Tribune rédigée par Alexis Chauveau Maulini (avocat certifié CIPP/E | DS AVOCATS) & Maëva Labarthe (Stagiaire Juriste)

Brexit et RGPD : Google souhaite transférer des données des britanniques vers les Etats-Unis

Le 19 février 2020 l’agence de presse américaine Reuters a annoncé que Google envisageait de déplacer le lieu d’hébergement des données de ses utilisateurs britanniques, depuis l’Irlande où elles se trouvent actuellement vers les Etats-Unis.

Cette décision de l’entreprise américaine serait motivée par la crainte de se trouver à terme, du fait du Brexit, prise en étau entre deux réglementations distinctes, d’un côté le RGPD et de l’autre la future réglementation britannique en matière de protection des données à caractère personnel.

En effet, alors même que l’autorité de contrôle du Royaume-Uni, « Information commisioner’s Office » (ICO) serait favorable à l’adoption du RGPD, le Premier Ministre britannique a fait savoir qu’il souhaitait au contraire édicter une règlementation en matière de protection des données parfaitement autonome.

S’il est certain que cette concurrence des règlementations applicables en Europe est un facteur de complication, tant sur le plan juridique (conflits de juridictions, conflits de lois), que sur un plan technique, pour autant la décision de rapatrier les serveurs dédiés aux utilisateurs britanniques aux Etats-Unis (plutôt que de les installer au Royaume-Uni) pose question.

 

Le Brexit : Une porte ouverte aux GAFAM ?

Cette décision du géant du web américain n’est pas de nature à rassurer ses utilisateurs britanniques, au moins pour ceux d’entre eux qui ont en mémoire les révélations d’Edward Snowden au sujet de la surveillance de masse des données personnelles aux Etats-Unis.

Il est vrai que Google fait partie des entreprises américaines ayant adhéré au Privacy Shield, dispositif qui comporte des dispositions garantissant un niveau de protection adéquat et suffisant, selon la Commission européenne, pour les données personnelles émanant des pays membres de l’Union européenne vers les entreprises américaines qui sont dotées de cette certification.

Cependant, les garanties du Privacy Shield sont réservées aux seuls transferts de données personnelles qui relèvent du champ d’application du RGPD … qui ne s’appliquera plus au Royaume-Uni.

Recevez nos dernières actualités RGPD par email

Newsletter RGPD

Quels risques pour les données britanniques ?

Ainsi, si les choses devaient rester en l’état les transferts de données personnelles des utilisateurs de Google UK vers les Etats-Unis ne seraient plus protégés par le RGPD (du fait du Brexit), mais uniquement par la réglementation britannique antérieure à ce texte (donc sans les garanties du Privacy Shield).

Or la protection des données personnelles aux Etats-Unis varie selon les Etats et reste, dans tous les cas, très inférieure aux standards européens.

Sur ce point il suffit de mentionner le California Consumer Privacy Act entré en vigueur le 1er janvier 2020, qui réalise certaines avancées en matière de contrôle des personnes sur leurs données personnelles mais n’est pas aussi contraignant que le RGPD.

Surtout, l’environnement culturel américain est très différent et admet des pratiques (commercialisation généralisée et assumée des données personnelles), voire certaines dérives (révélations d’Edward Snowden, Clearview, etc.), qui sont susceptibles d’inquiéter tout européen moyennement sensibilisé à la protection de sa vie privée et de ses données.

 

Un niveau de protection négocié

On peut imaginer que le Royaume-Uni ne tardera pas à entrer en négociation avec les Etats-Unis, afin d’obtenir des garanties équivalentes au RGPD pour encadrer ses transferts de données, comprenant évidemment les données des utilisateurs de Google.

Plus généralement, il y a fort à parier les négociations aboutiront à des accords offrant le même niveau de protection que le Royaume-Unis connaissait jusqu’alors.

Source : https://www.reuters.com/article/us-google-privacy-eu-exclusive/exclusive-google-users-in-uk-to-lose-eu-data-protection-sources-idUSKBN20D2M3