Le 19 février 2021, la Commission européenne a donné son feu vert, par un projet de décision d’adéquation, à la circulation des données personnelles des européens vers le Royaume-Uni, tout en indiquant qu’elle « surveillerait les progrès et annulerait la décision si le Royaume-Uni s'écartait des règles de protection des données de l'UE dans une mesure problématique ». Elle a ensuite transmis la proposition au Conseil européen de la protection des données (CEPD), chargé de donner son avis sur la conformité du texte.
Rapidement, cette décision d'adéquation a fait l’objet de nombreuses critiques, notamment de la part d’ONG ou d’universitaires. Ils ont estimé que ce texte pourrait faire du Royaume-Uni un « paradis de la protection des données et de l'évasion », agissant comme un entonnoir pour l'envoi des données européennes vers les pays ayant des normes moins strictes. Les députés européens se sont également emparés du sujet. Contrairement aux États membres qui doivent valider la décision, les membres du Parlement européen disposent uniquement d'un droit de veto sur la décision. Ils peuvent l'activer s’ils considèrent que l’exécutif européen outrepasse les limites de ses compétences d’exécution.
Justement, le 21 mai dernier, les eurodéputés ont adopté de justesse (344 voix pour, 311 voix contre, 28 abstentions) une résolution invitant la Commission européenne à modifier son projet de décision d’adéquation. Bien qu’ils reconnaissent que les lois britanniques sur la protection des données soient similaires à celles de l’UE, leurs inquiétudes portent plutôt sur l’application et les exemptions de cette législation. La résolution met ainsi l’accent sur plusieurs éléments :
- Les députés appellent la Commission a fournir plus de garanties pour assurer que les modalités de transferts de données au Royaume-Uni soient alignées avec les récents arrêts de la Cour de justice de l’Union européenne (CJUE) et répondent aux préoccupations soulevées par le Comité européen de protection des données (CEPD) ;
- Ils souhaitent que les autorités nationales aient la possibilité de suspendre les transferts de données vers le Royaume-Uni dans le cas où la Commission déciderait d'adopter cette décision d'adéquation en l'état ;
- Ils rappellent que la loi britannique actuelle permet d'accéder à des données en masse et de les conserver, même lorsque ces données concernent une personne qui n'est pas soupçonnée d'avoir commis un crime ; ce qui a pourtant été jugé a estimé incompatible avec le règlement général sur la protection des données (RGPD) par le Tribunal de l'UE ;
- Enfin, les inquiétudes portent sur le possible transfert de données vers des pays tiers, notamment vers les États-Unis, alors même que la CJUE a estimé que la législation américaine était incompatible avec le RGPD.
Ainsi, les parlementaires ont insisté pour qu'aucune décision d'adéquation ne soit accordée pour l'instant. La Commission européenne devrait se prononcer sur le sujet dans les prochains mois.