Commission Implementing Regulation (EU) 2021/1772 of 28 June 2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom (notified under document C(2021)4800) (Text with EEA relevance)
| Published date | 11 October 2021 |
| Subject Matter | Data protection |
| Official Gazette Publication | Official Journal of the European Union, L 360, 11 October 2021 |
| 11.10.2021 | FR | Journal officiel de l’Union européenne | L 360/1 |
RÈGLEMENT D’EXÉCUTION (UE) 2021/1772 DE LA COMMISSION
du 28 juin 2021
constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Royaume-Uni
[notifiée sous le numéro C(2021) 4800]
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (RGPD) (1), et notamment son article 45, paragraphe 3,
considérant ce qui suit:
1. INTRODUCTION
| (1) | Le règlement (UE) 2016/679 fixe les règles applicables au transfert de données à caractère personnel, par des responsables du traitement ou des sous-traitants au sein de l’Union européenne, vers des pays tiers et à des organisations internationales, dans la mesure où ces transferts relèvent de son champ d’application. Les règles relatives aux transferts internationaux de données sont définies au chapitre V dudit règlement, soit aux articles 44 à 50. Bien que les flux de données à caractère personnel en provenance et à destination de pays non-membres de l’Union européenne soient nécessaires au développement de la coopération internationale et des échanges commerciaux transfrontières, le niveau de protection assuré aux données à caractère personnel au sein de l’Union européenne ne doit pas être compromis par des transferts vers des pays tiers (2). |
| (2) | En vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, la Commission peut décider, par voie d’actes d’exécution, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat. Dans cette circonstance, les transferts de données à caractère personnel vers un pays tiers peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation, comme prévu à l’article 45, paragraphe 1, et au considérant 103 dudit règlement. |
| (3) | Comme précisé à l’article 45, paragraphe 2, du règlement (UE) 2016/679, l’adoption d’une décision d’adéquation doit reposer sur une analyse approfondie de l’ordre juridique du pays tiers, en ce qui concerne tant les règles applicables aux importateurs de données que les limitations et les garanties en matière d’accès des autorités publiques aux données à caractère personnel. Dans son évaluation, la Commission doit déterminer si le pays tiers en question assure un niveau de protection «essentiellement équivalent» à celui qui est garanti dans l’Union européenne [considérant 104 du règlement (UE) 2016/679]. La norme au regard de laquelle l’«équivalence essentielle» est évaluée est celle fixée par la législation de l’Union européenne, notamment le règlement (UE) 2016/679, ainsi que la jurisprudence de la Cour de justice de l’Union européenne (CJUE) (3). Les critères de référence pour l’adéquation du comité européen de la protection des données sont également importants à cet égard (4). |
| (4) | Comme l’a précisé la Cour de justice de l’Union européenne, il n’est pas nécessaire de constater un niveau de protection identique (5). En particulier, les moyens auxquels ce pays tiers a recours aux fins de la protection des données à caractère personnel peuvent être différents de ceux mis en œuvre au sein de l’Union, pour autant qu’ils s’avèrent, en pratique, effectifs afin d’assurer un niveau de protection adéquat (6). Le principe d’adéquation n’exige donc pas que l’on reproduise à l’identique les règles de l’Union. Il s’agit plutôt de déterminer si le système étranger offre, dans son ensemble, par l’essence de ses droits en matière de protection des données et leur mise en œuvre effective, leur opposabilité et le contrôle de leur application, le niveau requis de protection (7). |
| (5) | La Commission a soigneusement analysé la législation et les pratiques du Royaume-Uni. Sur la base des constatations exposées aux considérants 8 à 270, la Commission conclut que le Royaume-Uni assure un niveau de protection adéquat des données à caractère personnel transférées dans le cadre du champ d’application du règlement (UE) 2016/679 de l’Union européenne vers le Royaume-Uni. |
| (6) | Cette conclusion ne concerne pas les données à caractère personnel transférées à des fins de contrôle de l’immigration au Royaume-Uni ou qui relèvent par ailleurs du champ d’application de l’exemption de certains droits des personnes concernées aux fins du maintien d’un contrôle efficace de l’immigration (ci-après l’«exemption en matière d’immigration») conformément au paragraphe 4, point 1, de l’annexe 2 de la loi britannique sur la protection des données. La validité et l’interprétation de l’exemption en matière d’immigration en droit britannique ne sont pas tranchées à la suite d’une décision de la Cour d’appel d’Angleterre et du pays de Galles du 26 mai 2021. Tout en reconnaissant que les droits des personnes concernées peuvent, en principe, être limités aux fins du contrôle de l’immigration en tant qu’«aspect important de l’intérêt public», la Cour d’appel a jugé que l’exemption en matière d’immigration est, dans sa forme actuelle, incompatible avec le droit britannique, étant donné que la mesure législative ne contient pas de dispositions spécifiques énonçant les garanties énumérées à l’article 23, paragraphe 2, du règlement général sur la protection des données du Royaume-Uni (RGPD britannique) (8). Dans ces conditions, les transferts de données à caractère personnel de l’Union vers le Royaume-Uni auxquels l’exemption en matière d’immigration peut s’appliquer devraient être exclus du champ d’application de la présente décision (9). Une fois qu’il aura été remédié à l’incompatibilité avec le droit britannique, l’exemption en matière d’immigration devrait être réexaminée, de même que la nécessité de maintenir la limitation du champ d’application de la présente décision. |
| (7) | La présente décision ne devrait avoir aucune incidence sur l’application directe du règlement (UE) 2016/679 aux organisations établies au Royaume-Uni lorsque les conditions relatives au champ d’application territorial dudit règlement, défini à son article 3, sont remplies. |
2. RÈGLES APPLICABLES AU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
2.1. Le cadre constitutionnel
| (8) | Le Royaume-Uni est une démocratie parlementaire dont le chef d’État est un souverain constitutionnel. Le Royaume-Uni possède un Parlement souverain, qui exerce une autorité suprême sur l’ensemble des autres institutions gouvernementales, un pouvoir exécutif issu et sous l’autorité du Parlement, ainsi qu’un pouvoir judiciaire indépendant. Le pouvoir exécutif tire son autorité de sa capacité à obtenir la confiance de la Chambre des communes élue. Il rend compte aux deux chambres du Parlement qui sont chargées de contrôler l’action du gouvernement, ainsi que d’examiner et de voter les lois. |
| (9) | Le Parlement britannique a transféré des responsabilités au Parlement écossais, au Parlement gallois (Senedd Cymru) et à l’Assemblée d’Irlande du Nord afin que ceux-ci puissent légiférer en Écosse, au Pays de Galles et en Irlande du Nord sur des points concernant les affaires intérieures qu’il ne s’est pas réservés. Bien que la protection des données soit un point réservé, c’est-à-dire que la même législation s’applique dans tout le pays, d’autres domaines politiques en rapport avec la présente décision sont décentralisés. Par exemple, les systèmes de justice pénale, y compris les fonctions de police, de l’Écosse et de l’Irlande du Nord sont délégués respectivement au Parlement écossais et à l’Assemblée d’Irlande du Nord. Le Royaume-Uni ne possède pas de constitution codifiée à proprement parler. Les principes constitutionnels, apparus au fil du temps, sont tirés de la jurisprudence et des conventions en particulier. La valeur constitutionnelle de certaines lois, telles que la Magna Carta (Grande Charte), la Déclaration des droits de 1689 et la loi de 1998 sur les droits de l’homme, a été reconnue par les tribunaux. Les droits fondamentaux des personnes ont été établis, en tant que partie intégrante de la constitution, par la common law, lesdites lois et les traités internationaux, notamment la convention européenne des droits de l’homme (CEDH) que le Royaume-Uni a ratifiée en 1951. Le Royaume-Uni a également ratifié la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (convention 108) en 1987 (10). |
| (10) | La loi de 1998 sur les droits de l’homme intègre dans le droit britannique les droits contenus dans la convention européenne des droits de l’homme. La loi sur les droits de l’homme confère à toute personne les libertés et droits fondamentaux prévus aux articles 2 à 12 et 14 de la convention européenne des droits de l’homme, aux articles 1er, 2 et 3 de son premier protocole et à l’article 1er de son treizième protocole, lus en combinaison avec les articles 16, 17 et 18 de ladite convention. Ces droits comprennent le droit au respect de la vie privée et familiale (ainsi que le droit à la protection des données qui fait partie dudit droit) et le droit à un procès équitable (11). En particulier, conformément à l’article 8 de ladite convention, il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence soit prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la |
To continue reading
Request your trial