- Période de transition de quatre mois (extensible à six mois) : Jusqu’à cette date, les transferts de données vers le Royaume-Uni ne sont pas considérés comme des transferts vers des pays tiers en vertu de la législation européenne.
- En l’absence d’une décision d’adéquation, les transferts britanniques sont considérés comme des pays tiers ; la Suisse reste matériellement autorisée, mais la LPD révisée introduit une obligation formelle d’établir une liste.
L’UE et le Royaume-Uni se sont mis d’accord à la dernière minute sur une Règlement conventionnel du retrait de la Grande-Bretagne de l’UE se sont mis d’accord.
Le respect de normes élevées en matière de protection des données fait également partie de l’accord – mais pas la reconnaissance du caractère adéquat. C’est plutôt l’UE qui décide unilatéralement si le niveau de protection des données anglais est adéquat, conformément aux règles applicables du RGPD. Les parties se sont toutefois mises d’accord sur une période de transition de quatre mois, qui sera prolongée à six mois en l’absence d’opposition de l’une des parties :
Article FINPROV.10A : Disposition provisoire pour la transmission de données à caractère personnel au Royaume-Uni
1. Pour la durée de la période spécifiée, le transfert de données à caractère personnel de l’Union vers le Royaume-Uni ne doit pas être considéré comme un transfert vers un pays tiers sous le droit de l’Union, à condition que la législation du Royaume-Uni en matière de protection des données au 31 décembre 2020, telle qu’elle est sauvegardée et incorporée dans le droit du Royaume-Uni par la loi de l’Union européenne (retrait) de 2018 et telle que modifiée par les règlements 201987 relatifs à la protection des données, à la vie privée et aux communications électroniques (amendements etc.) (sortie de l’UE) (“le régime de protection des données applicable”), s’applique et à condition que le Royaume-Uni n’exerce pas les pouvoirs désignés sans l’accord de l’Union au sein du Conseil de partenariat.
2) Sous réserve des paragraphes 3 à 11, le paragraphe 1 s’applique également en ce qui concerne les transferts de données à caractère personnel de l’Islande, de la Principauté du Liechtenstein et du Royaume de Norvège vers le Royaume-Uni pendant la période indiquée effectuées en vertu du droit de l’Union tel qu’appliqué dans ces États par l’accord sur l’Espace économique européen conclu à Porto le 2 mai 1992, pour autant que le paragraphe 1 s’applique aux transferts de données à caractère personnel de l’Union vers le Royaume-Uni, à condition que ces États notifient par écrit aux deux parties leur acceptation expresse de l’application de cette disposition.
3) Dans le présent article, les termes “pouvoirs désignés” désignent les pouvoirs :
[…]4. Le “période spécifiée“commence à la date d’entrée en vigueur du présent accord et, sous réserve du paragraphe 5, prend fin :
(a) à la date à laquelle les décisions d’adéquation concernant le Royaume-Uni sont adoptées par la Commission européenne en vertu de l’article 36, paragraphe 3, de la directive (UE) 2016/680 et de l’article 45, paragraphe 3, du règlement (UE) 2016/679, ou
(b) à la date quatre mois après le début de la période spécifiée, cette période étant prolongée de deux mois supplémentaires sauf si l’une des parties en fait la demande ;
quelle que soit la date antérieure.5. […].
Si l’UE ne prend pas de décision d’adéquation avant six mois, la Grande-Bretagne deviendra un pays tiers sans décision d’adéquation, au même titre que l’Inde, la Chine ou les États-Unis, par exemple. Les flux de données de l’EEE vers des destinataires en Grande-Bretagne ne seraient donc plus autorisés.Les données à caractère personnel sont traitées dans le cadre d’une politique de confidentialité, à moins que des garanties appropriées n’aient été convenues, comme les clauses contractuelles types, et qu’aucune exception à l’interdiction de divulgation ne s’applique. Cela vaut pour les flux de données internes au groupe comme pour les flux de données vers des destinataires externes. De plus amples informations à ce sujet sont disponibles, par exemple, dans les Avis de l’EDSA en cas de No-Deal Brexit du 12 février 2019.
Pour les entreprises en Suisse, la situation est différente. En droit suisse, ce n’est pas une décision d’adéquation qui est déterminante. Il n’y a pas de décision d’adéquation du tout ; ce qui est déterminant, c’est la question matérielle de savoir si le droit étranger offre une protection adéquate, et non une décision formelle. La liste d’Etats du PFPDT n’est donc pas contraignante. Sur le plan matériel, il faut toutefois continuer à partir du principe que le droit anglais en matière de protection des données est adéquat. Cela correspond également à la Point de vue du PFPDT. Les flux de données en provenance de Suisse restent donc en principe autorisés comme auparavant.
La révision de la LPD introduit par contre des décisions d’adéquation dans le droit suisse de la protection des données. Selon l’art. 16, al. 1, revLPD, le Conseil fédéral tient une liste des Etats dont le niveau de protection est considéré comme adéquat. Si un Etat donné ne figure pas sur cette liste, la communication vers cet Etat est limitée, même si son niveau de protection est censé être au-dessus de tout soupçon.
Fait également partie du Accord sont des réglementations sur la circulation des données. Entre autres, les deux parties veulent s’abstenir d’exiger le stockage ou le traitement de données dans un lieu donné (chapitre 2, article DIGIT.6 :
1. les parties s’engagent à garantir les flux de données transfrontaliers afin de faciliter le commerce dans l’économie numérique. A cette fin, les flux de données transfrontaliers ne doivent pas être restreints entre les Parties par une Partie :
(a) exiger l’utilisation d’installations informatiques ou d’éléments de réseau sur le territoire de la Partie pour le traitement, y compris en imposant l’utilisation d’installations informatiques ou d’éléments de réseau qui sont certifiés ou approuvés sur le territoire d’une Partie ;
(b) exiger la localisation des données sur le territoire de la Partie en vue de leur stockage ou de leur traitement ;
(c) interdisant le stockage ou le traitement sur le territoire de l’autre partie ; ou
(d) subordonner le transfert transfrontalier de données à l’utilisation d’installations informatiques ou d’éléments de réseau sur le territoire des Parties ou à des exigences de localisation sur le territoire des Parties.
D’autres dispositions visent à libre circulation des données, mais aussi des services numériques assurer, par ex. art. Article DIGIT.9 No prior authorisation ;
Une Partie n’exige pas l’autorisation préalable de la fourniture d’un service par des moyens électroniques au seul motif que le service est fourni en ligne, et n’adopte ni ne maintient aucune autre exigence ayant un effet équivalent.
Un service est fourni en ligne lorsqu’il est fourni par des moyens électroniques et sans que les parties soient simultanément présentes.
2) Le paragraphe 1 ne s’applique pas aux services de télécommunication, aux services de radiodiffusion, aux services de jeux d’argent, aux services de représentation juridique ou aux services des notaires ou des professions équivalentes, à condition qu’ils impliquent un lien direct et spécifique avec l’exercice de l’autorité publique.
De même, art. Article DIGIT.10 : Conclusion de contrats par voie électronique
1) Chaque partie veille à ce que les contrats peuvent être conclus par des moyens électroniques et que sa législation ne crée pas d’obstacles à l’utilisation des contrats électroniques ni n’aboutit à des contrats privés d’effet juridique et de validité au seul motif que le contrat a été conclu par des moyens électroniques.
L’accord porte également sur Dispositions relatives à la protection des consommateurs et à la lutte contre le spam. Par exemple, les parties s’engagent à limiter le marketing direct électronique selon le modèle de la directive e‑Privacy (article DIGIT.14 Unsolicited direct marketing communications). Ok