Protection des données, vers un assouplissement du cadre législatif au Royaume-Uni

Plus de deux ans après le Brexit, la législation britannique sur la protection des données personnelles s’apprête à évoluer. Dans une volonté d’assouplissement, le gouvernement britannique a présenté le 8 mars 2023 la deuxième mouture du Data Protection and Digital Information Bill au Parlement. L’objectif de ce chantier législatif n’est pas de remplacer complètement le RGPD, mais d’introduire “un cadre simple, clair et favorable aux entreprises, qui ne sera pas difficile ou coûteux à mettre en œuvre”, précise le gouvernement britannique, qui espère économiser plus de 4 Mds£ au cours des dix prochaines années.

Le projet de loi apporte un certain nombre de modifications au régime de protection des données existant au Royaume-Uni, énoncé dans la loi sur la protection des données de 2018 (DPA) et le règlement général sur la protection des données du Royaume-Uni. Les changements affectent notamment la définition des données personnelles, le traitement des données pour des “intérêts légitimes”, les demandes d’accès en fonction de l’objet ou encore la prise de décision automatisée, les obligations des responsables du traitement et des sous-traitants, ainsi que la recherche scientifique. Pour ce qui est de la recherche notamment, Londres considère que “les lois relatives à l’utilisation des données à caractère personnel à des fins de recherche sont complexes et les règles pertinentes sont réparties entre différents textes législatifs, ce qui rend plus difficile l’établissement d’une sécurité juridique pour la recherche vitale et innovante”. Le gouvernement britannique ambitionne ainsi de faciliter le partage de données à des fins de recherche, le domaine médical ne faisant pas exception.

Sur le plan des affaires, le projet de loi entend aussi réduire le nombre de fenêtres pop-up et de bannières de consentement et autoriser davantage le partage des données des clients, par le biais de systèmes de données intelligentes, afin de fournir des services tels que des comparaisons de marché personnalisées et la gestion des comptes.

La Commission européenne veille au grain

Au vu des sujets qu’il bouscule, ce projet de loi n’est pas sans poser question sur le plan juridique. Lors du débat parlementaire en deuxième lecture qui s’est tenu le 17 avril dernier, certains députés britanniques ont exprimé la crainte de perdre les accords d’adéquation avec l’Union européenne. Le 28 juin 2021, la Commission européenne a en effet adopté deux décisions d’adéquation du niveau de protection des données concernant le Royaume-Uni, l’une au titre du RGPD et l’autre au titre de la directive en matière de protection des données dans le domaine répressif. Les exigences du RGPD transposées dans le droit britannique post-Brexit assurent un niveau de protection “substantiellement équivalent” à celui du marché européen dans le pays tiers, a estimé la Commission. Si ces accords d’adéquation courent toujours aujourd’hui, leur validité, en revanche, pourrait être remise en cause à l’avenir. Pour anticiper ces effets de bord, les décisions d’adéquation incluent des mesures de sauvegarde, telles qu’une clause dite “de suppression automatique” qui limite la durée de l’adéquation à quatre ans. 

Pour Valérie Chavanne, avocate et fondatrice de LegalUP Consulting, le niveau d’interprétation sera déterminant dans l’affaire : “Nous avons une idée précise des points de divergence, stratégiques et portant sur des dispositions dont l’interprétation n’est pas neutre. Si la décision d’adéquation était maintenue ou reconduite, aucun changement n’est à prévoir, mais le respect du RGPD et de la jurisprudence européenne seront surveillés de près. Si l’adéquation était révoquée ou non reconduite, nous pourrions nous retrouver dans une situation proche de celle des États-Unis avec la question centrale de l’encadrement des transferts transfrontaliers de données.”

L’accord d’adéquation étant toujours en vigueur (le RGPD applicable au Royaume Uni), “pour le moment, rien n’a changé”, rappelle-t-elle. “La pratique nous donnera une bonne estimation de la manière dont évolue la norme juridique britannique et la manière dont elle va être interprétée et implémentée.”

Le gouvernement britannique veut se montrer plus rassurant. Julia Lopez, ministre chargée des médias, des données et de l’infrastructure numérique, a déclaré le 17 avril dernier que l’objectif du projet de loi “n’est pas de créer des perturbations réglementaires pour les entreprises, en particulier celles qui commercent avec l’Europe et qui veulent s’assurer de la libre circulation des données. Nous avons été en contact permanent avec la Commission européenne au sujet de nos propositions. Nous voulons nous assurer qu’il n’y aura pas de surprises.”

La balance bénéfices/risques 

Pour nombre d’observateurs, la réaction de l’industrie sera un point à surveiller. Valérie Chavanne voit surgir “des discussions sur la difficulté de cohabiter avec deux ordres juridiques. Au Royaume-Uni, certaines organisations opteront probablement pour une conformité Royaume-Uni si elles ne travaillent pas avec l’Europe, quand d’autres affichent déjà une volonté de ne pas déroger à la conformité RGPD”, sur la base du raisonnement “qui peut le qui peut le plus peut le moins” résume-t-elle.

En définitive, “le Royaume-Uni considère qu’il serait plus efficace de se débarrasser des parties contraignantes du RGPD pour plus d’agilité et de business” analyse Mickael Leal, CEO d’Allpriv. Ce spécialiste en cybersécurité met dans la balance les risques et les bénéfices d’une telle réforme au regard de la sécurité. “Le RGPD aide à réduire les risques cyber mais ce n’est pas la panacée. Le problème est moins dans l’allègement des contraintes réglementaires que dans le partage de la donnée” dit-il, mentionnant la recrudescence des attaques visant les établissements de santé depuis la pandémie. “La problématique, selon Mickael Leal, est de savoir où mettre le curseur des données considérées comme vraiment personnelles”, particulièrement vulnérables.

Considérant la donnée de santé comme la donnée la plus valorisée, l’expert cyber anticipe, au Royaume-Uni, “un rapprochement entre les sociétés, aussi bien les hôpitaux, les centres de recherche que les entreprises qui ont besoin de travailler en réseau pour évoluer.”