Réformes britanniques sur la protection des données : s'agit-il vraiment d'une "nouvelle direction"?

Referencement

SEO / Referencement 45 Views comments

Dans la continuité de la nouvelle stratégie des données révélée en 2020[1], le Département britannique du Numérique, de la Tradition, des Médias et du Sport (DCMS) a lancé le 10 septembre 2021 une consultation sur les réformes britanniques en matière de protection des données[2]. Visant à garantir la sécurité de l’innovation technologique, cette session constitue une étape clef dans la development de la politique post-Brexit de protection des données au Royaume-Uni, qui repose sur les exigences du RGPD[3].

Les propositions britanniques& : une stratégie laxiste& ?

Le doc de session, intitulé "Knowledge : a new course", compte 146 pages et contient une série de propositions qui touchent à différentes thématiques du RGPD. Contrairement à ce qu’annonce le Gouvernement, les mesures& présentées tendent vers un assouplissement du niveau de safety actuel. Aux yeux du Gouvernement, cette démarche s’inscrit dans une volonté de réduire les contraintes liées au partage des données et ce, dans un souci de promouvoir la croissance économique.

La Responsabilité

Les évolutions les plus marquantes concernent la responsabilisation des acteurs, un des principes clés du RGPD. Afin de réduire les coûts liés à la conformité pour les entreprises, un nouveau mécanisme est proposé consistant à imposer aux organismes d’élaborer et de mettre en œuvre un "programme de gestion de la vie privée" (privacy management programme). Cette nouveauté implique une suppression ou encore une modification de plusieurs exigences du RGPD :

▪ Suppression de l’obligation de désigner un délégué à la protection des données

▪ Suppression de l’obligation de procéder à des analyses d’influence kin à la protection des données

▪ Suppression de l’obligation de tenir un registre des activités de traitement

▪ Introduction d’un modèle de tarification pour les demandes des personnes concernées relations au droit d’accès

▪ Modification des circumstances de notification des violations des données à l’autorité de contrôle

▪ Suppression de l'obligation de consultation préalable de l’autorité de contrôle.

Cookies et advertising direct

Les propositions prévoient d’assouplir les exigences de consentement en matière de cookies et de advertising direct. Il est ainsi suggéré& :

▪ d’autoriser les organismes à recourir à des cookies analytiques et autres traceurs sans le consentement de l'utilisateur, tout en les considérant comme étant "strictement nécessaires".

▪ de permettre aux organismes à but non lucratif d’opter pour le "delicate opt-in" pour adresser des messages de advertising direct.

Transferts internationaux des données

La Session consacre un chapitre entier aux transferts internationaux. De nombreux propos ambitieux sont évoqués quant à la volonté de multiplier le nombre de pays que le Royaume-Uni considère comme "adéquats", ce afin de favoriser les transferts internationaux de données. Le Gouvernement a également l'intention de revoir les mécanismes de transfert alternatifs, à utiliser dans le cas où aucune décision d'adéquation n'a été undertakeée.

Changements prévus auprès de l’ICO

La Session prévoit des réformes quant au fonctionnement et aux pouvoirs de l’autorité de contrôle «& Info Commissioner's Workplace (ICO)& ». Les propositions ont pour objectif de lui attribuer de nouvelles responsabilités, de définir de nouveaux objectifs stratégiques à suivre et de conférer au Gouvernement un contrôle plus étendu sur l'ICO.

Innovation et règles légales

Tout en critiquant la présentation générale de la règlementation et afin de limiter les obstacles liés à la recherche et à l’innovation causés par des règles strictes, incomplètes ou encore fragmentaires, il est proposé& :

▪& de recourir à des règles dynamiques et suffisamment souples pour s’adapter à l’évolution rapide des technologies utilisant des données.

▪ d’assurer une meilleure clarté de la législation sur les données personnelles tout en introduisant des directives sur l’software pratique de la règle.

▪ de présenter les considérants, servant de information explicatif et interprétatif, dans la partie consacrée aux articles afin d’inciter les organismes à s’y référer pour élaborer leur analyse ou plan d’action. Il est envisagé à titre d’exemple de faire apparaître dans un article les critères dont il faut tenir compte pour déterminer si les données sont anonymisées ou pas tout en détaillant l’analyse devant être malesée.

[1] Policy paper, Nationwide Knowledge Technique, 9 December 2020 : https://www.gov.uk/government/publications/uk-national-data-strategy/national-data-strategy

[2] Open consultation-Division for Digital, Tradition, Media & Sport, “Knowledge& : a brand new path”, 10 September 2021 : https://www.gov.uk/government/consultations/data-a-new-direction

[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la safety des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la safety des données).

Comments