Que se passe-t-il avec l'accord de confidentialité des données entre le Royaume-Uni et les États-Unis ?
Table des matières:
En 1858, lorsque les ingénieurs ont posé le premier câble de communication entre le Royaume-Uni et les États-Unis, le grand défi consistait à faire passer les signaux télégraphiques des deux pays sur un seul fil. Depuis lors, les secteurs public et privé ont fait passer des milliers de kilomètres de câbles à fibres optiques sous l’Atlantique qui transfèrent des térabits de données par seconde. De nos jours, les obstacles à l’échange transatlantique de données ne sont pas technologiques mais juridiques.
L’UE a établi à deux reprises des règles de confidentialité régissant l’échange de données sur ses citoyens avec les États-Unis, qui régissaient également le Royaume-Uni en tant que membre de l’UE. Après que ces deux projets aient été jugés illégaux, le bloc a décidé d’en créer un troisième. Trois ans après avoir quitté l’Europe, le Royaume-Uni négocie son propre accord d’adéquation avec les États-Unis. Comment ça se passe?
Comment en est-on arrivé là?
L’UE et les États-Unis ont établi leur accord d’adéquation des données Privacy Shield en 2016 après une contestation judiciaire réussie de leur accord initial de Safe Harbor. Le Privacy Shield permettait aux entreprises américaines de s'auto-certifier auprès du ministère américain du Commerce pour recevoir des données d'entreprises européennes.
Après avoir contesté Safe Harbour, l'avocat autrichien Max Schrems a de nouveau contesté le Privacy Shield devant les tribunaux, et la Cour de justice de l'Union européenne (CJUE) l'a invalidé en juillet 2020. Depuis lors, les entreprises britanniques souhaitant échanger des données avec les États-Unis ont dû s'appuyer sur sur les clauses contractuelles types (CCS). Ces accords entre entreprises permettent l’échange de données, mais leur mise en œuvre nécessite plus de travail. Le Royaume-Uni a remplacé SCC avec son accord international de transfert de données (ITDA), bien qu'il permette toujours aux utilisateurs d'utiliser les SCC de l'UE en appliquant un addendum spécial au Royaume-Uni.
Les SCC et les ITDA peuvent prendre en charge l’échange bilatéral de données ad hoc entre organisations, mais un accord-cadre intergouvernemental standard faciliterait la tâche des entreprises. La course est donc lancée pour établir une alternative au Privacy Shield.
Éclosion d’un accord entre le Royaume-Uni et les États-Unis
Le Royaume-Uni travaille sur son propre accord d’adéquation des données avec les États-Unis, parallèlement à l’UE. Il a publié un déclaration commune sur ce plan avec les États-Unis en août dernier, regroupant les flux de données transfrontaliers ainsi que de nombreuses initiatives technologiques allant de la diversité des télécommunications à l'informatique quantique.
Le ministère britannique du Numérique, de la Culture, des Médias et du Sport (DCMS) passe par quatre étapes dans ses évaluations de l'adéquation des données avec d'autres pays : contrôle d'accès, évaluation, recommandation et procédure. Le contrôle d'accès est le moment où le ministère décide de commencer ou non une évaluation de l'adéquation d'une nation. Lors d'une évaluation, il collecte et interprète des données sur le pays en question sur la base d'un modèle standard avant de faire une recommandation au secrétaire d'État. Le secrétaire consulte ensuite le Bureau du commissaire à l'information (ICO) pour savoir s'il convient de déterminer l'adéquation. Une fois ce stade dépassé, le ministère produit des lois au Parlement.
Le DCMS ne propose pas de date précise pour l'achèvement de ce processus pour l'accord d'adéquation entre le Royaume-Uni et les États-Unis, mais il a parcouru un long chemin. En octobre dernier, les négociations d’adéquation entre l’UE et le Royaume-Uni avec les États-Unis ont fait un pas en avant lorsque la Maison Blanche a publié un décret visant à renforcer les garanties pour le renseignement d’origine électromagnétique des États-Unis. Il s'est engagé à créer un tribunal de révision de la protection des données qui donnerait aux citoyens britanniques et européens un moyen de contester toute utilisation de leurs données par les autorités américaines.
Cela a plu au DCMS, qui a publié une déclaration saluant la décision américaine et promettant de préparer des réglementations adéquates pour le Parlement au début de cette année. En janvier, la secrétaire d'État britannique chargée du DCMS, Michelle Donelan, et des représentants de l'État américain ont donné le coup d'envoi au sommet. réunion inaugurale du dialogue global entre les États-Unis et le Royaume-Uni sur la technologie et les données. Les deux pays ont convenu de finaliser et de mettre en œuvre un pont de données pour les flux de données entre les États-Unis et le Royaume-Uni « en 2023 ».
What Happens Next?
L’accord d’adéquation américain n’est pas la seule initiative du Royaume-Uni. Les flux de données internationaux font partie de sa stratégie nationale en matière de données. Le gouvernement cherche également à conclure des accords d'adéquation avec l'Australie, la République de Corée, Singapour, le Centre financier international de Dubaï et la Colombie. Les accords avec l’Inde, le Brésil, le Kenya et l’Indonésie figurent sur sa liste de choses à faire.
Politico rapporté que le cadre transatlantique de confidentialité des données entre l'UE et les États-Unis, convenu en octobre, prendrait environ six mois à l'UE pour être mis en œuvre. Cela signifie que nous l’attendons vers le mois prochain. Le Royaume-Uni pourrait aligner ses canards juridiques avant d’abandonner la législation américaine d’adéquation au Parlement. Espérons néanmoins qu’il ne faudra pas beaucoup plus de temps pour qu’il puisse s’aligner sur l’annonce de l’UE.
En attendant de voir ces détails, les avocats consultent le décret pour obtenir des conseils. Noyb.eu, le groupe de protection de la vie privée à but non lucratif fondé par Schrems, a déjà préoccupations exprimées sur le manque de protection de la vie privée des citoyens de l'UE dans ce document. L'organisation lui a reproché d'être plus faible que GDPR et laisser la possibilité aux agences de renseignement américaines de poursuivre la surveillance massive. Cette critique suggère que des problèmes juridiques liés à l’accord pourraient survenir avant même qu’il ne soit adopté.
Le gouvernement britannique, qui est déjà et la planification de votre patrimoine son retrait du RGPD avec des règles de protection des données plus faibles, n'est peut-être pas aussi préoccupé par ces questions, mais ses opposants pourraient l'être. Alors que les données ne mettent que quelques millisecondes pour traverser l’océan, les machinations juridiques et politiques prennent un peu plus de temps.
