< Vidéo de Me Charruyer au Sénat sur le RGPD

Actualités du Brexit : les conséquences data de la loi de sortie de l'Union européenne

---

Avec l'adoption par le Royaume-Uni de sa loi de sortie de l'Union européenne, les difficultés potentielles pour les entreprises en termes de protection des données commencent à prendre forme. 

La loi, adopté le 26 juin 2018, a fixé le 29 mars 2019 comme " exit day " (jour de sortie de l'UE). Après cette date, qui peut encore changer, la plupart de la législation européenne existante sera conservée au sein de la législation anglaise. 

Les règles européennes immédiatement applicables, comme le RGPD, feront partie intégrante de la législation nationale au jour de sortie de l'UE. Parallèlement, les lois anglaises, comme la Loi sur la protection des données de 2018, adaptant et appliquant les règles européennes sur le plan national, resteront en vigueur.

La jurisprudence antérieure de la Cour de justice de l'Union européenne est maintenue comme un moyen d'interprétation pour les tribunaux britanniques (elle ne lie cependant pas la Cour Suprême ou, sauf certaines circonstances exceptionnelles, la Cour d'appel). En revanche, les cours britanniques ne sont pas tenues de suivre les décisions de la CJUE après le  " exit day ", et ne seront plus habilitées à la saisir.

Cela signifie qu'au jour de sa sortie de l'UE, le Royaume-Uni appliquera les mêmes règles fondamentales que le reste de l'Union européenne concernant la protection des données (sous réserve de la marge d'interprétation laissée aux Etats membres en ce qui concerne, par exemple, les Directives). Toutefois, le droit de la protection des données étant en cours d'évolution rapide, les régimes légaux applicables dans le Royaume-Uni et le reste de l'UE sont susceptibles de diverger très vite.

Par exemple, si la prochaine décision de la CJUE dans l'affaire Data Protection Commissioner v Facebook Ireland and Maximilian Schrems tombe après le jour de sortie, elle ne liera pas les cours britanniques. Dès lors, le Royaume-Uni appliquera des règles différentes en ce qui concerne le transfert de données personnelles aux autres pays tiers.

Egalement, si le tant attendu règlement européen E-Privacy entre en vigueur après le jour de sortie, il peut en résulter des différences considérables entre l'Union européenne et le Royaume-Uni dans des domaines aussi essentiels que le consentement au marketing en ligne.

Ces différents problèmes, parmi d'autres, peuvent avoir des conséquences directes sur la légalité des flux de données entre le Royaume-Uni et l'Europe. Question critique : La Commission européenne reconnaîtra-t-elle le Royaume-Uni comme une destination " adéquate " pour les transferts de données personnelles, compte tenu des prochaines incertitudes sur l'alignement législatif ? Et supposons qu'il obtienne ce statut, le Royaume-Uni s'alignera-t-il volontairement avec le reste de l'Europe dans le respect des évolutions ultérieures comme Schrems II ou E-privacy ?

L'alternative possible serait d'adopter un traité spécifique sur la protection des données, permettant à l'autorité de contrôle de la protection des données britannique de faire partie du mécanisme du " guichet unique " concernant les traitements de données transfrontaliers au sein de l'UE. Le négociateur en chef de l'UE sur le Brexit, Michel Barnier, a exclu cette hypothèse lors d'un discours en mai dernier mais un arrangement sur la protection des données pourrait, en fin de compte, faire partie de l'accord final du Brexit.

Quoi qu'il en soit, les groupes effectuant des transferts transfrontaliers entre le Royaume-Uni et les autres Etats membres doivent être prêts à mettre en place des plans d'urgence pour assurer les flux de données dans le cas d'un Brexit sans décision d'adéquation concernant le Royaume-Uni.

L'équipe de protection des données d'Altij serait ravie de vous accompagner, en anglais ou en français, sur la mise en place des mesures appropriées, dans le contexte de vos démarches de conformité au RGPD ou en tant que délégué à la protection des données externalisé. Nicholas Cullen, Solicitor of England and Wales et Avocat au barreau de Toulouse, travaille dans le cabinet Altij au pôle data. 
Pour plus d'informations sur notre offre RGPD, merci de visiter notre site dédié https://www.conformite-rgpd.expert ou de nous contacter via notre formulaire.

--------------------------------------------------------------------------------------------------------------------------------------- Brexit update: data protection implications of the EU Withdrawal Act

The UK's adoption of the European Union (Withdrawal) Act has brought into clearer focus the potential difficulties faced by data controllers and processors post-Brexit.

The Act, which received Royal Assent on 26 June 2018, sets "exit day" as 29 March 2019. Following that date (which could still change) most pre-existing EU law will be retained as UK legislation.

Directly applicable EU rules, such as the GDPR, will become part of domestic UK law as from exit date. Meanwhile, UK laws such as the Data Protection Act 2018, which adapt and apply EU rules in a domestic context, will remain in force.

Pre-existing case law of the Court of Justice of the European Union is retained as an interpretative aid to UK courts (but is not binding on the UK Supreme Court or, outside certain circumstances, the Court of Appeal). However, UK courts are not bound by CJEU decisions delivered after exit date, and will no longer be able to refer matters to it.

This means the situation on exit date will be that the UK will have the same fundamental data protection rules to the rest of the EU (taking into account the margin for interpretation left to Member States as regards, for example, Directives). However, because data protection is a fast-developing branch of law, the applicable legal regimes in the UK and the EU could diverge quickly.

For example, should the forthcoming ruling of the CJEU in Data Protection Commissioner v Facebook Ireland and Maximilian Schrems fall after exit date, it will not be binding on UK courts, meaning the UK would apply different rules as regards the transfer of personal data to other "third" countries.

Equally, if the long-awaited EU E-Privacy Regulation comes into force following exit date, it may result in significant legislative differences between the EU and UK in such key areas as consent in relation to online marketing.

These and other issues could have direct implications for the legality of data flows between Britain and Europe. Crucially, will the European Commission recognize the UK as an "adequate" destination for personal data from exit date, given the future uncertainties about legislative alignment? And assuming it obtains such status, will the UK voluntarily align itself with the rest of Europe in respect of subsequent developments such as Schrems II or E-Privacy?

An alternative possibility is that a specific treaty on data protection could be signed allowing Britain's data protection supervisory body, the Information Commissioner's Office (ICO), to remain within the GDPR's "one stop shop" mechanism for cross border processing within the EU. The EU's chief negotiator, Michel Barnier, ruled this out in a speech in May, but an arrangement on data protection may still end up being part of the final Brexit deal.

In any event, groups carrying out cross border processing between the UK and other Member States should be ready to implement contingency plans to enable continued data flows in the event of a "no-deal" Brexit without an adequacy decision.

Altij's data protection team would be delighted to discuss the appropriate measures with you, in English or in French, whether as part of your GDPR compliance programme or acting as external data protection officer.

Nicholas Cullen is a dual-qualified Solicitor of England and Wales and Avocat in France. He is a member of Altij's data protection team. For more information about our GDPR offer see our dedicated website: https://www.conformite-rgpd.expert or contact us via our online form.

---