Réformes britanniques sur la protection des données : s’agit-il vraiment d’une « nouvelle direction » ?
Le Royaume-Uni ayant quitté l’Union Européenne et n’est donc plus soumis à l’obligation de répondre au RGPD, la liberté de mettre en place un nouveau cadre juridique national pour la protection des données personnelles s’exprime peu à peu.
Dans la continuité de la nouvelle stratégie des données révélée en 2020[i], le Département britannique du Numérique, de la Culture, des Médias et du Sport (DCMS) a lancé le 10 septembre 2021 une consultation sur les réformes britanniques en matière de protection des données[ii]. Visant à garantir la sécurité de l’innovation technologique, cette consultation constitue une étape clef dans la construction de la politique post-Brexit de protection des données au Royaume-Uni, qui repose sur les exigences du RGPD[iii].
Les propositions britanniques : une stratégie laxiste ?
Le document de consultation, intitulé « Data : a new direction« , compte 146 pages et contient une série de propositions qui touchent à différentes thématiques du RGPD. Contrairement à ce qu’annonce le Gouvernement, les mesures présentées tendent vers un assouplissement du niveau de protection actuel. Aux yeux du Gouvernement, cette démarche s’inscrit dans une volonté de réduire les contraintes liées au partage des données et ce, dans un souci de promouvoir la croissance économique. Data Legal Drive propose de revenir sur cette actualité tout en synthétisant les mesures phares énoncées.
Accountability
Les évolutions les plus marquantes concernent la responsabilisation des acteurs, un des principes clés du RGPD. Afin de réduire les coûts liés à la conformité pour les entreprises, un nouveau mécanisme est proposé consistant à imposer aux organismes d’élaborer et de mettre en œuvre un « programme de gestion de la vie privée » (privacy management programme). Cette nouveauté implique une suppression ou encore une modification de plusieurs exigences du RGPD :
- Suppression de l’obligation de désigner un délégué à la protection des données
- Suppression de l’obligation de procéder à des analyses d’impact relatives à la protection des données
- Suppression de l’obligation de tenir un registre des activités de traitement
- Introduction d’un modèle de tarification pour les demandes des personnes concernées relatives au droit d’accès
- Modification des conditions de notification des violations des données à l’autorité de contrôle
- Suppression de l’obligation de consultation préalable de l’autorité de contrôle.
Cookies et marketing direct
Les propositions prévoient d’assouplir les exigences de consentement en matière de cookies et de marketing direct. Il est ainsi suggéré :
- d’autoriser les organismes à recourir à des cookies analytiques et autres traceurs sans le consentement de l’utilisateur, tout en les considérant comme étant « strictement nécessaires ».
- de permettre aux organismes à but non lucratif d’opter pour le « soft opt-in » pour adresser des messages de marketing direct.
Transferts internationaux des données
La Consultation consacre un chapitre entier aux transferts internationaux. De nombreux propos ambitieux sont évoqués quant à la volonté de multiplier le nombre de pays que le Royaume-Uni considère comme « adéquats », ce afin de favoriser les transferts internationaux de données. Le Gouvernement a également l’intention de revoir les mécanismes de transfert alternatifs, à utiliser dans le cas où aucune décision d’adéquation n’a été adoptée.
Changements prévus auprès de l’ICO
La Consultation prévoit des réformes quant au fonctionnement et aux pouvoirs de l’autorité de contrôle « Information Commissioner’s Office (ICO) ». Les propositions ont pour objectif de lui attribuer de nouvelles responsabilités, de définir de nouveaux objectifs stratégiques à suivre et de conférer au Gouvernement un contrôle plus étendu sur l’ICO.
Innovation et règles légales
Tout en critiquant la présentation générale de la règlementation et afin de limiter les obstacles liés à la recherche et à l’innovation causés par des règles strictes, incomplètes ou encore fragmentaires, il est proposé :
- de recourir à des règles dynamiques et suffisamment souples pour s’adapter à l’évolution rapide des technologies utilisant des données.
- d’assurer une meilleure clarté de la législation sur les données personnelles tout en introduisant des directives sur l’application pratique de la règle.
- de présenter les considérants, servant de guide explicatif et interprétatif, dans la partie consacrée aux articles afin d’inciter les organismes à s’y référer pour élaborer leur analyse ou plan d’action. Il est envisagé à titre d’exemple de faire apparaître dans un article les critères dont il faut tenir compte pour déterminer si les données sont anonymisées ou pas tout en détaillant l’analyse devant être menée.
Tentant de se détacher de la politique européenne stricte de protection des données à caractère personnel, le Royaume-Uni a préféré privilégier l’innovation technologique et la croissance économique. Les contributions à la consultation sont attendues pour le 19 novembre 2021. L’adoption des mesures proposées pourrait permettre de remettre en cause le niveau de protection adéquat reconnu dernièrement par la Commission Européenne en matière de protection des données personnelles[iv]. Ce volet préoccupera potentiellement le plus la Commission européenne qui examinera de très près si les nouvelles règles de transferts internationaux sont compatibles avec les principes de la règlementation européenne et par conséquent, si elles sont susceptibles de compromettre l’actuelle décision d’adéquation du Royaume-Uni.
Seul le temps nous dira quel sera l’impact de ces mesures et nous fournira des réponses à des questions encore en suspens : la simplification des actions et des procédures en matière de privacy est-elle signe d’un affaiblissement de la protection ? N’est-il pas tout de même possible de garantir une conformité optimale en atténuant la rigidité des règles, en responsabilisant davantage les organismes et en leur donnant la possibilité d’opter pour un plan de gestion de leur conformité qui soit plus adapté à la taille de leur structure et au nombre de leurs opérations de traitement ?
[i] Policy Paper, National Data Strategy
[ii] Department for Digital, Culture, Media & Sport : Open Consultation “Data : A new direction”
[iii] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[iv] Commission européenne, Décision d’exécution de la Commission constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Royaume-Uni, 28 juin 2021