Brexit sans accord : quelles conséquences pour les données dans le cloud ?

CloudData & StockageRégulations

Dans le cas où le Royaume-Uni sortirait de l’Union Européenne sans accord, le transfert des données serait encadré par les règles relatives aux transferts hors UE du RGPD.

La Première Ministre britannique Theresa May vient de quitter ses fonctions après avoir donné sa démission le 24 mai dernier, au lendemain des élections européennes ; un scrutin venu renforcer la probabilité d’un Brexit sans accord sur les futures relations entre l’Union Européenne et le Royaume-Uni.

Cette situation n’est pas sans susciter de vives inquiétudes chez les acteurs économiques au niveau mondial, dans la plupart des secteurs d’activité, y compris chez les fournisseurs et utilisateurs de solutions cloud. Ils se demandent en effet comment ils accéderont alors aux données stockées dans le cloud de l’Espace Economique Européen (EEE), depuis ou vers le Royaume-Uni.

Inquiétudes liées à l’accès et au transfert de données

Le Brexit sans accord signifie-t-il que le Règlement Général sur la Protection des Donnés ne sera plus appliqué au Royaume-Uni ? Si un fournisseur de solution cloud possède un serveur dans l’Union Européenne, ses utilisateurs y auront-ils encore accès depuis le Royaume-Uni ?
A l’inverse, si un fournisseur de solution cloud possède un serveur au Royaume-Uni, ses utilisateurs y auront-ils encore accès depuis n’importe quel autre pays de l’UE ? Autant de questions que les utilisateurs de services cloud se posent en matière de gestion des données personnelles, face à cette possible sortie de l’Union Européenne sans accord.

De leur côté, les entreprises s’interrogent aussi sur l’impact que pourrait avoir le Brexit sur la gestion des flux de données et comment s’y préparer. Les règles d’entreprise contraignantes (BCR – Binding Corporate Rules), définies à l’article 47 du RGPD, permettant d’assurer un niveau de protection suffisant aux données transférées hors de l’UE, doivent-elles être validées par les organismes de réglementation pour éviter des complications ?

De plus, si une entreprise s’efforce d’adopter les BCR, combien de temps faudra-t-il aux autorités pour les valider et rendre les données dans l’UE accessibles aux utilisateurs du cloud ? Les clauses contractuelles types, également appelées CSC, suffisent-elles pour rendre les informations d’un centre de données britannique accessibles aux utilisateurs cloud dans l’UE ? Les données relatives aux clients britanniques devraient-elles être localisées au Royaume-Uni, et celles relatives aux clients de l’UE dans l’UE ?

Les préoccupations concernant le transfert de données depuis et vers le Royaume-Uni sont légitimes compte tenu du contexte actuel particulièrement tendu, et alors que le Président Américain Donald Trump, en visite d’Etat à Londres récemment, a recommandé au Royaume-Uni de quitter l’UE sans accord.

Que les fournisseurs et utilisateurs de services cloud se rassurent toutefois, ils ont à leur disposition des outils et des règles qui leur permettront de continuer à accéder à leurs données ou de les transférer quelle que soit la tournure de ce Brexit.

Adéquation

Dans le cadre du RGPD, la Commission européenne (CE) a déclaré que certains pays étaient adéquats, c’est-à-dire qu’ils disposaient de normes de protection des données équivalentes à celles du RGPD. Le transfert vers ces pays ne nécessite aucune procédure supplémentaire.
Le gouvernement britannique a annoncé qu’il reconnaîtrait tous les pays et institutions de l’EEE comme offrant un niveau de protection adéquat.

Ce qui signifie que les transferts de données depuis le Royaume-Uni vers l’UE ne poseront pas de problème. A l’inverse, l’UE n’a pas encore pris de décision formelle quant à ce principe de transfert sur la base de l’évaluation d’adéquation, il faut donc envisager un autre processus pour transférer des données depuis l’EEE vers le Royaume-Uni.

Clauses contractuelles types

Les clauses contractuelles types sont l’un des mécanismes approuvés par la Commission européenne pour garantir une protection adéquate des données à caractère personnel, transférées de l’UE vers des pays qui, de l’avis de la CE, n’offrent pas une sécurité suffisante de ces données. Pour un transfert du Royaume-Uni vers l’UE, il n’y a pas besoin d’avoir recours aux clauses contractuelles types puisque l’EEE est reconnu comme étant adéquat.

De son côté, le gouvernement britannique a l’intention de conserver les CSC publiées par la Commission européenne. Cela signifie que les entités qui les utilisent comme base de transfert peuvent continuer à le faire et qu’un Brexit sans accord ne les affectera pas.

Règles d’entreprise contraignantes

Les règles d’entreprise contraignantes sont des politiques de protection des données à caractère personnel auxquelles adhère un groupe d’organisations, afin de fournir des garanties appropriées pour le transfert de données au sein même de ce groupe, y compris en dehors de l’EEE. Ces règles doivent être approuvées par le Comité européen de protection des données (CEPD).

Là encore, le transfert de données depuis le Royaume-Uni vers l’UE ne nécessite pas le recours aux BCR puisque l’EEE est reconnu comme adéquat. En ce qui concerne un transfert de l’UE vers le Royaume-Uni, les règles d’entreprises contraignantes existantes reconnues par l’autorité britannique de la protection des données personnelles (Information Commissioner’s Office) seront toujours applicables.

Dans le cas où le Royaume-Uni sortirait de l’Union Européenne sans accord, le transfert des données serait encadré par les règles relatives aux transferts hors UE du RGPD. Il est donc important que l’ensemble des fournisseurs de services cloud et leurs utilisateurs soient informés des règles applicables et des outils qui existent pour sécuriser leurs données et y accéder, peu importe où elles se trouvent

Auteur
En savoir plus 
Head of European Operations 
Zoho Europe
Sridhar Iyengar est Head of European Operations de Zoho
En savoir plus 

Livres blancs A la Une