Après le passage à tabac de la livre sterling face à l'euro suite à son référendum en faveur de sa scission avec l'Union Européenne (avec une chute historique jusqu'à -12% ce vendredi), le Royaume-Uni est soudainement devenu un pays « low-cost » pour les entreprises qui souhaitent héberger ou traiter des informations personnelles de citoyens européens. Ces dernières devront ainsi composer avec l'incertitude réglementaire qui surgit de cette décision mais qui devrait toutefois être limitée, du moins à court et moyen terme.

Pour les entreprises anglaises espérant un assouplissement des règles en matière de protection des données suite à ce référendum, il faudra quoi qu'il en soit attendre, sans doute un très long moment. C'est en raison du fait qu'un bon nombre de règles - qu'espèrent voir tomber les 51,9% d'anglais ayant voté pour quitter l'Europe - font en réalité bien partie du droit britannique et pourront disparaître seulement grâce aux votes des parlementaires anglais. Or, rien ne pourra se faire tant que la sortie du Royaume-Uni n'est pas effective, mais cela pourrait bien prendre beaucoup de temps. 

L'article 50 du traité de Lisbonne à invoquer

Il faudra déjà que le Gouvernement britannique invoque l'article 50 du traité de Lisbonne et qu'un accord de sortie avec l'Union Européenne soit trouvé, ce qui ne pourra pas se faire avant deux ans minimum dans le meilleur des cas. Cependant, le premier ministre britannique David Cameron ne semble pas pressé d'invoquer l'article 50. Vendredi matin, il a annoncé sa démission pour laisser la place à un nouveau chef du parti conservateur avant la convention annuelle du parti qui doit se tenir en octobre. Une façon plutôt habile pour David Cameron de laisser donc le soin à son successeur d'invoquer - ou non - le fameux article. En tout état de cause, le Royaume-Uni est susceptible donc de faire partie de l'Europe au moins jusqu'en octobre 2018, sous réserve que le successeur de David Cameroun soit très pressé d'invoquer ledit article...

Cela signifie donc que les entreprises comme les citoyens du Royaume-Uni sont toujours soumis aux lois de l'Union Européenne pour quelques années encore. Ces lois existent sous deux formes : directives et réglements. Dans le domaine de la protection des données, les deux méritent attention. La plus importante reste, pour le moment, la directive de 1995 sur la protection des données. L'une de ses principales dispositions est que les informations personnelles des citoyens européens ne peuvent pas être traitées dans les pays offrant un niveau de protection au moins égal à celui conféré par le droit européen. 

La protection des données des citoyens européens déjà remise en cause 

Tant que le régime de protection des données du Royaume-Uni restera, pour le moment, inchangé, les entreprises peuvent donc toujours traiter les données pour les entreprises et citoyens européens, et celles des citoyens britanniques seront toujours protégées de la même façon dans le cas où elles sont exportées, par exemple vers les Etats-Unis. La protection des données des citoyens européens a elle-même été remise en question depuis la décision d'octobre 2015 de la cour de justice européenne de saborder le Safe Harbor en prévision de son remplacement par le Privacy Shield, pas attendu toutefois avant 2018.

L'autre loi de référence pour le Royaume-Uni en matière de protection des données concerne le règlement sur la protection des données générales (GDPR) voté en avril 2016. Ce dernier introduit des amendes sévères pour les entreprises enfreignant les règles, pouvant atteindre jusqu'à 4% de leur chiffre d'affaires global, et visant à harmoniser les règles pour éliminer les différences nationales autorisées avec la directive relative à la protection des données. 

Le suivi de règles européennes en protection des données plus favorable dans certains cas ?

Les règlements commencent leur vie de la même façon que les directives avant ensuite de rentrer en vigueur au niveau national deux ans plus tard. A première vue, les entreprises et les entreprises ne subiront donc les effets de la GDPR qu'entre avril et octobre 2018. Cela, sans tenir compte des exemptions relatives aux affaires intérieures qui pourraient permettre d'appliquer partiellement la GDPR jusqu'en octobre 2018. Mais qu'apporte au juste la GDPR ? L'une de ses innovations est que les règles applicables dépendent de la localisation de la personne concernée, de façon à ce que les entreprises britanniques devront toujours s'y conformer lorsqu'elles traiteront des données de citoyens européens. Ces dernières pourraient même choisir volontairement de suivre tout le temps les règles de protection des données européennes afin de conserver leurs clients anglais. « Cela ne ferait aucun sens que les réglementations anglaises soient moins strictes. De pauvres garanties contre la perte, le vol et l'utilisation abusive de données risqueraient finalement de coûter chères aux entreprises, clients, marques qui mettent leurs données ailleurs », a indiqué Richard Lack, directeur des ventes EMEA de Gigya, fournisseur de services d'identification et de traçabilité pour les sites web. 

Suivre les règles en matière de protection des données européennes serait une bonne chose pour les entreprises britanniques, selon Javvad Malik, avocat spécialisé dans la sécurité pour AlienVault spécialisée dans la gestion des menaces. « De nombreux professionnels de l'information de sécurité semblent considérer la législation d'un point de vue positif, estimant que les stipulations comme la protection des données par essence rendront les données détenues par les organisations plus sécurisées », a-t-il indiqué au sujet de la GDPR. Jusqu'à octobre 2018, et même au-delà, il semble cependant peu probable qu'avec le brexit beaucoup de choses vont changer, dans le domaine de la protection des données du moins.