Le règlement général sur la protection des données (RGPD), d’application extraterritoriale — article 3 RGPD — a été adopté dans l’optique de faciliter la libre circulation des données personnelles au sein de l'Union européenne (UE), tout en préservant les droits et libertés fondamentales des individus. Toutefois, le départ imminent du Royaume-Uni (RU) de l’Espace économique européen (EEE) suite au Brexit amène à s’interroger sur le transfert international des données et partant, sur le mécanisme de sauvegarde pour les États tiers à l’UE — non soumis au RGPD — ainsi que sur la transposition quasi-complète du RGPD en droit britannique pour étendre son application aux entreprises en dehors de l’UE qui ont des clients, des fournisseurs ou des filiales au sein de l’EEE — ou situation inverse, des entreprises de l’EEE qui en ont au RU — afin de garantir la protection des données à caractère personnel de chaque individu.

La sortie du RU de l’UE rompt son lien avec le RGPD et, par extension, sa liberté d’échanger librement des données, créant ainsi des incertitudes quant à leur protection, notamment dans ses relations avec la France. Pour maintenir les relations entre les entreprises britanniques et européennes et garantir la protection des données, la solution la plus favorable serait l’adoption d’une décision d’adéquation de l’UE par la Commission européenne, conformément à l’article 45 RGPD. Néanmoins, le délai de mise en place d’au moins trois ans pourrait compromettre cette éventualité, ce qui, selon une étude du New Economics Foundation et de l’University College London, risque de coûter 1.6 milliard de livres sterling aux entreprises britanniques pour la gestion du transfert des données personnelles. Ainsi, les entreprises devront mettre en place des clauses contractuelles types (CCT) actualisées visant à étendre — de manière contractuelle — les règles du RGPD en dehors de l’UE, ou bien trouver un autre mécanisme de sauvegarde à partir du 1er janvier 2021. En ce sens, la Commission européenne a élaboré un projet portant sur les CCT pour les transferts internationaux de données à caractère personnel, validé par la Cour de justice de l’Union européenne (CJUE) dans un arrêt Schrems 2 en date du 16 juillet 2020, sous réserve de « garanties supplémentaires pour assurer un niveau de protection essentiellement équivalent mais non identique à celui de l’UE ». Le projet révèle par ailleurs que les entreprises ayant établi des CCT auront un délai d’un an — à compter de la date d’entrée en vigueur des CCT — pour actualiser leurs contrats dans le respect des principes RGPD.

La forte probabilité d’absence de décision d’adéquation de l’UE soulève des préoccupations concernant les entreprises. En effet, ces dernières pourraient se servir des CCT — censées garantir aux cocontractants le respect des normes de protection relative au RGPD, des droits opposables et le droit à l’octroi d’un recours effectif, ainsi que la lutte contre les faiblesses des garanties UE — dans le seul but d’éluder les lois du pays où l’une des parties est établie. C’est notamment le cas des entreprises partageant des données avec les États-Unis (ÉU) malgré le fait que certaines lois et réglementations du gouvernement américain contreviennent aux principes évoqués dans le RGPD et au principe de proportionnalité — tel que le Privacy Shield entre l’UE et les ÉU, invalidé dans l’arrêt Schrems 2 — et en dépit de sa mainmise sur la collecte et la surveillance des données, à l’instar du RU avec le Regulation of Investigatory Powers Act 2000. La CJUE argue, dans un arrêt C-623/17 rendu le 6 octobre 2020, de l’impossibilité d’une protection adéquate, tant des données personnelles que de la vie privée, en cas d’utilisation de mesures de sécurité nationale incompatibles avec le droit communautaire, en particulier avec le RGPD, par application de lois nationales relatives à la surveillance. La CJUE rappelle que la protection accordée aux données à caractère personnel dans l'EEE doit les accompagner partout où elles vont ; les entreprises européennes ayant des relations d’affaires avec des entreprises britanniques, ou à l’inverse les entreprises britanniques en relation avec des entreprises européennes, devront vérifier les transferts de données personnelles de manière à s’assurer de leur conformité au RGPD.

Par conséquent, on relève un besoin d’examiner les territoires faisant l’objet d’exportation ou d’importation de données en vue de déterminer si le niveau de protection est conforme aux normes RGPD, ou si les lois de surveillance ne sont pas incompatibles avec ce dernier. La Cour déclare que les responsables du traitement ou les transformateurs, agissant en tant qu'exportateurs, sont chargés de vérifier de manière casuistique et le cas échéant, en collaboration avec l'importateur dans le pays tiers, si la loi ou la pratique du pays tiers empiète sur l'efficacité des garanties appropriées contenues dans les outils de transfert, au visa de l'article 46 RGPD.

Un autre problème se profile ; en dépit de la légalité des CCT, leur utilisation comme outil d’exportation est questionnable. Les conseils du Comité européen de la protection des données (CEPD) déplorent que les CCT ne sont pas suffisantes et établissent des recommandations indiquant aux exportateurs de cartographier le flux de données vers les pays tiers afin de s’assurer du niveau de protection équivalent susmentionné, et ce peu importe l’endroit où les données seront traitées. Il est nécessaire de vérifier que les données transmises sont adéquates, limitées et pertinentes par rapport aux finalités pour lesquelles elles sont transférées et traitées dans le pays tiers. En outre, l’article 27 RGPD dispose qu’une entreprise basée dans un pays tiers, soit le RU après le Brexit, doit désigner un représentant de l’UE dans le cas où cette dernière traite de manière régulière des données à caractère personnel dans l’EEE. Dans l’intention de lutter contre la surveillance de masse de l’État, le CEPD estime qu’il faut examiner l’utilisation des CCT par le biais de contrôles et mettre en place des mesures comme le cryptage renforcé ou le « pseudonymat » pour assurer la protection des données.