Fraîchement sorti de l’UE, le Royaume-Uni continuera-t-il à appliquer les dispositions du RGPD ?

Sur place, les voix divergent.

Tandis que l’ICO (Information Commisioner’s Office, homologue de notre CNIL) prône une continuité, le Premier ministre Boris Johnson penche en faveur d’une prise de distance.

Dans ce contexte d’incertitude, Google va changer les règles du jeu pour les Britanniques utilisateurs de ses services.

Depuis l’an dernier, leurs comptes et les données associées sont sous la gestion de Google Irlande.

À compter du 31 mars 2020*, elles passeront sous la responsabilité de Google LLC, la maison mère basée aux États-Unis.

Le groupe américain affirme que rien ne changera dans ses services. Ni dans son approche de la vie privée (collecte et traitement de données, réponse aux requêtes des forces de l’ordre).

En outre, assure-t-il, les protections que garantit le RGPD continueront à s’appliquer aux utilisateurs britanniques.

L’ICO a effectivement décidé d’une « période de transition » qui s’étendra jusqu’à fin 2020.

Ce qu’il se passera par après est moins évident. Le Data Protection Act de 2018 constituera alors le texte de référence. Les dispositions du RGPD y ont été transposées, mais rien ne dit qu’elles y seront maintenues.

Une chose semble plus sûre : la relocalisation des données aux États-Unis devrait faciliter le travail des autorités britanniques. Le levier : un accord bilatéral – en cours de négociation – négocié avec l’administration Trump sous l’égide du CLOUD Act.

Une porte ouverte à la surveillance de masse ? Open Rights Group, l’organisation de défense des libertés à l’ère numérique, exprime ses craintes dans ce sens. Elle dénonce des « possibilités d’abus considérables ».

* La mesure s’inscrit dans le cadre d’une mise à jour des conditions d’utilisation des services Google. Substantielle, elle fait suite à plusieurs décisions de justice (dont une en France) dénonçant des clauses abusives.

