Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Résolution sur le niveau de protection adéquat des données à caractère personnel assuré par le Royaume-Uni

2021/2594(RSP)

Le Parlement européen a adopté par 344 voix pour, 311 contre et 28 abstentions, une résolution sur le niveau de protection adéquat des données à caractère personnel assuré par le Royaume-Uni.

Le Royaume-Uni a toujours été un partenaire commercial important de nombreux États membres de l’Union ainsi qu’un proche allié dans le domaine de la sécurité. Les députés estiment que l’Union et le Royaume-Uni devraient poursuivre cette coopération étroite malgré le Brexit.

Une décision d’adéquation portant sur le Royaume-Uni au titre du Règlement général sur la protection des données (RGPD) s’avère donc de la plus haute importance. L’absence d’adoption d’un cadre d’adéquation fiable risquerait d’engendrer des perturbations dans les transferts commerciaux transfrontières, entre l’Union européenne et le Royaume-Uni, de données à caractère personnel, ainsi que des coûts de mise en conformité élevés.

Contexte

L’accord de commerce et de coopération avec le Royaume-Uni comporte un certain nombre de garanties et de conditions concernant l’échange de données à caractère personnel pertinentes dans le domaine répressif. Toutefois, les négociations relatives aux flux de données à caractère personnel ont été menées parallèlement aux négociations sur l’accord, mais n’ont pu être finalisées avant la fin de la période de transition au 31 décembre 2020.

Une «clause passerelle» a été incluse dans l’accord à titre de solution provisoire, subordonnée à l’engagement du Royaume-Uni de ne pas modifier son régime actuel de protection des données, afin de garantir la continuité des flux de données à caractère personnel entre le Royaume-Uni et l’Union jusqu’à l’adoption d’une décision d’adéquation. La période initiale de quatre mois a été prolongée et s’achèvera à la fin du mois de juin 2021.

Les députés ont rappelé que l’évaluation réalisée par la Commission avant de présenter son projet de décision d’exécution n’était pas achevée, et n’était pas pleinement conforme aux exigences de la Cour de justice en matière d’évaluation de l’adéquation.

Dans ses avis sur l’adéquation, le comité européen de la protection des données a recommandé à la Commission d’évaluer plus avant certains aspects spécifiques du droit et de la pratique du Royaume-Uni relatifs à la collecte en masse, la divulgation outre-mer et les accords internationaux dans le domaine de l’échange de renseignements, l’utilisation ultérieure des informations collectées à des fins répressives et l’indépendance des commissaires judiciaires.

Certains aspects de la législation ou des pratiques du Royaume-Uni n’ont pas été pris en considération par la Commission, ce qui a donné lieu à des projets de décisions d’exécution qui ne sont pas conformes au droit de l’Union.

Application du Règlement général sur la protection des données (RGPD)

Dans la mesure où le Royaume-Uni est signataire de la convention européenne des droits de l’homme (CEDH) et de la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, le Parlement attend du Royaume-Uni qu’il garantisse le même cadre minimal de protection des données, même s’il a quitté l’Union européenne.

Le Parlement a exprimé son inquiétude quant à l’application lacunaire voire souvent inexistante du RGPD par le Royaume-Uni alors qu’il était encore membre de l’Union. Il a fait part d’un certain nombre de préoccupations sur les questions suivantes :

- la législation britannique en matière de protection des données prévoit une dérogation à certains aspects des principes et droits fondamentaux de la protection des données, tels que le droit d’accès et le droit de toute personne concernée de savoir avec qui ses données ont été partagées, dans le cas où une telle protection «nuirait à un contrôle efficace de l’immigration»;

- les projets de décisions d’adéquation ne tiennent pas compte de l’absence de limitations à l’utilisation des pouvoirs du Royaume-Uni en matière de données de masse, ni de l’utilisation réelle des opérations de surveillance britanniques et américaines révélée par Edward Snowden;

- les règles britanniques en matière de partage des données à caractère personnel au titre de la loi sur l’économie numérique de 2017 (Digital Economy Act 2017) et concernant les transferts ultérieurs de données de recherche ne sont clairement pas «substantiellement équivalentes» aux règles énoncées dans le RGPD, telles qu’interprétées par la Cour de justice;

- l’accord sur l’accès transfrontière aux données conclu entre le Royaume-Uni et les États-Unis dans le cadre de la loi américaine sur l’informatique en nuage (CLOUD Act) facilitera les transferts à des fins répressives et permettra aux autorités américaines d’accéder indûment aux données à caractère personnel des citoyens et résidents de l’Union;

- l’Investigatory Powers Act (loi portant réglementation des pouvoirs d’enquête, IPA) de 2016 subordonne l’interception à un contrôle judiciaire et autorise les personnes à accéder à leurs données et à introduire des plaintes devant le tribunal du Royaume-Uni chargé des pouvoirs d’enquête. Toutefois, l’IPA 2016 continue d’autoriser la pratique de la conservation de données en masse;

- en janvier 2021, 400.000 casiers judiciaires auraient été accidentellement effacés de l’ordinateur national de la police britannique, ce qui n’inspire pas la confiance dans les efforts déployés par le Royaume-Uni pour garantir la protection des données utilisées à des fins répressives.

Conclusions

Le Parlement a invité la Commission à garantir aux entreprises de l’Union que la décision d’adéquation fournira une base juridique solide, suffisante et tournée vers l’avenir pour les transferts de données. Cette décision d’adéquation devrait être jugée acceptable en cas d’examen par la Cour de justice de l’Union européenne et devrait prendre en compte toutes les recommandations formulées dans l’avis du comité européen de la protection des données.

Les députés s’opposent aux deux actes d’exécution adoptés par la Commission dans la mesure où les projets de décisions d’exécution ne sont pas conformes au droit de l’Union. La Commission est invitée à modifier les deux projets de décisions d’exécution afin de les rendre pleinement conformes au droit de l’Union et à sa jurisprudence.

Les députés ont demandé à la Commission et aux autorités compétentes du Royaume-Uni de mettre en place un plan d’action afin de remédier dans les meilleurs délais aux lacunes recensées dans les avis du comité européen de la protection des données. La Commission est invitée à informer et à consulter le Parlement à propos de toute modification future du régime de protection des données du Royaume-Uni et à prévoir un rôle de contrôle pour le Parlement dans le nouveau cadre institutionnel.