Le 24 juin 2016, le Royaume-Uni a voté par référendum sa sortie de l’Union européenne (UE).

Selon les termes de l’article 50 du traité de Lisbonne, le Royaume-Uni devra notifier son intention de sortir à la Commission européenne. Le Royaume-Uni disposera alors d’une période de transition et de négociation de deux ans maximum pour négocier un accord de sortie avec la Commission européenne. Au terme de cette période de transition et de négociation, le Royaume-Uni ne sera plus soumis aux traités européens.

Au-delà des incertitudes politiques et économiques d’un tel évènement, cette sortie soulève de nombreuses questions juridiques, notamment en ce qui concerne la protection des données personnelles.

Au Royaume-Uni, la protection des données personnelles est actuellement régie par le Data Protection Act adopté en 1998 et pris en application de la directive 95/46/CE de 1995. Cette directive a vocation à être remplacée par le règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données personnelles) – RGDP) qui entrera en vigueur le 25 mai 2018.

Le RGDP devrait donc vraisemblablement être appliqué au Royaume-Uni pour une courte période jusqu’à sa sortie effective de l’UE, à moins que la période de négociation relative à sa sortie n’intervienne avant son entrée en vigueur.

A compter de la sortie effective du Royame-Uni, quelles seront alors les règles applicables au transfert de données personnelles entre un pays de l’Union européenne et celui-ci ? La réponse à cette question dépendra essentiellement de la forme que prendra la coopération entre l’Union européenne et le Royaume.

Tout d’abord, le Royaume-Uni pourrait devenir membre de l’Association européenne de libre-échange (AELE) comme la Norvège, l’Islande ou le Liechtenstein. Dans ce cas, le Royaume-Uni ferait partie de l’espace économique européen (EEE). Il bénéficierait alors des accords de libre-échange et serait inclus dans le marché intérieur européen. Cependant, le Royaume-Uni devrait appliquer un certain nombre de règles et de dispositions européennes comme le RGDP. Actuellement, les membres de l’AELE ont tous intégré les dispositions de la directive relative aux données personnelles dans leurs droits nationaux et ils se devront de se conformer au RGDP une fois celui-ci entré en vigueur. Si cette solution devait être retenue, le Royaume-Uni devrait alors faire évoluer sa législation pour la mettre en conformité avec le RGDP.

Le Royaume-Uni pourrait également être reconnu par la Commission européenne comme un Etat disposant d’un niveau de protection adéquat comme c’est le cas actuellement pour la Suisse en application d’un accord économique bilatéral spécifique et d’autres pays tels que Andorre, l'Argentine, l'Australie, le Canada, les Îles Féroé, Guernesey, Israël, l'Île de Man, Jersey et l'Uruguay.

Enfin, le Royaume-Uni pourrait négocier avec la Commission européenne un accord spécifique pour le transfert des données personnelles à l’image du Privacy Shield négocié par les Etats-Unis. Néanmoins, cette solution comporte des risques et induit une certaine insécurité juridique comme les Etats-Unis ont pu le constater lorsque le Safe Harbor a été invalidé en octobre dernier.

Alternativement, sauf dans le cas où cela relève des exceptions légales au principe d’interdiction de transferts, les entreprises devront appliquer des règles internes d’entreprise (Binding Corporate Rules - BCR) soumises au préalable à l’approbation de l’autorité compétente (en France, la CNIL) ou recourir aux clauses contractuelles types établies par la Commission européenne.

Behring – Anne-Solène Gay – Juris Initiative – RGDP – Brexit – Données personnelles – EEE – AELE – BCR – Clauses contractuelles types – niveau de protection adéquat – Privacy Shield – Safe Harbor – Data Protection Act – Directive 95/46/CE