Protection des données : les Britanniques prennent leurs distances avec le RGDP
Le gouvernement britannique entend poursuivre la réforme relative aux données de manière plus ambitieuse que ce qui avait été précédemment proposé, se préparant à remplacer le RGPD par son propre système de protection des données « sur mesure ».
Le nouveau gouvernement britannique entend poursuivre la réforme relative aux données de manière plus ambitieuse que ce qui avait été précédemment proposé. En effet, il se prépare à remplacer le Règlement général sur la protection des données (RGPD) par son propre système de protection des données « sur mesure ».
Lors de la conférence annuelle du parti conservateur en place lundi (3 octobre), Michelle Donelan, la nouvelle ministre du Numérique, de la Culture, des Médias et du Sport de Liz Truss, a annoncé que le gouvernement « remplacera le RGPD par notre propre système britannique de protection des données, favorable aux entreprises et aux consommateurs. »
Les travaux de réforme de la protection des données étaient déjà en cours au Royaume-Uni, qui a annoncé plus tôt cette année une proposition visant à modifier la version du RGPD adoptée par Londres après le Brexit.
L’introduction de ces modifications a fait planer le doute sur le maintien de la décision d’adéquation de l’UE, qui permet aux transferts de données entre l’UE et le Royaume-Uni de se poursuivre malgré le départ de ce dernier du bloc.
Alors que les modalités de la nouvelle réforme doivent encore être révélées, il convient de noter que les détails des réformes précédemment prévues n’ont pas fait obstacle au statut d’adéquation du Royaume-Uni. Les propos de Mme Donelan cette semaine indiquent cependant que le gouvernement actuel est prêt à poursuivre ses efforts et à entreprendre des révisions plus radicales de l’architecture actuelle de la réforme des données dans le pays.
La réforme des données à ce jour
Suite à la sortie du Royaume-Uni de l’UE, les transferts de données entre les deux parties ont été autorisés par la Commission, permettant à Londres de continuer à disposer d’un régime de protection de la vie privée aligné sur le RGPD de l’UE.
Cette décision comportait toutefois une clause crépusculaire, garantissant son expiration automatique et, par conséquent, un examen et un renouvellement nécessaires en 2024.
Le gouvernement britannique n’a toutefois pas tardé à faire part de son intention de modifier le régime réglementaire post-Brexit. Cette décision a suscité des inquiétudes à Bruxelles, notamment en ce qui concerne l’objectif du Royaume-Uni d’établir des flux de données avec d’autres pays, dont les États-Unis, l’Australie, la Corée du Sud et Singapour.
Dans le cadre du dernier programme législatif du Royaume-Uni, le gouvernement de l’ancien Premier ministre Boris Johnson a publié en juin son projet de loi sur la réforme des données, un ensemble de mesures visant à reconstituer le paysage politique du pays en matière de données.
Parmi les dispositions comprises dans le projet de loi figure la « modernisation » de l’Information Commissioner’s Office, l’autorité britannique chargée de la protection des données. En outre, le projet de loi prévoit la suppression d’exigences spécifiques imposées aux entreprises, telles que l’engagement d’un responsable interne de la protection des données chargé de réaliser des analyses d’impact, et l’introduction d’un modèle d’exclusion pour les fenêtres pop-up de consentement aux cookies.
Le projet de loi, tel que promis par M. Johnson, contient également des dispositions visant à stimuler les partenariats internationaux en matière de données en donnant au Conseil international d’experts en transfert de données, un groupe d’organisations, d’entreprises technologiques et d’experts, le pouvoir de supprimer les obstacles aux flux de données.
Cependant, alors que les propositions en surface semblaient significatives à bien des égards, les observateurs avaient alors déclaré à EURACTIV que la mesure dans laquelle cela se refléterait dans la réalité était incertaine. En effet, de nombreuses entreprises pourraient hésiter à modifier trop radicalement leurs opérations afin de pouvoir continuer à opérer à la fois dans l’UE et au Royaume-Uni.
Nouveau gouvernement, nouvelle approche
Le discours de lundi, cependant, était nettement plus marqué dans sa volonté de s’écarter du RGPD.
Mettant l’accent sur la réduction des exigences bureaucratiques et de toute « lourdeur administrative » héritée de l’UE par les entreprises, Mme Donelan a annoncé que le Royaume-Uni « remplacera le RGPD par notre propre système britannique de protection des données, favorable aux entreprises et aux consommateurs ». Elle a ajouté que « nous pouvons être la passerelle qui traverse l’Atlantique et fonctionner comme la plaque tournante mondiale des données. »
Le nouveau système visera à simplifier les structures existantes, a-t-elle déclaré, précisant qu’il s’inspirera des systèmes d’autres pays qui avaient atteint l’adéquation des données de l’UE sans le RGPD — tels que le Japon, la Corée du Sud, Israël, le Canada et la Nouvelle-Zélande — « pour former un système de protection des données véritablement sur mesure ».
« Le « RGPD britannique » « était au cœur des propositions précédentes », a déclaré à EURACTIV Ruth Boardman, partenaire et spécialiste de la protection des données au cabinet d’avocats Bird&Bird. « Ce nom témoigne de l’approche : le cadre du RGPD a été conservé, mais des dispositions supplémentaires ont été ajoutées pour apporter de la clarté ou de la flexibilité dans certains domaines. »
« Le discours de la ministre hier suggère des changements plus profonds », a-t-elle ajouté. « Nous avons besoin des détails pour savoir si ceux-ci permettront au gouvernement britannique de parvenir à réaliser le tour de force préféré de Boris Johnson, à savoir avoir le beurre et l’argent du beurre — dans ce cas, maintenir une décision d’adéquation tout en réduisant la charge bureaucratique et en protégeant également les individus. »
Stratégie numérique
Le discours de Mme Donelan comportait également des références aux autres priorités législatives du gouvernement en matière de numérique.
Parmi elles, la promesse d’un déploiement accéléré de la 5 G et de la connectivité à large bande dans tout le pays, ainsi que des amendements au projet de loi sur la sécurité en ligne, une réglementation visant à réguler le comportement des plateformes en ligne afin de réduire les préjudices en ligne.
Le projet de loi, qui a été mis en suspens avant l’été dans l’attente de l’élection du nouveau Premier ministre, fera son retour au Parlement, a confirmé Mme Donelan. Elle a ainsi rappelé que son objectif principal serait de « garantir que les entreprises de réseaux sociaux protègent les enfants et les jeunes. »
« Mais soyez assurés », a ajouté Mme Donelan, « que j’apporte des modifications au projet de loi en ce qui concerne la liberté d’expression des adultes. »
