UK : Proposition de réforme du RGPD britannique (partie 1)

protection des donnéesGDPRRGPDtransferts internationauxlegislative reformUK
Written By Charlotte Gerrish

Lancée initialement en septembre 2021 sous le titre « Data, a new direction » [1], la consultation publiée par le Department for Digital, Culture, Media and Sport (« DCMS ») du Gouvernement britannique concernant ses projets de réforme de la législation sur la protection des données, et ouverte aux commentaires du public pendant dix semaines, a franchi une nouvelle étape en apportant sa réponse finale le 17 juin dernier.

Considérée par certains comme une « véritable victoire post-Brexit », la secrétaire au numérique, Nadine Dorries, et la ministre d’Etat chargée des médias, Julia Lopez, approuvent cette nouvelle réforme progressive, visant à ce que le Royaume-Uni puisse, selon leurs termes, « libérer le pouvoir des données » et s’émanciper du « manque de clarté et de la lourdeur de la législation européenne ».

Décrivant cette réforme comme une évolution et non comme une révolution, le Gouvernement britannique fait part de ses axes essentiels (I), tout en veillant à répondre aux principaux sujets de préoccupation (II). Cependant, un certain nombre de points importants n’ont pas été abordés par cette réforme ou restent flous, et suscitant interrogations et inquiétudes (III). Dans cette première partie de notre série d’articles en deux parties, nous allons discuter des réformes proposées par le DCMS.

Dans l’optique que les personnes concernées puissent avoir le contrôle de leurs données personnelles en dehors de l’Union Européenne, le DCMS propose 30 rubriques réparties en cinq axes principaux.

1. Réduction des charges pesant sur les entreprises.

Les nouvelles réformes seront axées sur les résultats afin de réduire les charges inutiles pesant sur les entreprises et de donner plus de flexibilité aux organisations sur la manière dont elles gèrent les risques liés aux traitements des données.

De cette manière, le DCMS a proposé que les exigences comme la nomination des Data Protection Officers (Articles 37 à 39 du RGPD), la création des Data Privacy Impact Assessments (Article 35) et les Register of Processing Activities (Article 30) peuvent être supprimées et remplacées par de nouvelles obligations, dans le cadre d’un « privacy management programme ». Ainsi, par exemple, au lieu d’un DPO, les organisations devront nommer une personne de haut niveau responsable de la conformité en matière de protection des données.

Par conséquent, les mêmes normes élevées de protection des données seront maintenues, mais les organisations disposeront d’une plus grande flexibilité pour déterminer la manière dont elles les respectent.

Il convient de ce fait d’éclaircir quelques points :

  •  Intérêt légitime : Il y aura un nombre limité d’activités de traitement préalablement définies pour lesquelles une organisation pourra invoquer l’intérêt légitime sans avoir à effectuer un test de mise en balance. Ces traitements limités comprendront la prévention de la criminalité et la protection. Il est probable que des garanties supplémentaires soient prévues pour le traitement des données relatives aux enfants.

  •  Anonymisation : Les nouvelles réformes indiquent qu’il y aura une clarté sur le moment où les données deviennent anonymes. Le test d’identification sera un test relatif basé sur si des données anonymes peuvent être réidentifiées relatif aux moyens dont dispose le responsable du traitement pour réidentifier les données, selon le libellé de la Convention pour la protection des données à caractère personnel (STE n°108) du Conseil de l’Europe. Le gouvernement souhaite éviter de fixer une norme trop stricte pour l’anonymisation.

  •  Responsabilité : Un cadre de responsabilité plus flexible est prévu, soutenu par des programmes de gestion de la vie privée afin de réduire le temps et les ressources que les organisations (en particulier les PME) doivent investir dans la conformité, et présenter une approche plus proportionnée pour se conformer à la loi. Le niveau de protection demeure élevé. Les organisations traitant des données très sensibles devront donc continuer à mettre en œuvre une approche solide en matière de responsabilité.

  •  Demandes d’accès aux données personnelles : Les organisations pourront refuser les demandes d’accès à l’information si la demande est « vexatoire ou excessive », remplaçant le seuil actuel de « manifestement infondé ou excessif », ce qui le mettra en conformité avec le régime de liberté d’information. Toutefois, la taxe ne sera pas réintroduite pour les particuliers qui font des demandes d’accès.

2. Protéger les consommateurs contre les appels intempestifs et les cookies inutiles.

Alors que la majorité de la consultation s’est concentrée sur les changements possibles du UK RGPD et du Data Protection Act 2018, le DCMS a également consulté sur les changements possibles du Privacy and Electronic Communications Regulations 2003 (le règlement sur la vie privée et les communications électroniques de 2003 dit « PECR »).

Les nouvelles réformes apporteront un changement important concernant le consentement aux cookies. En effet, la nouvelle législation supprimera l’obligation d’afficher une bannière de cookies et permettra que des cookies soient placés sur l’appareil d’un utilisateur sans son consentement pour un petit nombre d’objectifs non intrusifs. Cependant, les sites web devront donner aux internautes des informations claires sur la manière de se désengager.

De plus, dans le futur, le gouvernement indique clairement son intention de passer à un modèle de consentement « opt-out » pour les cookies placés par les sites web. Ce nouveau modèle d’opt-out permettra de réduire la nécessité pour les utilisateurs de cliquer sur des bannières de consentement sur chaque site web visité.

Avant que les changements législatifs entrent en vigueur, le gouvernement œuvrera avec le secteur et l’autorité de réglementation pour garantir que la technologie est efficace et facile d’accès afin que les internautes puissent définir leurs préférences en matière de cookies et d’opt-out pour les refuser par des moyens automatisés. Les internautes pourront ainsi conserver le choix et le contrôle de l’utilisation de leurs données.

Les organisations non commerciales pourront se fonder sur la règle de « l’opt-in » souple pour l’envoi de prospection commerciale par courriel. Néanmoins, le gouvernement veillera à ce que des garanties appropriées existent afin de protéger les personnes qui ne souhaitent plus recevoir de communication publicitaire.

Les organisations non-respectueuses des règles du PECR seront passibles d’amendes équivalentes à celles du UK RGPD, fixées au maximum actuel de £500 000 pour les infractions au PECR. Les amendes augmenteront par rapport à ce maximum et seront alignées sur les pénalités actuelles du UK RGPD, qui peuvent aller jusqu’à 4% du chiffre d’affaires mondial ou £17,5 millions, le montant le plus élevé étant retenu.

3. Modernisation de l’ICO (Information Commissioner’s Office).

Les réformes de l’ICO faisaient partie des propositions les plus controversées du DCMS. Des inquiétudes ont notamment été soulevées concernant le fait que les réformes porteraient atteinte à l’indépendance de l’ICO. Bien que le gouvernement introduise de nouvelles obligations pour l’ICO ainsi qu’une nouvelle structure de gouvernance, il ne poursuivra pas tous les projets initialement prévus.

Ainsi, selon l’annonce du DCMS, l’ICO sera modernisé et disposera d’un président, d’un directeur général et d’un conseil d’administration afin de s’assurer que son rôle de régulateur de renommée internationale perdure. Cette modification introduira un ensemble plus large de compétences pour soutenir un processus décisionnel solide et élargir la responsabilité juridique qui sous-tend le travail de l’ICO, qui actuellement relève uniquement de la fonction de commissaire à l’information.

Il sera désormais obligatoire pour un individu de résoudre sa plainte avec le responsable du traitement avant de saisir l’ICO, ce qui devrait réduire le nombre de plaintes adressées au régulateur.

Le projet de loi définira des objectifs stratégiques insistant sur l’importance pour le régulateur de veiller au respect des droits des données et à encourager une utilisation responsable de celles-ci. Seront davantage pris en compte la croissance, l’innovation et la concurrence. De plus, la réforme accordera à l’ICO de nouvelles façons de concevoir des codes et des orientations statutaires, partageant les meilleures techniques pour les organisations qui utilisent, partagent ou stockent des données sensibles.

L’ICO sera tenu de créer un panel d’experts dans les domaines concernés lors de l’élaboration de chaque orientation statutaire. Le secrétaire d’État devra également approuver les codes et orientations statutaires de l’ICO avant leur présentation au Parlement.

4. Permettre l’utilisation innovante des données.

Le projet de loi sur la réforme des données apporte une nouvelle définition statutaire de la « recherche scientifique ». Dans la volonté de renforcer le Royaume-Uni en tant que superpuissance scientifique, le gouvernement a souhaité simplifier et clarifier les exigences légales relatives à la recherche pour permettre aux scientifiques d’utiliser les données en faveur de l’innovation et de l’évolution scientifique et technique. Prenant appui sur le considérant 159 du UK RGPD, il est peu probable que les changements soient conséquents.

Seront ainsi clarifiés et simplifiés l’utilisation du consentement de la personne concernée pour collecter ou utiliser ses données et le traitement ultérieur à des fins de recherche en général, ainsi que l’exemption de l’obligation de communiquer un avis de confidentialité pour les données utilisées dans la recherche dans le cas où contacter les personnes demanderait un effort disproportionné.

De plus, le gouvernement n’a pas prévu de nouvelle base légale pour la recherche. En effet, il ressort des commentaires du public que le cadre existant au titre de l’article 6 du UK RGPD suffisait.

5. Renforcer le commerce international.

Le Royaume-Uni est résolu à maintenir des normes élevées en matière de protection des données et à poursuivre la libre circulation des données personnelles entre les pays partageant les mêmes idées. Le gouvernement britannique relève l’importance de mettre un terme aux obstacles qui entraveraient les flux de données transfrontaliers, notamment en faisant progresser un programme ambitieux d’évaluations d’adéquation.

Ainsi, le gouvernement britannique prévoie une approche de l’adéquation basée sur le risque. En effet, lorsqu’il évaluera l’octroi du statut d’adéquation à un pays tiers, le gouvernement ne sera pas tenu de réexaminer l’adéquation tous les quatre ans. Un suivi un suivi continu sera assuré. De cette façon, les exportateurs pourront agir avec pragmatisme et proportionnalité où ils utilisent un mécanisme de transfert alternatif. Cependant, les organisations ne seront pas en mesure de créer ou identifier leur propre mécanisme de transfert. Par contre, le secrétaire d’État britannique disposera d’un nouveau pouvoir lui permettant de reconnaître les mécanismes de transfert alternatifs comme une forme de garantie pour l’avenir.

Les réformes des données soutiendront les ambitions du gouvernement britannique de conclure de nouveaux partenariats en matière de données avec des économies importantes et d’améliorer les transferts internationaux de données dont dépendent un certain nombre de technologies, telles que la navigation GPS, la technologie des maisons intelligentes et les services de streaming de contenu.

Vivienne Artz, conseillère principale en stratégie des données et en politique de confidentialité du Centre for Information Policy Leadership, approuve l’approche plus souple du gouvernement en matière de transferts de données, jugée « bienvenue pour soutenir l’économie numérique et interconnectée mondiale, où de nombreuses juridictions introduisent davantage de restrictions sur les transferts de données  ». Le gouvernement continue de travailler en étroite collaboration avec des partenaires internationaux sur des accords d’adéquation des données avec des pays prioritaires, tels que les États-Unis, l’Australie, la République de Corée, Singapour, le Centre financier international de Dubaï, la Colombie, l’Inde, le Brésil, le Kenya et l’Indonésie.

Toutefois, le gouvernement ne prévoit pas d’exempter les transferts d’un pays tiers vers le Royaume-Uni, puis leur retour vers le pays tiers, des règles relatives aux transferts internationaux de données prévues par le UK RGPD. Il ne prévoit pas non plus d’adopter des dispositions permettant une approche plus souple des dérogations pour les transferts internationaux de données.

Concernant les préoccupations sur les flux de données et l’adéquation du Royaume-Uni avec l’Union Européenne, le gouvernement britannique a insisté dans sa réponse finale la possibilité et la raison de maintenir l’adéquation entre le Royaume-Uni et l’Union Européenne lors de la conception de la législation britannique sur la protection des données. Il souligne que « les règles d’adéquation de l’Union Européennes n’exigent pas qu’un pays « adéquat » ait les mêmes règles ». De ce fait, le gouvernement estime que si la réforme de la législation britannique sur les données personnelles est compatible avec les règles d’adéquation de l’Union Européenne, le maintien des flux de données personnelles en provenance d’Europe sera possible.

En résumé.

Le gouvernement britannique voit en cette réforme une étape importante pour cimenter la position du Royaume-Uni post-Brexit en tant que superpuissance scientifique et technologique, pour permettre une manière plus innovante et plus souple d’utiliser les données personnelles tout en garantissant la protection de la vie privée des personnes concernées, et de fournir aux entreprises et organisations les moyens nécessaires pour apporter les meilleurs services aux citoyens.

La consultation publiée par le Gouvernement britannique concernant ses projets de réforme de la législation britannique sur la protection des données a fait suite à l’audition par le gouvernement de près de 3 000 réponses du public et à plus de 40 tables rondes avec des parties prenantes du monde universitaire, de la technologie et de l’industrie, ainsi que des groupes de défense des droits des consommateurs, dans la volonté de faciliter la compréhension de la réforme et d’apporter les réponses aux préoccupations principales des citoyens.

Article par Nathalie Pouderoux @ Gerrish Legal, initialement apparu sur Village de la Justice.

Charlotte Gerrish
Previous

Est-ce que j’ai besoin d’un contrat de service ?
Next

Le DMA et le DSA : La nouvelle règlementation des services numériques.