UK : Les nouvelles propositions de réforme de la législation sur la protection des données (partie 2)

Lancée initialement en septembre 2021 sous le titre « Data, a new direction » (« Données : une nouvelle direction »), la consultation publiée par le Department for Digital, Culture, Media and Sport (« DCMS ») du Gouvernement britannique concernant ses projets de réforme de la législation sur la protection des données, et ouverte aux commentaires du public pendant dix semaines, a franchi une nouvelle étape en apportant sa réponse finale le 17 juin dernier.
(1ère partie à lire ici.)

Considérée par certains comme une «  véritable victoire post-Brexit  », la secrétaire au numérique, Nadine Dorries, et la ministre d’Etat chargée des médias, Julia Lopez, approuvent cette nouvelle réforme progressive, visant à ce que le Royaume-Uni puisse, selon leurs termes, «  libérer le pouvoir des données  » et s’émanciper du «  manque de clarté et de la lourdeur de la législation européenne  ».
Décrivant cette réforme comme une évolution et non comme une révolution, le Gouvernement britannique fait part de ses axes essentiels (I), tout en veillant à répondre aux principaux sujets de préoccupation (II). Cependant, un certain nombre de points importants n’ont pas été abordés par cette réforme ou restent flous, et suscitant interrogations et inquiétudes (III).
Dans cette deuxième partie de notre série d’articles en deux parties, nous allons discuter les réponses apportées pour les principales préoccupations, les interrogations subsistantes, et voir si les réformes proposées constituent une évolution.

I. Quelles réponses apportées pour les principales préoccupations ?

Pour mémoire, le «  Data, a new direction » tel qu’il avait été lancé en 21 septembre 2021 comprenait parmi les propositions les plus significatives l’introduction d’une nouvelle base légale pour la recherche scientifique, la possibilité pour les organisations de mettre en place leurs propres mécanismes de transfert de données, ainsi qu’un contrôle gouvernemental considérablement étendu de l’ICO britannique.

De plus, l’ambition de s’écarter de l’actuel UK RGPD – qui n’est pas sans refléter le RGPD de l’Union Européenne – ont conduit à penser que les changements proposés pourraient mettre en péril la décision d’adéquation du Royaume-Uni à l’Union Européenne, créant ainsi un problème futur pour les transferts de données entre les deux entités.

Enfin, les entreprises ont craint que les changements conduiraient à une augmentation de la charge de conformité pour les multinationales qui devraient se conformer à un régime supplémentaire.

Julia Lopez et son équipe politique a répondu à un grand nombre de préoccupation, notamment concernant les relations entre le Royaume-Uni et l’Union Européenne. Elle a rassuré les citoyens en annonçant clairement que la réforme du Royaume-Uni conserve les principes du RGPD de l’Union Européenne, et a également indiqué que le DCMS engagerait des discussions régulières avec la Commission européenne, notamment sur le nouveau document d’orientation.

Selon l’équipe politique de Julia Lopez, la réforme envisagée ne devrait pas entraver l’adéquation du Royaume-Uni à l’Union Européenne. De plus, il a été précisé que si une organisation se conforme au RGPD de l’Union Européenne si elle entretient des relations commerciales dans l’Espace Économique Européen, elle n’aura pas à changer sa politique d’entreprise. Concernant le rôle du Information Commissioner’s Office (l’ «  ICO »), la réforme propose d’introduire une obligation formelle de coopération entre l’ICO et le DCMS. Puis, au sujet des droits des individus, le droit de contester une prise de décision automatisée n’est pas supprimé, mais révisé pour lever les ambiguïtés.

Une autre source importante de préoccupations concernait la suppression de l’article 22 du UK RGPD, qui traite de la prise de décision automatisée. Le gouvernement a maintenu cet article bien qu’un certain nombre de voix se soient élevées au Royaume-Uni pour que cet article « déroutant » soit supprimé. Cependant, le gouvernement britannique tient à modifier cet article en lui apportant des précisions et en le clarifiant. A cet effet, la publication d’un livre blanc sur la gouvernance de l’intelligence artificielle est prévue, faisant écho à la publication de la stratégie nationale en matière de l’intelligence artificielle l’année dernière.

Malgré la volonté du gouvernement à simplifier et à clarifier la législation britannique sur la protection des données, la réforme demeure floue sur de nombreux points préoccupants pour les citoyens. Par ailleurs, un certain nombre de domaines n’ont pas été abordés par la réforme, laissant certaines préoccupations sans réponses.

II. Les interrogations subsistantes.

Tout d’abord, bien que Julia Lopez et son équipe politique a rassuré les citoyens quant aux relations entre le Royaume-Uni et l’Union Européenne, la déclaration du gouvernement ne mentionne à aucun moment la nécessité de trouver un équilibre entre l’adoption d’une position britannique indépendante et le maintien de la déclaration d’adéquation du Royaume-Uni auprès de la Commission européenne, permettant ainsi la libre circulation des données personnelles entre le Royaume-Uni et l’Union Européenne.

Ce point gardé sous silence est pourtant une préoccupation majeure pour la plupart des entreprises qui font des affaires à l’échelle internationale. De plus, la déclaration d’adéquation de l’Union Européenne pour le Royaume-Uni doit être examinée par la Commission européenne avec les autres pays du groupe d’adéquation. Bien que les responsables politiques britanniques aient informé la Commission européenne de l’existence la réforme, l’équipe politique de la celle-ci ne sera en mesure d’évaluer les plans qu’après avoir lu les documents politiques détaillés.

En outre, la réforme à pour axe principal la réduction des charges pour les entreprises et la réduction des coûts, mais ce n’est pas le cas des droits des individus, qui sont pourtant l’objet de la loi sur la protection des données. Le gouvernement a rappelé que la réforme conserve la norme mondiale en matière de protection des données. Reste à savoir comment la réforme peut à la fois s’éloigner du RGPD de l’Union Européenne et demeurer conforme à la norme européenne largement reconnue.

A cela s’ajoute l’ambiguïté de l’annonce sur le rôle du commissaire à l’information. En effet, John Edwards, commissaire à l’information, a déclaré qu’il était "heureux de voir que le gouvernement a pris en compte nos préoccupations concernant l’indépendance", et de son côté le DCMS a indiqué que "le secrétaire d’État devra également approuver les codes statutaires et les orientations de l’ICO avant qu’ils ne soient présentés au Parlement". Cependant, au regard des propositions de la réforme, même si le secrétaire d’État aura le pouvoir de publier une déclaration de priorités stratégiques pour l’ICO, il semblerait que les principaux objectifs et devoirs de l’ICO supplanteront ces priorités stratégiques et ne seront pas juridiquement contraignants.

Privacy Laws & Business remarque que la Corée est présente dans la liste des pays avec lesquels le gouvernement discute d’accords internationaux sur les données alors qu’il s’agit d’un pays avec lequel l’Union Européenne a déjà accordé un accord d’adéquation. De ce fait, la Corée ne devrait, en principe, pas avoir besoin de figurer sur la liste du Royaume-Uni, puisque ce dernier a accepté tous les pays adéquats dans le cadre de l’accord de Brexit négocié avec l’Union Européenne.

Enfin, toutes les parties prenantes n’approuvent pas les réformes. Pour n’en citer qu’un, l’organisation de défense de la vie privée Open Rights Group a affirmé que les réformes offriront moins de choix aux individus et moins de responsabilité aux mauvais acteurs. Aussi, elle redoute que l’indépendance de l’ICO ne soit menacée par les pouvoirs accordés au secrétaire d’État susceptibles « d’exposer l’ICO à une direction politique ».

III. La réforme de la législation britannique sur la protection des données.

Pour un certain nombre de domaines, le gouvernement n’a pas souhaité réaliser de changements radicaux. Ainsi, que les règles relatives au signalement des violations de la sécurité des données ne seraient pas modifiées et de ne pas créer de nouvelles bases légales au titre de l’article 6. De plus, les dispositions relatives aux transferts internationaux de données dans le cadre du UK RGPD reste globalement les mêmes, la seule nouveauté étant une approche fondée sur le risque. Le gouvernement a également choisi de ne pas introduire une définition de l’intérêt public substantiel pour le moment, et de ne pas demander l’exigence d’un rapport de transparence obligatoire sur l’utilisation d’algorithmes dans la prise de décision pour les organismes du secteur public.

Cela conduit à se demander si cette réforme constitue une réelle évolution.
Pourtant, certains changements sont à relever, dont le Règlement sur la protection de la vie privée et les communications électroniques («  PECR  ») plutôt que le UK RGPD, et la suppression des bannières de cookies et l’extension des types de cookies dont le consentement n’est pas requis, aboutissant à la suppression de l’obligation de consentement préalable pour déposer des cookies sur les sites web dès que la technologie automatisée sera généralisée pour aider les utilisateurs à gérer leurs préférences en ligne. L’extension du soft opt-in pour les communications marketing directes aux organisations non commerciales est également à souligner.

Tant que la Commission européenne n’a pas adopté le règlement e-Privacy, des modifications plus importantes du PECR sont probablement moins risquées pour la préservation de l’adéquation de l’UE que ne le seraient des modifications majeures du UK RGPD. La Commission européenne pourrait modifier sa position finale, mais pour certains aspects, tels que l’augmentation des amendes, il est probable qu’elle soit favorable à l’approche du Royaume-Uni.

La révolution majeure attendue par certains citoyens n’est pas arrivée. Cependant, les quelques changements significatifs vont pousser les entreprises à s’adapter, en créant par exemple des régimes de conformité parallèles aux règles du Royaume-Uni et de l’Union Européenne, bien que le gouvernement insiste sur le fait que les entreprises conformes au GDPR britannique n’auront pas besoin de procéder à des modifications trop importantes.

Le Royaume-Uni n’étant plus membre de l’Union européenne, les modifications que le gouvernement britannique apportera à sa législation sur la protection des données devront se faire dans le respect d’un équilibre délicat, en raison de l’avantage économique que représente la préservation du statut d’adéquation du Royaume-Uni au regard de la législation européenne et le maintien d’un niveau élevé de protection des données personnelles.

Ces changements seront pour la plupart introduits dans le projet de loi sur la réforme des données annoncé dans le discours de la Reine de mai 2022. Sa publication est prévue avant les vacances d’été qui commencent le 21 juillet 2022. Le projet de loi et sa forme finale sont de ce fait très attendus.

N’hesitez pas à nous contacter pour plus d’informations.

Article par Nathalie Pouderoux initialement publié sur le site du Village de la Justice, août 2022.