Blog Données personnelles

Refonte du régime de protection des données au Royaume-Uni

Le gouvernement britannique s’apprêterait à une modification en profondeur du régime juridique applicable aux données personnelles :

Pour les besoins de la sortie du Royaume-Uni de l’Union Européenne, devenue effective le 1er janvier 2021, le gouvernement britannique avait fait le choix de conserver le RGPD dans son ordre juridique, moyennant des modifications mineures du texte (« UK GDPR »). Le 28 juin 2021, la Commission européenne adoptait une décision d’adéquation valant équivalence du régime de protection des données personnelles entre l’Union européenne et le Royaume-Uni. Prudente, elle avait inséré au sein de cette décision une clause limitant sa validité à quatre années.

Un projet de réforme prévu de longue date

En réponse à une consultation lancée en septembre 2021, le gouvernement britannique a publié un document dont l’importance pourrait se révéler majeure pour la survie du régime d’adéquation entre l’UE et le Royaume-Uni. Le Département du Numérique, de la Culture, des Médias et du Sport (DCMS) y présente les résultats de la consultation désormais close. Au regard des modifications proposées par le texte, qui devrait prochainement être examiné par le Parlement Britannique, il apparaît clair que le Royaume-Uni entend rendre le UK GDPR plus conforme à sa culture économique et juridique.

Un allégement des contraintes liées à la conformité

Une partie significative du projet est axée sur la réduction des contraintes humaines, matérielles et organisationnelles liées à la conformité aux règles maintenues par le UK GDPR. A cet égard, les propositions suivantes sont faites par le gouvernement britannique :

  • la nomination d’un délégué à la protection des données en tant que telle ne serait plus obligatoire ;
  • l’obligation de réaliser des analyses de risques en matière de protection des données personnelles serait supprimée et remplacée par une obligation de documentation des risques à portée générale ;
  • certaines demandes d’exercice de droits jugées abusives pourraient être ignorées ou soumises à des frais administratifs par le responsable de traitement.

Une clarification de principes préexistants

La réforme du UK GDPR peut être comprise comme une adaptation du cadre issu du RGPD. En particulier, il est proposé de clarifier certaines notions clés afin de dégager des règles simples d’emploi. A ce titre, il est notamment proposé :

  • une « liste blanche » de traitements fondés sur l’intérêt légitime du responsable de traitement, évitant ainsi dans un nombre déterminé de cas de figure la nécessité de procéder au test dit de « balance des intérêts » ;
  • une limitation de la portée des dispositions du RGPD au regard de la prise de décision entièrement automatisée ;
  • un allégement de l’obligation d’information préalable au recueil du consentement dans le secteur de la recherche.

Par ailleurs, il est prévu une adaptation des règles issues de la directive «  E-privacy  », afin que les cookies de mesure d’audience concernant un seul et même domaine internet soient exemptés de consentement.

Menace sur la décision d’adéquation visant le Royaume-Uni ?

En l’état, bien qu’il opère des aménagements stratégiques, le projet s’inscrit toujours dans le cadre du RGPD et préserve l’essentiel de ses principes. Les changements approuvés ne semblent pas de nature à remettre substantiellement en cause le niveau de protection accordé par le Royaume-Uni aux données personnelles. De plus, les invalidations successives des décisions d’adéquation visant les Etats-Unis (« Safe harbor » et « Privacy Shield ») en 2015 et 2020, se fondaient sur des divergences autrement plus importantes entre l’UE et les Etats-Unis en matière d’état de droit. Il est donc probable que la décision d’adéquation prise par la Commission le 28 juin 2021 soit maintenue et renouvelée.

Le projet de réforme du UK GDPR pose néanmoins la question de la compétition entre régimes juridiques et donc de l’émergence d’une véritable concurrence pour le RGPD. A cet égard, le gouvernement britannique a adopté une démarche susceptible d’être couronnée de succès. Si le texte proposé voit le jour, il saurait présenter de nombreux avantages concurrentiels, au regard de la réutilisation des données, des facilités promises à la recherche et de la réduction du coût lié à la conformité, tandis que le cadre européen déjà contraignant est en passe de se complexifier, avec l’adoption annoncée de plusieurs règlements.