Opération Yellowhammer : Quelles conséquences en cas d’un brexit no deal sur le transit et la protection des données numériques UK-EU ?

Publié par le dans , , | Consulté 91 Fois

MàJ – 20 Octobre 2019

Le 19 Octobre 2019 la presse annonce que la proposition d’un accord entre l’U.K. et L’E.U. a été remise au gouvernement Anglais.

Les parlementaires britanniques, réunis exceptionnellement ce samedi, ont pris la décision de repousser le vote sur l’accord négocié entre Boris Johnson et l’Union européenne.

L’amendement en ce sens, déposé par le député Oliver Letwin, congédié le mois dernier du Parti conservateur, a été approuvé à 322 voix pour et 306 voix contre. Par ce vote, le Premier ministre britannique Boris Johnson est contraint par la législation en vigueur à demander un report du Brexit de trois mois le temps que soit adoptée toute la législation nécessaire à la mise en œuvre de l’accord.

Le gouvernement britannique a publié mercredi 11 septembre 2019 les conclusions du dossier “Opération Yellowhammer”, un rapport qui évalue les conséquences les plus brutales d’un Brexit sans accord.

Un dossier aux conclusions inquiétantes 

Des extraits de ce texte ont fuité au mois d’août et faisaient état de perturbations à court terme dans 12 domaines-clés, dont la protection et le transit des données numériques.

En effet, le document commence par rappeler qu’en cas de Brexit sans accord, le R.U reviendrait à un statut de pays tiers ou « third country » notamment en matière de protection et de transfert des données numériques ayant lieu sur leur territoire.

Cela signifierait que le R.U n’aurait plus de mécanismes d’approbation sur la libre circulation des données numériques et notamment personnelles émanant de l’Europe.

Aussi, aucune alternative légale n’est en place afin d’assurer cette potentielle transition et les négociations afin de mettre en place un agrément adéquat pourraient prendre des années d’après les avis émis dans le document opération yellowhammer

En effet, la commission européenne est seule habilitée, sur la base de l’article 45 de la directive 2016/679, à décider si un pays possède ou ne possède pas un niveau suffisant de protection des données numériques

L’adoption d’un tel accord implique :

  • Une requête de la Commission Européenne
  • L’avis de l’European Data Protection Board
  • L’approbation par les représentants des pays de l’union européenne
  • L’adoption à terme de la décision par la Commission Européenne

Des difficultés d’accès à l’adequacy assesment

Actuellement, la liste des pays bénéficiant d’un tel accord est relativement petite et n’inclut pas certaines des puissances économiques mondiales les plus fortes tel que la Chine, L’inde ou les États-Unis avec lesquels nous ne disposons que du faible carcan normatif « Privacy Shield »

Il aura fallu 6 ans de négociation avec la Nouvelle Zélande afin d’obtenir un tel accord avec l’Europe, ce qui appuie les craintes du gouvernement Anglais en ce qui concerne la lenteur de l’établissement d’un « adequacy assesment » avec l’Union Européenne.

Néanmoins, le Japon a bénéficié de la « bénédiction » européenne dans un laps de temps bien plus court en profitant du récent l’accord de libéralisation des échanges Europe-Japon

Le R.U : Un bon candidat à l’adequacy assesment ? 

Sachant que le RGPD a été transposé par le R.U via le Data Protection Act de 2018, il pourrait sembler logique qu’une décision positive soit émise rapidement par l’Europe, en effet, le R.U. et notamment la UK Information Commissioners Office ont été des acteurs décisifs dans l’application rapide sur le territoire anglais du RGPD, notamment via de lourdes sanctions pécuniaires à destination d’entreprise telles que British Airwars, Marriott Hotels et autres lorsque ces derniers manquaient à leurs obligations en matière de données personnelles.

Néanmoins, l’Investigatory Powers Act de 2016, véritable carcan légal d’une surveillance de masse opérée par le R.U sur son territoire, pourrait être en contradiction avec les attentes de l’Europe en matière de protection des données personnelles et libertés fondamentales et causer le refus d’un agrément qui viserait le R.U

Un tel manquement à la conformité n’a jamais été dénoncé lorsque le R.U était un état-membre, mais dans l’état actuel des choses cet acte de surveillance de masse pourrait être mis en avant et constituer un obstacle fort dans le processus exhaustif d’évaluation initié par la Commission Européenne

Les conséquences d’un bréxit no deal

Le Sunday Times, premier journal à révéler, avant la publication officielle, les documents de l’opération yellowhammer, met en exergue un possible « fossé de données » en cas de l’absence d’un accord entre le R.U et l’Europe.

Pour le moment, le gouvernement du R.U a confirmé reconnaître l’Europe comme ayant un niveau de protection de données personnelles suffisamment élevé pour le transit de données numériques mais l’Europe n’a pas réciproqué.

Aussi, la Commission Européenne exclut l’intégration de clauses sur la protection des données d’un éventuel accord commercial « deal » avec le R.U en invoquant que la protection des données questionne la problématique des droits et libertés fondamentales et ce malgré le précédent que constitue l’accord commercial Europe-Japon.

Des alternatives existantes pour le transit UK-EU

Alors que la presse s’attache à affirmer que toute cette problématique est sous l’emprise des décisions du gouvernement anglais ainsi que de la commission européenne, il apparaît en pratique que les organisations anglaises ont simplement besoin de s’assurer que les contrats passés avec des pays de l’union européenne sont à jour et contiennent les MCC « Model Contract Clauses » qui couvrent le transfert et le traitement international de données personnelles. Ainsi les DPO anglais n’ont qu’à s’assurer de la conformité et de la présence des MCC dans leurs contrats en cours d’exécution

Au même moment, les organisations transnationales ayant leurs quartiers à la fois en Europe et au R.U devront eux se conformer au Binding Corporate Rules avec le contreseing des autorités de régulation de protection des données afin de ne pas mettre en péril la libre circulation des données internes à l’organisation

Il faut comprendre que les entreprises exerçant leurs activités dans des pays hors de l’UE doivent néanmoins suivre ces pratiques, de sorte qu’il ne soit pas indûment contraignant d’appliquer les mêmes processus lors de la conduite de leurs affaires dans l’UE. En réalité, nous devrions faire face à moins de «fossés de données» et plus de « ralentisseurs » en ce qui concerne la libre circulation des données à caractère personnel en cas de sortie «sans accord» pour l’UE et il est à espérer que les entreprises grandes et petites bénéficieront des conseils avisés du gouvernement britannique afin de travailler avec leurs clients et leurs fournisseurs et de veiller à ce que la libre circulation des données UK-EU reste effective.

Sources

“No-deal Brexit preparations: the leaked Operation Yellowhammer document”
https://www.thetimes.co.uk/article/no-deal-brexit-planning-assumptions-the-leaked-operation-yellowhammer-document-797qxkrcm – Consulté le 13 octobre 2019

“Brexit: Operation Yellowhammer no-deal document published”
https://www.bbc.co.uk/news/uk-politics-49670123 – Consulté le 13 octobre 2019

“Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)”
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679 – Consulté le 14 octobre 2019

“Investigatory Powers Act 2016”
http://www.legislation.gov.uk/ukpga/2016/25/contents/enacted – Consulté le 14 octobre 2019

“Operation Yellowhammer – What the leaked governement brexit planning tells us about UK-EU data protection”
https://www.digitallawuk.com/blog/2019/08/leaked-government-brexit-planning – Consulté le 13 octobre 2019