Cybersécurité et données personnelles : l’incertitude du Brexit

Alors que la date limite du Brexit approche, des interrogations sur les relations entre le Royaume-Uni et l’Union européenne en matière de cybersécurité persistent. Les relations entre l’Union européenne et le Royaume-Uni doivent être redéfinies alors que ce dernier s’apprête à devenir un Etat « tiers ». 

En tant que pays tiers à l’Union, le Royaume-Uni ne peut plus prétendre aux procédures simplifiées que les traités européens ont mis en place. Cependant, il semble que des accords entre le Royaume-Uni et les pays européens soient nécessaires pour maintenir les échanges entre les Etats. Pour cette raison, l’accord devra trouver un juste milieu pour garantir un certain niveau d’échange avec le Royaume-Uni sans qu’il redevienne assujetti aux traités de l’Union. Concernant le domaine numérique, deux grands sujets sont en suspens :  l’application des directives européennes au sujet de la protection des données personnelles et l’implication du Royaume-Uni dans la lutte contre la cybercriminalité. 

  • La sortie de la Grande Bretagne du champ du RGPD : un obstacle  pour les entreprises 

L’article 44 du RGPD prohibe tout transfert de données dans un Etat tiers à l’Union européenne qui ne présenterait pas les garanties nécessaires selon les mécanismes prévus par le RGPD. L’un de ces mécanismes est la décision d’adéquation, prévue par l’article 45, prise par la Commission européenne qui juge la législation du pays conforme au RGPD. A défaut de décision d’adéquation, le transfert de données vers un Etat tiers n’est possible qu’au cas par cas, chaque entreprise étrangère s’engageant selon des mécanismes listés aux articles 46 et suivants. 

 L’équivalent britannique de la CNIL, l’Information Commisioner’s Office s’est également saisi du sujet du Brexit. Il conseille aux entreprises britanniques de garder un niveau de protection des données conforme au RGPD. 

Cependant, le Comité européen sur la protection des données a déclaré dans une note d’information en date du 12 février 2019 « qu’en l’absence d’accord entre l’Union européenne et le Royaume-Uni, celui-ci deviendra un pays tiers[…] ce qui veut dire que le transfert de données personnelles ne pourra se faire que selon les mécanismes » listés aux articles 46 et suivants. En l’absence de décision de décision d’adéquation,  chaque entreprise européenne devra éventuellement encadrer son rapport avec les entreprises britanniques, notamment par des clauses contractuelles, ce qui ralentirait les échanges commerciaux entre l’Union européenne et le Royaume-Uni.

  • L’implication du Royaume-Uni dans la cybersécurité européenne : un accord nécessaire

La question de la cybersécurité a été saisie par l’Union européenne aussi bien au niveau législatif qu’exécutif. Ainsi, l’Union européenne a adopté la directive NIS (Network and Information System Security)  sur la cybersécurité qui établit un niveau commun de protection des systèmes de données. Par ailleurs, l’Union européenne favorise la coopération entre les pays dans la lutte contre la cybercriminalité. En effet, la criminalité numérique étant une criminalité par essence globalisée, une réponse commune de l’Union européenne était de mise.  La sortie du Royaume-Uni de ces mécanismes fragiliserait potentiellement la défense européenne puisqu’elle ne pourrait plus s’appuyer sur les renseignements britanniques. La question qui se pose est celle de savoir dans quelle mesure le Royaume-Uni restera impliqué dans la défense numérique européenne. 

Actuellement, le Royaume-Uni participe notamment à Europol, et au Centre européen de la lutte contre la cybercriminalité, une des structures d’Europol dédiée à ce sujet.  Si le Royaume-Uni a exprimé le souhait de rester dans cette organisation, l’absence d’accord trouvé signifierait la fin de l’appartenance. Des mécanismes de coopération avec les pays tiers sont prévus et déjà mis en œuvre, mais ces procédures entraineraient naturellement des délais et contraintes supplémentaires. 

Arielle CHEMLA 

M2 Cyberjustice – Promotion 2019-2020

Sources :  

CREOGN, P. Aubert-Couturier, Protection des données et cybersécurité après le brexit : Etat des lieux et perspectives, note n°38, avril 2019

CNRS (CESDIP) Daniel Ventre, Le Brexit peut-il avoir un impact sur la cybersécurité, au Royaume-Uni et ailleurs ?,  Titulaire de la Chaire Cybersécurité & Cyberdéfense 15 Juillet 2016, article III – 25

https://www.cnil.fr/fr/se-preparer-un-brexit-sans-accord-quelles-questions-quels-conseils-de-la-cnil

https://edpb.europa.eu/our-work-tools/our-documents/inne/information-note-data-transfers-under-gdpr-event-no-deal-brexit_fr

https://donnees-rgpd.fr/donnees-personnelles/rgpd-brexit-consequences/

Laisser un commentaire