Tribune rédigée par Alexis Chauveau Maulini (avocat certifié CIPP/E | DS AVOCATS) & Maëva Labarthe (Stagiaire Juriste)
Brexit et RGPD : Google souhaite transférer ses données vers les Etats-Unis
Le 19 février 2020 l’agence de presse américaine Reuters a annoncé que Google envisageait de déplacer le lieu d’hébergement des données collectées et traitées de ses utilisateurs britanniques, depuis l’Irlande où elles se trouvent actuellement vers les Etats-Unis.
Cette décision de l’entreprise américaine serait motivée par la crainte de se trouver à terme, du fait du Brexit, prise en étau entre deux réglementations distinctes, d’un côté le Règlement Général sur la Protection des Données (RGPD) et de l’autre la future réglementation britannique en matière de protection des données à caractère personnel.
En effet, alors même que l’autorité de contrôle du Royaume-Uni, « Information commisioner’s Office » (ICO – équivalent de la CNIL pour la France) serait favorable à l’adoption du RGPD, le Premier Ministre britannique a fait savoir qu’il souhaitait au contraire édicter une réglementation en matière de protection des données parfaitement autonome.
S’il est certain que cette concurrence des réglementations applicables en Europe est un facteur de complication, tant sur le plan juridique (conflits de juridictions, conflits de lois), que sur un plan technique, pour autant la décision de rapatrier les serveurs dédiés aux utilisateurs britanniques aux Etats-Unis (plutôt que de les installer au Royaume-Uni) pose question quand au respect des droits des personnes physiques.
Le Brexit : Une porte ouverte aux GAFAM ?
Cette décision du géant du web américain n’est pas de nature à rassurer ses utilisateurs britanniques, au moins pour ceux d’entre eux qui ont en mémoire les révélations d’Edward Snowden au sujet de la surveillance de masse des données personnelles aux Etats-Unis (potentiellement des données sensibles).
Il est vrai que Google fait partie des entreprises américaines ayant adhéré au Privacy Shield, dispositif qui comporte des dispositions garantissant un niveau de protection adéquat et suffisant, selon la Commission européenne, pour les données personnelles émanant des pays membres de l’Union européenne vers les entreprises américaines qui sont dotées de cette certification.
Cependant, les garanties du Privacy Shield sont réservées aux seuls transferts de données personnelles qui relèvent du champ d’application du RGPD … qui ne s’appliquera plus au Royaume-Uni (à noter, de plus, qu’un tel type de traitement de données à caractère personnel est particulièrement à risque).
Recevez nos dernières actualités RGPD par email
Quels risques pour les données britanniques ?
Ainsi, si les choses devaient rester en l’état, les transferts de données personnelles des utilisateurs de Google UK vers les Etats-Unis ne seraient plus protégés par le RGPD (du fait du Brexit), mais uniquement par la réglementation britannique antérieure à ce texte (donc sans les garanties du Privacy Shield).
Or la protection des données personnelles aux Etats-Unis varie selon les Etats et reste, dans tous les cas, très inférieure aux standards européens.
Sur ce point il suffit de mentionner le California Consumer Privacy Act entré en vigueur le 1er janvier 2020, qui réalise certaines avancées en matière de contrôle des personnes physiques sur leurs données personnelles mais n’est pas aussi contraignant que le RGPD.
Surtout, l’environnement culturel américain est très différent et admet des pratiques (commercialisation généralisée et assumée des données personnelles), voire certaines dérives (révélations d’Edward Snowden, Clearview, etc.), qui sont susceptibles d’inquiéter tout européen moyennement sensibilisé à la protection de sa vie privée et de ses données.
Ces problématiques posent de vraies interrogations quant aux principes essentiels admis en Europe concernant la protection des données à caractère personnel (consentement, finalités, droits des personnes concernées …).
Un niveau de protection négocié
On peut imaginer que le Royaume-Uni ne tardera pas à entrer en négociation avec les Etats-Unis, afin d’obtenir des garanties équivalentes au RGPD pour encadrer un tel traitement des données personnelles risqué (transfert).
Plus généralement, il y a fort à parier les négociations aboutiront à des accords offrant le même niveau de protection que le Royaume-Unis connaissait jusqu’alors.
Source : https://www.reuters.com/article/us-google-privacy-eu-exclusive/exclusive-google-users-in-uk-to-lose-eu-data-protection-sources-idUSKBN20D2M3