Le Royaume-Uni présente son projet de loi sur la réforme des données personnelles

L’UE a estimé en 2019 que le régime de protection des données du Royaume-Uni était suffisamment solide pour permettre la poursuite des transferts de données entre le Royaume-Uni et l’UE, mais a inclus des mesures permettant de revenir sur cette décision si nécessaire. [Shutterstock / alice-photo]

Le Royaume-Uni a publié les détails de son projet de loi sur la réforme des données personnelles, qui devrait apporter des modifications au cadre de protection de la vie privée contenu dans la version britannique post-Brexit du RGPD.

Les propositions, publiées vendredi (17 juin) en réponse à une consultation, prévoient de restructurer l’autorité britannique de protection des données, l’Information Commissioner’s Office (ICO), d’introduire un modèle d’option de retrait (opt-out) pour le consentement aux cookies et de permettre à Londres d’établir plus facilement de nouveaux partenariats de données avec d’autres pays.

Le projet de loi sur la réforme des données a été initialement annoncé au début de l’année lors du discours de la reine, la présentation annuelle du programme législatif de l’année, et vise à modifier le dispositif de protection des données et de la vie privée établi lors de la mise en œuvre du RGPD par le Royaume-Uni en 2018.

L’UE a estimé en 2019 que le régime de protection des données du Royaume-Uni était suffisamment solide pour permettre la poursuite des transferts de données entre le Royaume-Uni et l’UE, mais a inclus des mesures permettant de revenir sur cette décision si nécessaire, notamment une « clause de caducité » qui nécessitera une réévaluation et un renouvellement de la décision en 2024.

Protection des données : le Royaume-Uni s'apprête à réformer sa législation et s'écarte de la réglementation de l'UE

L’agenda législatif du Royaume-Uni pour l’année à venir comprend un projet de réforme des données qui pourrait remettre en question l’avenir de la décision de l’UE sur l’adéquation des données.

L’impact à terme des réformes, même si elles divergent de manière significative des normes de l’UE, reste toutefois à voir, ont noté certains observateurs.

« Si beaucoup de ces réformes semblent importantes, elles pourraient avoir un impact limité dans la pratique », a déclaré à EURACTIV Robert Bateman, responsable du contenu chez GRC World Forums. « De nombreuses organisations qui opèrent à la fois au Royaume-Uni et dans l’UE ne devraient probablement pas changer grand-chose, car elles devront toujours se conformer aux règles plus strictes de l’UE. »

L’Information Commissioner’s Office

Un élément clé du plan est une proposition visant à « moderniser » l’ICO, qui supervise la protection des données au Royaume-Uni. En vertu de ce projet, le commissaire à l’information, qui est le plus haut responsable de l’organisme, serait remplacé par un président, un directeur général et un conseil d’administration, et l’ICO se verrait assigner de « nouveaux objectifs ».

Selon le gouvernement, ceux-ci permettront un meilleur contrôle parlementaire et public et mettront davantage l’accent sur la croissance, l’innovation et la concurrence. Il réformera également la manière dont l’ICO élabore les codes et les orientations statutaires, notamment en intégrant un groupe d’experts et en exigeant l’approbation d’un secrétaire d’État avant de pouvoir présenter un tel travail au Parlement.

Les propositions du gouvernement ont été accueillies vendredi par l’actuel commissaire à l’information du Royaume-Uni, John Edwards.

Administration de la protection des données

Un autre objectif clé des réformes est de permettre aux entreprises de disposer d’une plus grande souplesse dans la manière de satisfaire aux normes de protection des données, afin de réduire ce que le gouvernement considère comme des charges administratives disproportionnées.

Selon M. Bateman, les réformes prévues dans ces domaines font partie des propositions les plus importantes et pourraient rendre volontaires de nombreuses mesures qui sont actuellement obligatoires.

La proposition suggère, par exemple, que les petites entreprises ne seront plus tenues de faire appel à un délégué à la protection des données (DPD) pour réaliser une analyse d’impact sur la protection des données (AIPD) de leur approche de gestion des risques si elles peuvent prouver de manière indépendante qu’elle est adéquate.

« Une organisation ne peut pas prendre de mesures disciplinaires à l’encontre de son DPD pour la simple exécution de ses tâches », a déclaré M. Bateman. « Cela signifie qu’un DPD peut, en théorie, défendre les droits des personnes concernées, même si cela va à l’encontre des intérêts de l’organisation. »

Bojana Bellamy, présidente du Centre for Information Policy Leadership, a toutefois salué une approche de la gestion de la vie privée davantage axée sur les risques et les résultats, au motif qu’elle permettrait d’offrir des protections améliorées et plus proportionnées.

« Cela ne représente pas du tout la fin des DPD et des AIPD, car les entreprises devront toujours prouver comment elles supervisent le programme et gèrent les risques », a-t-elle déclaré à EURACTIV, ajoutant que les mouvements dans cette direction par d’autres gouvernements indiquent qu’il s’agit d’une «  tendance mondiale  ».

Transferts internationaux de données

Les réformes devraient également renforcer le potentiel du Royaume-Uni à favoriser les liens de transfert de données avec des partenaires internationaux. Le projet de loi prévoit que le Conseil international d’experts en transfert de données, un groupe d’organisations, d’entreprises technologiques et d’universitaires, sera habilité à supprimer les obstacles aux flux de données.

Londres a exprimé le souhait d’établir de nouveaux partenariats en matière de données avec des pays tels que les États-Unis, l’Australie, Singapour et la République de Corée, suscitant ainsi l’inquiétude de Bruxelles qui craint que, si les flux de données entre l’UE et le Royaume-Uni se poursuivent en parallèle, les données des citoyens européens ne soient, par la force des choses, transférées vers des pays tiers dont les normes de confidentialité sont jugées insuffisantes.

« Le gouvernement britannique a raison d’envisager l’évolution des règles et des mécanismes de flux de données », a déclaré Mme Bellamy. « C’est un énorme problème de conformité et de droit pour toutes les entreprises, grandes et petites. Ce n’est pas viable à long terme. »

Décision d'adéquation : le transfert de données UE-Royaume Uni continue de semer le trouble

Les eurodéputés Renew Europe ont appelé la commission LIBE à attendre l’avis du comité européen de la protection des données avant de se positionner sur l’amorce du processus d’adoption d’une « décision d’adéquation » entre l’UE et le Royaume Uni.

Cookies, appels et recherche

Le gouvernement prévoit également d’introduire des amendes pour les appels et messages commerciaux non-sollicités. Le projet de loi prévoit de faire passer la sanction maximale de 500 000 à 17,5 millions de livres sterling ou à 4 % du chiffre d’affaires mondial si ce montant est dépassé.

Les réglementations existantes seront également mises à jour afin de réduire les pop-ups de consentement aux cookies en mettant en place un modèle d’option de retrait qui s’appliquera à l’ensemble du navigateur internet d’une personne.

Les chercheurs bénéficieront également d’une plus grande souplesse et d’une plus grande clarté en matière d’utilisation des données. En pratique, cela pourrait signifier qu’il sera demandé aux personnes si elles consentent à ce que leurs données soient utilisées pour des recherches dans un domaine d’étude particulier, plutôt que pour un projet spécifique au sein de ce domaine.

Subscribe to our newsletters

Subscribe