fonctionnaires de l’UE et du Royaume-Uni, mais il reste à voir quelle place la protection des données (ou les services financiers) y occupera. Il peut s’agir du comité commercial spécialisé sur les services, l’investissement et le commerce numérique, ou du comité commercial spécialisé sur la coopération réglementaire. Ces derniers rendront compte à un comité de partenariat commercial, qui lui-même sera responsable en dernier ressort devant le conseil de partenariat, qui comprend des hommes politiques.
Il reste à déterminer qui siègera exactement dans ces organes, quand et où ils se réuniront, comment ils prendront des décisions, comment ces décisions seront mises en pratique et comment les différends seront résolus. Un ancien fonctionnaire britannique ayant une expérience de Bruxelles a déclaré au site Politico que l’architecture du site ressemblera à celle du conseil de l’Association européenne de libre-échange (AELE), l’organisation intergouvernementale pour les relations avec l’Islande, le Liechtenstein, la Norvège et la Suisse. La différence est qu’il sera «beaucoup moins transparent». On ignore également si le Parlement britannique et le Parlement européen exerceront un contrôle. Comment faire du lobbying pour cette structure», demande Maddy Thimont Jack, directrice associée de l’Institut pour le gouvernement.
Il est quelque peu ironique qu’une grande partie du discours anti-UE au Royaume-Uni ait été motivée par l’idée que les décisions sont prises par des «bureaucrates bruxellois non élus», seulement pour que cette vision fictive s’installe dans la vie réelle après le Brexit. Le gouvernement britannique espère que son agilité politique pourra prévaloir dans les travaux de cette commission. Les États membres de l’UE s’appuieront sur le pouvoir de persuasion que leur confère le fait d’être plus de six fois plus grand que le Royaume-Uni.