Le gouvernement britannique s’apprêterait à une modification en profondeur du régime juridique applicable aux données personnelles :
Pour les besoins de la sortie du Royaume-Uni de l’Union Européenne, devenue effective le 1er janvier 2021, le gouvernement britannique avait fait le choix de conserver le RGPD dans son ordre juridique, moyennant des modifications mineures du texte (« UK GDPR »). Le 28 juin 2021, la Commission européenne adoptait une décision d’adéquation valant équivalence du régime de protection des données personnelles entre l’Union européenne et le Royaume-Uni. Prudente, elle avait inséré au sein de cette décision une clause limitant sa validité à quatre années.
En réponse à une consultation lancée en septembre 2021, le gouvernement britannique a publié un document dont l’importance pourrait se révéler majeure pour la survie du régime d’adéquation entre l’UE et le Royaume-Uni. Le Département du Numérique, de la Culture, des Médias et du Sport (DCMS) y présente les résultats de la consultation désormais close. Au regard des modifications proposées par le texte, qui devrait prochainement être examiné par le Parlement Britannique, il apparaît clair que le Royaume-Uni entend rendre le UK GDPR plus conforme à sa culture économique et juridique.
Une partie significative du projet est axée sur la réduction des contraintes humaines, matérielles et organisationnelles liées à la conformité aux règles maintenues par le UK GDPR. A cet égard, les propositions suivantes sont faites par le gouvernement britannique :
La réforme du UK GDPR peut être comprise comme une adaptation du cadre issu du RGPD. En particulier, il est proposé de clarifier certaines notions clés afin de dégager des règles simples d’emploi. A ce titre, il est notamment proposé :
Par ailleurs, il est prévu une adaptation des règles issues de la directive « E-privacy », afin que les cookies de mesure d’audience concernant un seul et même domaine internet soient exemptés de consentement.
En l’état, bien qu’il opère des aménagements stratégiques, le projet s’inscrit toujours dans le cadre du RGPD et préserve l’essentiel de ses principes. Les changements approuvés ne semblent pas de nature à remettre substantiellement en cause le niveau de protection accordé par le Royaume-Uni aux données personnelles. De plus, les invalidations successives des décisions d’adéquation visant les Etats-Unis (« Safe harbor » et « Privacy Shield ») en 2015 et 2020, se fondaient sur des divergences autrement plus importantes entre l’UE et les Etats-Unis en matière d’état de droit. Il est donc probable que la décision d’adéquation prise par la Commission le 28 juin 2021 soit maintenue et renouvelée.
Le projet de réforme du UK GDPR pose néanmoins la question de la compétition entre régimes juridiques et donc de l’émergence d’une véritable concurrence pour le RGPD. A cet égard, le gouvernement britannique a adopté une démarche susceptible d’être couronnée de succès. Si le texte proposé voit le jour, il saurait présenter de nombreux avantages concurrentiels, au regard de la réutilisation des données, des facilités promises à la recherche et de la réduction du coût lié à la conformité, tandis que le cadre européen déjà contraignant est en passe de se complexifier, avec l’adoption annoncée de plusieurs règlements.