RGPD or not RGPD
Le RGPD : plus trop la tasse de thé des Anglais ?
En sortant de l’Union européenne (UE), le Royaume-Uni s’est soustrait du champ d’application de nombreuses législations européennes. Parmi elles figure notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, plus connu sous le nom de « Règlement Général sur la Protection des Données » (RGPD).
Débriefing : petits rappels historiques et légaux – Le Royaume-Uni s’est officiellement retiré de l’UE le 31 janvier 2020. S’est alors ouverte une période de transition d’un an, durant laquelle le pays est provisoirement resté soumis aux règles communautaires.
À partir du 31 décembre 2020, le sort réservé aux données personnelles traitées au Royaume-Uni ne devait donc en principe plus être régi par le RGPD en tant que tel. En effet, ce texte étant un règlement et non une directive, il a été directement applicable dans les États membres de l’UE dès son entrée en vigueur, sans que ceux-ci aient eu besoin d’en retranscrire le contenu dans leurs propres lois nationales[1].
Pour surmonter cette difficulté, qui aurait porté préjudice à la fois aux citoyens britanniques et aux rapports commerciaux qu’entretient le Royaume-Uni avec le reste des pays de l’Union, le gouvernement britannique a promulgué une série de lois destinées à transposer la quasi-totalité du RGPD dans son ordre juridique.
Le feed-back de la Commission européenne – La Commission européenne a considéré que le nouveau droit positif du Royaume-Uni assurait bien un niveau de protection des données personnelles équivalent à celui garanti par le RGPD.
L’institution européenne a ainsi adopté une décision d’adéquation le 28 juin 2021[2]. Celle-ci a notamment pour effet de dispenser les responsables de traitement soumis au RGPD européen d’avoir à accomplir des formalités supplémentaires avant de transférer des données personnelles vers le Royaume-Uni.
Cette décision vaut en théorie pour une durée de quatre années, sauf décision contraire de la Commission européenne. L’institution a toutefois précisé qu’elle surveillerait attentivement l’évolution de la législation et les pratiques britanniques à ce sujet, et qu’elle se réservait le droit de suspendre, abroger ou modifier sa décision d’adéquation s’il était démontré que le Royaume-Uni n’assurait plus un niveau de protection adéquat des données personnelles.
Mais, bien qu’averti des conséquences d’un éventuel « retour en arrière » de sa part, le Royaume-Uni n’est-il pas en train de filer à l’anglaise ?
Le récent bad buzz du gouvernement britannique – Le 8 mars 2023, la secrétaire d’État anglaise à la Science, à l’Innovation et à la Technologie Madame Michelle DONELAN a présenté au Parlement un récent projet de loi, qui pourrait bien changer la donne[3]. Le texte prévoit un aménagement des dispositions actuellement en vigueur, jugées trop contraignantes pour les entreprises. Brandissant le fait que cette réforme permettrait de réaliser près de 4 milliards de livres d’économies en 10 ans, il y serait question de :
1 – Assouplir les règles sur l’exploitation des données personnelles dans le cadre de la recherche scientifique
L’article 6(1)(b) RGPD définit le principe de limitation des finalités, c’est-à-dire que les données à caractère personnel doivent être : […] « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales ».
Le projet de loi anglais vise à étendre la définition de la « recherche scientifique » pour y inclure les activités de recherche dans le secteur commercial. L’idée serait que les entreprises puissent elles aussi réutiliser des données qu’elles auraient préalablement collectées auprès de leurs clients et partenaires pour leurs propres activités de recherche et développement.
2 – Réduire les formalités administratives incombant aux responsables de traite
Sous l’empire du RGPD, tout responsable de traitement est tenu à un principe « d’accountability ». Il s’agit pour lui non seulement de devoir respecter ses obligations légales en matière de protection des données, mais d’être en mesure de démontrer à chaque instant de sa conformité (art. 5(2) du RGPD).
Cette mesure est particulièrement protectrice des personnes concernées qui, en cas de désaccord, n’ont pas à apporter la preuve du manquement de l’organisme ; preuve difficilement accessible pour elles puisque ces justificatifs sont précisément souvent détenus par le responsable de traitement.
Estimant cette exigence trop astreignante pour les responsables de traitement, le gouvernement britannique souhaite en réduire considérablement le champ d’application. Il est d’avis que seuls les organismes poursuivant des activités susceptibles de présenter un risque pour les droits et libertés des personnes concernées devraient désormais tenir une documentation de leur conformité.
Pas cool pour les citoyens dont les informations personnelles sont manipulées au quotidien, mais de façon trop insignifiante aux yeux du gouvernement du 10 Downing Street pour s’assurer du degré de conformité du responsable de traitement (démarchage et prospection, profilage en ligne, renseignements RH des entreprises, etc.).
Le texte prévoit également un allègement des règles de consentement des personnes concernées pour le dépôt de cookies[4].
3 – Encourager les transferts de données à l’international…
…En exemptant, entre autres, les responsables de traitement de vérifier que le destinataire étranger continue de respecter ses obligations en matière de protection des données, après leur contrôle initial.
OH MY GOD ! Autant de rétropédalages ?…
Le projet de loi émet l’idée de créer deux cadres règlementaires distincts. Les groupes britanniques désirant poursuivre leurs activités dans l’Union européenne seraient, malgré tout, encore obligés de respecter le RGPD[5]…
Mais nous en savons encore peu pour l’instant, cette réforme n’ayant curieusement pas fait la une des tabloïds…
Mauvais timing pour une telle annonce – Si le gouvernement britannique a réaffirmé dans son projet de loi son souhait de maintenir un haut niveau de protection aux données personnelles manipulées sur son territoire, il est permis d’en douter.
Cette évolution du cadre légal va nécessairement être analysée de près par la Commission européenne, puisqu’elle risque d’amoindrir le niveau de protection accordée aux éventuelles données personnelles de résidents européens transférées vers le Royaume-Uni…
D’autant que le gouvernement britannique a récemment signé avec les États-Unis un accord bilatéral autorisant les autorités de chaque pays à réclamer aux organismes de l’autre la communication des données personnelles qu’ils auraient en leur possession, lors d’investigations sur certains crimes relevant du grand banditisme ou du terrorisme. Cette entente, conclue le 3 octobre 2022, intervient dans le cadre du CLOUD ACT américain[6] & [7] . Elle pourrait ainsi donner un accès direct aux autorités américaines à des données personnelles de résidents européens envoyées de prime abord « en toute confiance » au Royaume-Uni…
En dehors de toute révision anticipée de la décision d’adéquation rendue par l’Institution européenne, celle-ci expire dans tous les cas le 27 juin 2025. Sa prorogation éventuelle sera l’occasion d’un examen des garanties offertes par le Royaume-Uni sur cette problématique.
Considérera-t-elle que tout est « Okay »
Nous vous rappelons qu’en l’absence de décision d’adéquation, les responsables de traitement soumis au RGPD ne pourront plus transférer de données personnelles vers le Royaume-Uni sans avoir pris des garanties appropriées pour s’assurer de leur sécurité là-bas. L’article 46 du RGPD dresse la « check-list » de ces garanties, qui peuvent être : un arrangement administratif contraignant et exécutoires, pour les organismes publics (1) ; des règles d’entreprise contraignantes (2) ; des clauses types de protection des données, soit spécifiques ou approuvées par la Commission européenne (3) ; voire l’engagement du destinataire de suivre un code de conduite approuvé (4) ou le cahier des charges d’une certification qui lui aurait été délivrée (5).
* * *
Contrairement à ce qu’affirme le gouvernement britannique, ces obligations légales sont un véritable atout pour les organismes, à l’heure où les personnes concernées ont davantage d’attente sur la manière dont sont recueillies et exploitées leurs informations personnelles.
Ce n’est un scoop pour personne : loin d’être un coût supplémentaire pour les sociétés, leurs démarches de conformité sont désormais largement valorisables et valorisées sur le marché.
Perdus dans l’identification et la gestion des différents pans de votre conformité ?
Notre équipe de professionnels est à l’écoute de vos demandes et de vos besoins.
Nous vous invitons à prendre contact les services de RGPD-Experts via notre formulaire :
https://www.rgpd-experts.com/contactez-rgpd-experts/
L.H
[1] Cette applicabilité immédiate des règlements européens découle de l’effet « direct » qui leur est reconnu.
[2] La décision d’exécution de la Commission du 28 juin 2021 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Royaume-Uni est disponible dans son intégralité à l’adresse suivante : https://commission.europa.eu/system/files/2021-06/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_fr_0.pdf
[3] Tel qu’indiqué dans un communiqué du gouvernement britannique accessible en ligne : https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk-version-of-gdpr
[4] https://www.usine-digitale.fr/article/exit-le-rgpd-le-royaume-uni-assouplit-ses-regles-sur-la-protection-des-donnees.N2109356
[5] Ibid.
[6] https://www.justice.gov/opa/pr/landmark-us-uk-data-access-agreement-enters-force
[7] Pour en savoir plus sur le Cloud Act américain et ses conséquences sur votre conformité, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/google-analytics/
Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.