Le Règlement général de protection des données personnelles
Après des années de réglementation désuète, la Directive 95/46/CE de 1995 cède la place au Règlement général de protection des données personnelles (GDPR). Ce dernier, publié le 27 avril 2016, entrera en application en 2018 après quatre longues années de négociations et de rebondissements. 3999 amendements et quelques 98 articles plus tard, le texte adopté permet, en théorie, d’harmoniser les règles de protection de données personnelles au sein de l’Union Européenne (UE). D’application directe et uniforme, il prend en compte les évolutions technologiques (Cloud Computing, Big data, etc.). On y consacre le droit à la personne, du consentement au droit à l’oubli. On contraint les acteurs de l’ère numérique (chaîne de responsabilité, coresponsabilité) à prendre leurs responsabilités. On encadre le transfert des données personnelles en dehors de l’UE et, en cas de défaillance, on punit aussi, un peu, beaucoup… jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise.
Le Data Privacy Shield
De son côté, le Data Privacy Shield, destiné à sécuriser le transfert de données vers les Etats-Unis après la fin du règne du Safe Harbor en octobre dernier (Candice Liebaert, Safe Harbor est mort ! Vive le EU-US Privacy Shield), fait son petit bonhomme de chemin et serait en bonne voie pour un vote début juillet. L’Europe et les Etats-Unis ont dû collaborer activement et rapidement devant le « quasi » vide juridique sur un projet visant à la protection des données personnelles sur le territoire de l’Oncle Sam. La Commission Européenne manifeste son impatience et souhaite un vote rapide même si ce texte est imparfait et critiqué pour sa fragilité. La question de la protection des données européennes du gouvernement américain reste au cœur des débats. Si ce point restait insatisfaisant lors du vote du « bouclier », il serait challengé sur les mêmes fondements que le Safe Harbour. Le groupe de travail « Article » 29 se préoccupe notamment de la question du pouvoir et de l'indépendance de l'ombudsman (« Médiateur ») des États-Unis, qui traitera les plaintes européennes relatives au transfert de données personnelles.
Que va changer le Brexit ?
Bien que fragile et incertain, le cadre légal autour des données était presque là ! Dans ce contexte, que va changer le Brexit ?
Avec le Règlement Européen applicable à compter de 2018 seulement, on peut aisément supposer, sans trop se tromper, que ce dernier ne sera jamais mis en place !
Le Royaume-Uni et ses données personnelles vont donc rejoindre les Etats Unis : les données personnelles transférées de l’autre côté de la Manche seront considérées comme transférées en dehors de l’Union Européenne vers un pays tiers et donc interdites, sauf à ce que soit offert un niveau de sécurité suffisant avec notamment la mise en place des gestions alternatives de transfert de données : les Binding Corporate Rules (BCR) et/ou Clauses Contractuelles Type (CCT).
Mais à quelque chose malheur est bon ! Au-delà du chaos politique et de la chute des marchés, il se pourrait que le Brexit précipite la signature du Data Privacy Shield entre l’Union Européenne et les Etats-Unis. En effet, si cet accord était rejeté, on pourrait craindre le renforcement de l’insécurité autour des transferts de données. En cas d’échec de cet accord, les sociétés devraient faire le choix cornélien de s’exposer à payer des amendes pour transférer des données personnelles sans cadre légal, d’adopter les CCT ou BCR ou encore de conserver leurs données en Europe. Etant entendu que les CCT vivent peut-être leurs dernières heures : l’autorité irlandaise de protection des données personnelles envisagerait de demander à la CJUE de se prononcer sur la conformité des CCT avec les réglementations européennes. A suivre donc…
Candice LIEBAERT, Directrice RH & Juridique d’Insight Europe du Sud