Le Brexit a profondément reconfiguré les relations juridiques entre le Royaume-Uni et l’Union européenne, et la protection des données personnelles n’a pas échappé à cette transformation. Depuis la fin de la période de transition, les entreprises des deux côtés de la Manche se retrouvent face à un cadre réglementaire inédit, porteur d’obligations nouvelles et de risques juridiques considérables. Le Règlement Général sur la Protection des Données, pilier de la souveraineté numérique européenne, se trouve aujourd’hui au cÅ“ur d’une équation complexe où la conformité n’est plus garantie par défaut.
Impact du Brexit sur le cadre réglementaire européen
La fin d’un espace juridique unifié
Avant le Brexit, le Royaume-Uni était pleinement intégré au cadre réglementaire européen en matière de protection des données. Le RGPD s’appliquait de manière uniforme à l’ensemble des États membres, garantissant une cohérence juridique sur tout le territoire de l’Union. La sortie britannique a rompu cette unité, créant une frontière réglementaire là où il n’en existait pas.
La disparition du mécanisme du guichet unique
L’une des conséquences les plus immédiates et les plus concrètes concerne la fin du mécanisme du guichet unique. Ce dispositif permettait aux entreprises opérant dans plusieurs États membres de n’interagir qu’avec une seule autorité de contrôle, simplifiant considérablement la gestion de la conformité transfrontalière. Depuis la sortie effective du Royaume-Uni, les responsables de traitement et sous-traitants établis outre-Manche doivent désormais :
- Désigner un représentant officiel au sein de l’Union européenne, conformément à l’article 27 du RGPD.
- Interagir directement avec les autorités de contrôle nationales des États membres concernés.
- Gérer des procédures potentiellement multiples selon les pays où leurs activités ont un impact.
Un nouveau statut de pays tiers
Le Royaume-Uni est désormais considéré comme un pays tiers au regard du droit européen. Ce changement de statut n’est pas anodin : il implique que tout transfert de données personnelles vers le territoire britannique est soumis aux mêmes exigences que celles applicables aux transferts vers des pays comme les États-Unis ou le Japon, à moins qu’une décision d’adéquation ne soit en vigueur. Cette requalification juridique a des répercussions directes sur des milliers d’organisations qui traitaient jusqu’alors les flux de données vers le Royaume-Uni comme des flux internes à l’espace européen.
Cette rupture du cadre réglementaire commun soulève naturellement la question de ce qu’il advient du RGPD lui-même sur le sol britannique.
Le RGPD reste-t-il applicable au Royaume-Uni ?
L’adoption du UK GDPR : une continuité de façade
Pour éviter un vide juridique immédiat, le Royaume-Uni a intégré le RGPD dans son droit national via le European Union (Withdrawal) Act. Ce texte a donné naissance au UK GDPR, une version domestique du règlement européen qui reprend l’essentiel de ses dispositions. Sur le plan structurel, les deux textes partagent les mêmes grands principes :
- Licéité, loyauté et transparence du traitement.
- Limitation des finalités et minimisation des données.
- Droits des personnes concernées (accès, rectification, effacement).
- Obligations des responsables de traitement et des sous-traitants.
- Notification des violations de données.
Une autonomie réglementaire croissante
Si le point de départ est identique, le Royaume-Uni s’est réservé le droit de faire évoluer son cadre de manière autonome. Le gouvernement britannique a exprimé sa volonté de libéraliser certaines contraintes jugées trop lourdes pour les entreprises, notamment en matière de cookies, de légitimité des intérêts et de gouvernance des données. Cette trajectoire divergente inquiète les autorités européennes, qui surveillent de près les évolutions législatives britanniques.
Le rôle de l’ICO
L’autorité de contrôle britannique, l’Information Commissioner’s Office (ICO), continue d’exercer ses missions de régulation sur le territoire du Royaume-Uni. Elle dispose des mêmes pouvoirs de sanction que ses homologues européennes, avec des amendes pouvant atteindre des montants comparables à ceux prévus par le RGPD. Cependant, l’ICO n’est plus membre du Comité européen de la protection des données (CEPD), ce qui l’exclut des mécanismes de coopération et de cohérence propres à l’espace européen.
La question de l’applicabilité du règlement étant posée, c’est celle des flux de données entre les deux territoires qui concentre aujourd’hui l’essentiel des enjeux opérationnels.
Les transferts de données entre l’UE et le Royaume-Uni
La décision d’adéquation : un filet de sécurité provisoire
En juin 2021, la Commission européenne a adopté une décision d’adéquation en faveur du Royaume-Uni, reconnaissant que ce dernier offre un niveau de protection des données essentiellement équivalent à celui garanti par le RGPD. Cette décision a permis de maintenir des flux de données fluides entre l’UE et le Royaume-Uni sans qu’il soit nécessaire de mettre en place des garanties supplémentaires. Toutefois, cette décision n’est pas permanente : elle est assortie d’une clause de révision automatique et peut être remise en cause si le Royaume-Uni s’éloigne trop des standards européens.
Les garanties alternatives en cas d’absence d’adéquation
Si la décision d’adéquation venait à être suspendue ou retirée, les entreprises devraient recourir à d’autres mécanismes de transfert, parmi lesquels :
- Les clauses contractuelles types (CCT) adoptées par la Commission européenne.
- Les règles d’entreprise contraignantes (BCR) pour les groupes multinationaux.
- Les codes de conduite approuvés et les mécanismes de certification.
- Les dérogations spécifiques prévues à l’article 49 du RGPD, applicables dans des cas limités.
Les risques financiers en cas de non-conformité
Les entreprises qui procèdent à des transferts de données vers le Royaume-Uni sans base légale adéquate s’exposent à des sanctions sévères. Le tableau ci-dessous récapitule les niveaux de sanctions prévus par le RGPD :
| Type d’infraction | Montant maximum de l’amende |
|---|---|
| Infraction aux principes de base du traitement | 20 millions d’euros ou 4 % du CA mondial |
| Transfert illicite vers un pays tiers | 20 millions d’euros ou 4 % du CA mondial |
| Non-respect des obligations du responsable de traitement | 10 millions d’euros ou 2 % du CA mondial |
Ces mécanismes de transfert et leurs fragilités potentielles s’inscrivent dans un contexte plus large, celui des scénarios d’évolution de la relation entre l’UE et le Royaume-Uni.
Scénarios potentiels après la période de transition
Le maintien de la décision d’adéquation
Le scénario le plus favorable pour les entreprises reste le maintien de la décision d’adéquation. Il suppose que le Royaume-Uni préserve un niveau de protection des données jugé suffisant par la Commission européenne, sans introduire de réformes qui affaibliraient les droits fondamentaux des individus. Ce scénario garantit une continuité opérationnelle et évite aux organisations de déployer des mécanismes juridiques complexes pour chaque transfert de données.
La remise en cause de l’adéquation
Un scénario plus préoccupant serait celui d’une révision ou d’un retrait de la décision d’adéquation, notamment si le Royaume-Uni adoptait des lois sur la surveillance ou le traitement des données jugées incompatibles avec la Charte des droits fondamentaux de l’Union européenne. Ce risque n’est pas théorique : le CEPD a déjà exprimé des réserves sur certaines pratiques britanniques en matière de renseignement et d’accès gouvernemental aux données personnelles.
Une divergence réglementaire progressive
Le troisième scénario, peut-être le plus probable à moyen terme, est celui d’une divergence croissante entre les deux cadres réglementaires. Le Royaume-Uni cherche à se positionner comme un hub numérique attractif en assouplissant certaines contraintes. Cette évolution pourrait créer une asymétrie réglementaire rendant la conformité simultanée aux deux régimes de plus en plus coûteuse pour les entreprises opérant des deux côtés de la Manche.
Pour mieux saisir les enjeux de cette divergence potentielle, il est utile de comparer directement les deux textes dans leur état actuel.
Comparaison entre RGPD européen et britannique
Des fondations communes mais des évolutions distinctes
À leur point de départ, le RGPD européen et le UK GDPR sont quasi-identiques. Ils partagent la même architecture juridique, les mêmes définitions fondamentales et les mêmes obligations générales. Cependant, les divergences s’accumulent progressivement au fil des réformes engagées par le gouvernement britannique.
| Critère | RGPD européen | UK GDPR |
|---|---|---|
| Champ d’application territorial | 27 États membres de l’UE | Royaume-Uni uniquement |
| Autorité de contrôle | CEPD + autorités nationales | ICO |
| Mécanisme de coopération | Guichet unique européen | Absent (pays tiers) |
| Évolution législative | Décisions de la Commission + CEPD | Parlement britannique |
| Niveau de protection | Reconnu adéquat mutuellement | Reconnu adéquat par l’UE (provisoirement) |
Les points de friction identifiés
Plusieurs domaines concentrent les risques de divergence entre les deux textes :
- Le régime des cookies et du consentement en ligne, que le Royaume-Uni envisage d’assouplir.
- Les exemptions liées à la sécurité nationale, plus étendues dans le droit britannique.
- Le traitement des données à des fins de recherche et d’innovation, pour lequel Londres souhaite introduire plus de flexibilité.
- La gouvernance des flux de données internationaux, avec une politique d’adéquation britannique potentiellement plus libérale que celle de l’UE.
Ces différences réglementaires ne sont pas sans conséquences directes pour les organisations qui doivent naviguer entre les deux systèmes au quotidien.
Conséquences pour les entreprises européennes
Une cartographie des risques à actualiser
Les entreprises européennes qui traitent des données de résidents britanniques ou qui transfèrent des données vers le Royaume-Uni doivent impérativement mettre à jour leur cartographie des traitements. Il s’agit d’identifier précisément les flux de données concernés, leur nature, leur volume et leur base juridique. Cette démarche est le préalable indispensable à toute stratégie de mise en conformité.
Les obligations pratiques à mettre en œuvre
Au-delà de la cartographie, plusieurs actions concrètes s’imposent aux organisations :
- Vérifier que les contrats avec les sous-traitants britanniques intègrent les clauses contractuelles types appropriées.
- Mettre à jour les politiques de confidentialité pour informer les utilisateurs des transferts vers le Royaume-Uni.
- Désigner, si nécessaire, un représentant au Royaume-Uni pour les entreprises européennes traitant des données de résidents britanniques.
- Former les équipes juridiques et techniques aux spécificités du UK GDPR.
- Surveiller en continu les évolutions législatives britanniques susceptibles d’affecter la décision d’adéquation.
Un coût de conformité en hausse
La dualité réglementaire engendrée par le Brexit se traduit par une augmentation significative des coûts de conformité pour les entreprises opérant des deux côtés de la Manche. Là où une seule politique de protection des données suffisait, il faut désormais gérer deux cadres distincts, deux autorités de contrôle et deux ensembles d’obligations potentiellement divergents. Pour les petites et moyennes entreprises, cette complexité supplémentaire représente une charge disproportionnée par rapport à leurs ressources juridiques et techniques disponibles.
Le Brexit a donc transformé la protection des données personnelles en un exercice d’équilibriste permanent pour les entreprises européennes, contraintes de maintenir une double conformité dans un environnement réglementaire en constante évolution.
La sortie du Royaume-Uni de l’Union européenne a fragmenté un espace de protection des données autrefois unifié, imposant aux entreprises une adaptation rapide et coûteuse. Le mécanisme du guichet unique a disparu, le Royaume-Uni est devenu un pays tiers soumis à une décision d’adéquation fragile, et les deux cadres réglementaires divergent progressivement. Les organisations doivent désormais gérer simultanément le RGPD européen et le UK GDPR, actualiser leurs contrats, former leurs équipes et surveiller les évolutions législatives britanniques. La décision d’adéquation constitue aujourd’hui le principal rempart contre une rupture des flux de données, mais sa pérennité n’est pas garantie face aux ambitions de réforme affichées par Londres.
