La Commission a engagé un processus devant conduire à l'adoption de deux décisions relatives à l'adéquation du niveau de protection des données pour les transferts de données à caractère personnel vers le Royaume-Uni, une dans le cadre du règlement général sur la protection des données et l'autre dans celui de la directive en matière de protection des données dans le domaine répressif. La publication des projets de décisions constitue la première étape d'un processus devant conduire à leur adoption. Cela suppose d'obtenir l'avis du Comité européen de la protection des données, ainsi que le feu vert d'un comité composé de représentants des États membres de l'UE. Une fois ce processus arrivé à terme, la Commission pourrait procéder à l'adoption des deux décisions d'adéquation.
Au cours des mois écoulés, la Commission européenne a étudié attentivement la législation et les pratiques du Royaume-Uni en matière de protection des données à caractère personnel, y compris les règles relatives à l'accès des pouvoirs publics aux données. Elle en a conclu que le Royaume-Uni garantissait un niveau de protection substantiellement équivalent à celui garanti en vertu du règlement général sur la protection des données (RGPD), et, pour la première fois, en vertu de la directive en matière de protection des données dans le domaine répressif.
«Le fait que la libre circulation sécurisée des données à caractère personnel soit garantie est capital pour les entreprises comme pour les citoyens de part et d'autre de la Manche. Le Royaume-Uni a certes quitté l'UE, mais pas la famille européenne en matière de protection de la vie privée. Il nous faut cependant nous assurer que nos décisions résisteront à l'épreuve du temps. C'est pourquoi nous les avons assorties de mécanismes clairs et stricts permettant leur suivi, leur examen, leur suspension ou leur retrait, afin d'être en mesure de faire face à toute évolution problématique du système britannique une fois ces décisions rendues.» explique Věra Jourová, vice-présidente chargée des valeurs et de la transparence.
Alors qu'avec d'autres pays tiers la convergence s'obtient grâce au processus d'adéquation entre des systèmes souvent divergents, le droit de l'UE a façonné le régime britannique de protection des données des décennies durant. Il est cependant essentiel, à présent que le Royaume-Uni n'est plus lié par les règles de l'UE en matière de respect de la vie privée, que les constats d'adéquation résistent à l'épreuve du temps. C'est pourquoi ces décisions d'adéquation, une fois adoptées, ne devraient être valides, dans un premier temps, que pour une période de quatre ans. Après ces quatre ans, il serait envisageable de renouveler le constat d'adéquation, à condition que le niveau de protection britannique reste adéquat.
«Il est essentiel de maintenir un flux de données sécurisées entre l'UE et le Royaume-Uni en vue de conserver des liens commerciaux étroits et de coopérer efficacement dans la lutte contre la criminalité. Nous avons engagé ce jour le processus pour ce faire. Nous avons procédé à la vérification approfondie du système de protection de l'information en vigueur au Royaume-Uni depuis que ce dernier a quitté l'UE. À présent, c'est au tour des autorités européennes de protection des données de passer les projets de décisions au crible. Le droit fondamental des citoyens de l'UE à la protection de leurs données ne saurait souffrir aucune concession lorsque des données à caractère personnel traversent la Manche. C'est précisément cela que les décisions relatives à l'adéquation du niveau de protection des données garantiront, une fois adoptées.» Didier Reynders, commissaire chargé de la justice.
D'ici là, les flux de données entre l'Espace économique européen et le Royaume-Uni se poursuivront et resteront sécurisés grâce au régime provisoire conditionnel convenu dans l'accord de commerce et de coopération UE-Royaume-Uni. Cette période provisoire prendra fin le 30 juin 2021.
Après avoir pris en compte l'avis du Comité européen de la protection des données, la Commission européenne devra demander le feu vert aux représentants des États membres dans le cadre de la procédure de comitologie. Cela fait, la Commission européenne pourrait adopter les décisions relatives à l'adéquation du niveau de protection des données au Royaume-Uni sous leur forme définitive.