Les récentes annonces du Gouvernement britannique portant sur sa volonté de revenir sur la réglementation en matière de données personnelles inquiètent, et à juste titre. Elles amorcent une remise en cause des décisions d’adéquation récemment adoptées par la Commission européenne permettant le transfert des données entre l’UE et le territoire britannique.
Après plus de quatre années de négociation avec l’Union européenne et à l’issue d’une énième période transitoire débouchant sur deux décisions d’adéquation de l’exécutif européen[1], force est de constater que plus que la pérennité de l’autorisation des transferts UE-UK est remise en question.
Les annonces du ministre en charge du numérique, puis la consultation publique portant sur la réforme du droit des données à caractère personnelle publiée le 10 septembre 2021 sur le site du gouvernement britannique par le Department for Digital, Culture, Media & Sport semblent acter que le Royaume-Uni entame un processus en vue de s’éloigner durablement de la réglementation européenne.
Rappels : la décision d’adéquation octroyée au Royaume-Uni par la Commission européenne.
Suite au Brexit, et aux termes d’un accord passé avec l’Union européenne[2], le Royaume-Uni avait accepté de continuer d’appliquer le droit de l’UE en échange d’un accès au marché européen. Le RGPD restait alors pleinement applicable au Royaume-Uni pendant une période supplémentaire de 6 mois à compter du 1er janvier 2021, soit jusqu’au 1er juillet 2021.
L’Union Européenne avait, par la suite et grâce à deux décisions d’adéquation parues le 28 juin 2021, donné son accord pour la libre circulation des données personnelles à l’issue de la période transitoire. Deux décisions ont donc été rendues par la Commission :
- L’une au titre du RGPD d’une part ;
- L’autre au titre de la directive en matière de protection des données dans le domaine répressif d’autre part.
Par ces décisions la Commission précise que les transferts de données vers le Royaume-Uni ne nécessitent pas d’encadrement spécifique supplémentaire – des garanties à tout le moins équivalentes à celles de l’Union européenne en matière de protection des données à caractère personnel étant présentes[3].
Des autorisations de transferts de données limitées dans le temps par l’exécutif européen
La Commission a cependant souhaité émettre une réserve en délimitant dans le temps la validité de ses décisions. Pour la première fois les décisions d’adéquation de la Commission européenne incluent une clause dite « de suppression automatique » à l’issue d’un délai de quatre années. Passé ce délai, les constats d’adéquation ne seront renouvelés que si le Royaume-Uni continue d’assurer un niveau adéquat de protection des données.
Au cours de ces quatre années, la Commission comme elle l’avait annoncé lors des communiqués de ces décisions continuera de suivre la situation juridique au Royaume-Uni.
Ces décisions pourraient également être revues si le pays s’écartait du niveau de protection actuellement en place. Dans le cas où la Commission déciderait de renouveler le constat d’adéquation, le processus d’adoption serait relancé.
Dans ce contexte, le Royaume-Uni a initié son processus de réforme en vue de se démarquer durablement de la réglementation européenne en matière de protection des données personnelles.
Les annonces des futures réformes du Royaume-Uni
Dans ses annonces du 25 août dernier, le ministre britannique en charge du numérique, Oliver Dowden[4], affichait une très nette volonté de s’écarter de la réglementation européenne en matière de protection des données en indiquant souhaiter revenir sur le sujet des cookies et traceurs, précisant qu’un certains nombres de limitations étaient selon lui inutiles[5].
Début septembre 2021, c’est l’Information Commissioner’s Office (ICO), autorité de protection des données britannique, qui avait appelé les pays membres du G7 à s’unir pour lutter contre les cookies tiers en établissant des règles communes, en tentant de définir une réglementation plus globale sur ce sujet.[6]
Ces différents positionnements du Royaume-Uni prêtent à confusion et s’intègrent dans un contexte d’incertitude doublée d’une complexification de la réglementation internationale en matière de protection des données et en particulier en ce qui concerne les transferts.
Le gouvernement britannique semble néanmoins décidé à réformer son régime relatif à la protection des données personnelles en lançant une consultation publique sur son projet de réforme.
Une consultation publique amorçant un changement radical régime de protection de la vie privée britannique
En mars 2021, le Royaume-Uni avait présenté ses 10 tech priorities, posant ainsi les fondations de sa nouvelle stratégie digitale.
En deuxième position de ces priorités figurent : “Unlocking the power data” – afin de se positionner “comme un pays/environnement ouvert, accueillant et sécurisé où les entreprises du monde entier peuvent innover, grandir et améliorer la vie des citoyens à travers le Royaume-Uni” – sans préciser comment y parvenir.
La consultation, publiée le 10 septembre dernier, détaille le projet de réforme sur la mise en place du Règlement européen sur la protection des données personnelles (RGPD) et du Data Protection Act 2018[7], and the Privacy and Electronic Communications Regulations (PECR).
A la lecture de cette consultation on note que le Royaume-Uni amorce un changement radical et ce même si l’ensemble des propositions ne sont pas toutes retenues.
Sur le sujet des cookies et traceurs sur lequel avait communiqué le ministre en charge du numérique : il est permis aux organisations d’utiliser des « cookies analytiques et des technologies similaires » sans consentement (point 198) , ou encore de stocker des informations ou de collecter des informations sur l’appareil d’un utilisateur sans consentement à certaines fins limitées, notamment la détection de défauts techniques et l’utilisation de la vidéo (point 200). La proposition présente également la possibilité d’étendre le soft opt-in aux organisations opérant dans certains contextes non commerciaux (point 210) ».
Est à noter également la volonté du Gouvernement britannique d’assouplir le cadre de responsabilité des acteurs et de revenir sur le fameux principe d’Accountability ». Sont également remis en cause la nécessité de désigner un délégué à la protection des données (point 163), la nécessité de procéder à une analyse d’impact sur la vie privée (point 167) et la suppression de l’obligation de contacter l’ICO (haute autorité britannique sur la protection des données) avant d’effectuer un traitement qui crée un risque élevé pour les personnes concernées qui ne peut être atténué.
En d’autres termes : un à un, les grands principes du RGPD sont ainsi remis en cause.[8]
Afin de préparer l’éventualité de plus en plus probable d’un écart définitif entre le Royaume-Uni et l’Union européenne en matière de protection des données personnelles, il convient dès à présent de préparer vos organisations.
L’équipe Cybersécurité de Devoteam vous accompagne dès à présent afin de prendre en compte l’ensemble de vos scénarios.
Pour savoir comment nous pouvons vous aider dans la mise en conformité de vos organisations, contactez nos experts en compliance.
____________________________________________
[1] Adoption de deux décisions d’adéquation concernant le Royaume-Uni: https://ec.europa.eu/france/news/20210628/decisions_adequation_protection_donnees_royaume_uni_fr
[2]Brexit et accord avec l’UE relatif à la protection des données personnelles :
https://ec.europa.eu/info/strategy/relations-non-eu-countries/relations-united-kingdom/new-normal/consequences-brexit_en
[3] L’absence de toute décision d’adéquation entre le Royaume-Uni et l’Union Européenne auraient entraînés l’obligation de mise en place de garanties appropriées telles que prévues par l’article 46 du RGPD (ex : clauses contractuelles types, règles d’entreprises contraignantes, etc.) – à la condition que les citoyens européens bénéficient de droits opposables et de voies de droit effectives.
[4] l’article du Figaro reprenant les annonces d’Oliver Dowden ministre britannique en charge du numérique: https://www.lefigaro.fr/flash-eco/protection-des-donnees-le-royaume-uni-veut-s-ecarter-de-la-reglementataion-europeenne-20210826
[5] article du Telegraph relatant les annonces du ministre britannique en charge du numérique :https://www.telegraph.co.uk/politics/2021/08/25/oliver-dowden-creating-data-laws-one-biggest-prizes-brexit/
[6] Sur la convocation de la présidente de l’ICO demandant à ses homologues du G7 des régulateurs du numérique de prendre des mesures contre les fenêtres contextuelles de consentement aux cookies :
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/09/g7-data-protection-and-privacy-authorities-meeting-communiqu%C3%A9/
[7] Data Protection Act 2012: https://www.gov.uk/data-protection
[8] Article sur l’analyse de la consultation publique : https://www.grcworldforums.com/gdpr/uk-gdpr-and-privacy-law-74-reforms-the-government-is-considering/2635.article
