Le Brexit suscite des questions relatives aux règles de confidentialité

Le 23 juin 2016, le Royaume-Uni a organisé un référendum pour décider s’il restait ou non membre de l’Union européenne (UE), le scrutin s’est soldé par une victoire du camp « Leave ». Le référendum n’est pas juridiquement contraignant pour le gouvernement britannique. Cependant, étant donné que la plupart des gens le considèrent comme politiquement contraignant, il est donc plus que probable que le Royaume-Uni quitte l’Union européenne d’ici à quelques années.

Si le Royaume-Uni devait quitter l’Union européenne, cela conduirait très probablement à la mise en place d’un cadre juridique qui reflète les dispositions du RGPD. Pour que le Royaume-Uni puisse poursuivre ses échanges commerciaux avec l’UE et la Suisse sur un pied d’égalité, le Commissaire à l’Information (ICO) a confirmé qu’il chercherait à être reconnu comme une juridiction adéquate. Ceci impliquerait que le Royaume-Uni, à l’instar du modèle suisse, adopte des normes équivalentes au RGPD en matière de protection des données, ce qui autoriserait un flux de données personnelles libre et continu entre l’UE et le Royaume-Uni.

Cela dépendra beaucoup du modèle que le Royaume-Uni et le reste de l’UE négocieront pour les relations entre le Royaume-Uni et les Etats membres restants de l’UE. Si le Royaume-Uni décide effectivement de sortir de l’UE, il devra suivre la procédure juridique formelle établie dans l’article 50 du traité sur l’Union européenne. Cette procédure prendra au minimum deux ans, ce qui signifie que les entreprises devront se préparer à l’entrée en vigueur du RGPD au 25 mai 2018.

Concernant la protection des données suisses / britanniques, aucune décision hâtive ne doit être prise. Le RGPD entrera officiellement en vigueur le 28 mai 2018, il s’appliquera donc au Royaume-Uni avant que le pays ne sorte formellement de l’Union européenne. Certains redoutent qu’un éventuel « Brexit » ne perturbe le flux de données des activités internationales. Il se peut qu’il faille introduire des instruments spéciaux pour les transferts suisses et d’autres pays tiers, des mesures d’apaisement visant les transferts de données vers et depuis le Royaume-Uni. En ce qui concerne les services autour du « cloud », numériques ou financiers basés en Suisse et recourant à différents fournisseurs au Royaume-Uni, cela pourrait engendrer un besoin considérable d’ajustements de leurs procédures et accords contractuels. Par exemple, les sociétés pourraient envisager de se concentrer sur le Brexit à travers la définition de clauses contractuelles standard ou de règles d’entreprise contraignantes, ou encore par le choix de fournisseurs de services au sein des Etats membres de l’UE.