Le gouvernement britannique a envoyé un premier signal de son intention de voir les lois britanniques sur la protection des données se séparer du règlement général sur la protection des données de l’UE. Dans un billet du Financial Times la semaine dernière, le secrétaire d'État au Numérique, à la Culture, aux Médias et au Sport, Oliver Dowden, a déclaré qu’il utiliserait la nomination d’un nouveau commissaire à l’information pour se concentrer non seulement sur la vie privée, mais aussi sur l’utilisation des données à des « objectifs économiques et sociaux ».
Dans le cadre de l’accord de commerce et de coopération conclu le 24 décembre 2020, le Royaume-Uni et l’Union européenne sont convenus que le règlement européen pour la protection des données personnelles (RGPD) restera applicable de manière transitoire au Royaume-Uni pour une durée supplémentaire maximale de 6 mois à compter de janvier 2021. En conséquence, jusqu’au 1er juillet 2021 toute communication de données personnelles vers le Royaume-Uni continuera de se faire dans le cadre actuel et ne sera pas considérée comme un transfert de données vers un pays tiers.
Si les six mois expirent sans décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni, cela ne veut pas dire qu’il ne sera plus possible d’envoyer ces informations outre-Manche. Ce sera possible, mais dans le cadre d’un protocole spécifique aux pays tiers, à condition que Londres ait prévu des garanties appropriées, prévues dans le RGPD.
En effet, à l’issue de cette période de 6 mois et à défaut d’une décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni dite « décision d’adéquation », toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers. De tels transferts ne pourront s’effectuer qu’avec la mise en place de garanties appropriées, telles que prévues par le RGPD (ex. : clauses contractuelles types, règles contraignantes d’entreprise, etc.) et à la condition que les Européens disposent de droits opposables et de voies de droit effectives, conformément à l’article 46 du RGPD.
Néanmoins, le Royaume-Uni est déjà préparé à l’après RGPD, car il y existe déjà des dispositifs de protection de données personnelles : le Data Protection Act ainsi que le Privacy and electronic communication regulations. Ces lois britanniques reprennent point par point le RGPD, à quelques différences près concernant les données des administrations.
L'actuelle commissaire à l'information, Elizabeth Denham, doit quitter son poste en octobre. Le secrétaire d'État au Numérique, à la Culture, aux Médias et au Sport, Oliver Dowden, a déclaré que sous le régime, « trop d’entreprises et d’organisations hésitent à utiliser les données – soit parce qu’elles ne comprennent pas les règles, soit parce qu’elles ont peur de les enfreindre par inadvertance ». Alors que le Royaume-Uni a obtenu un projet d’accord « d’adéquation » avec Bruxelles sur les normes de données, il n’est pas obligé de copier-coller le règlement de l’UE, a-t-il rappelé.
Le Royaume-Uni a la liberté de conclure ses propres partenariats, a-t-il insisté, précisant par la suite qu'il annoncerait sous peu les pays prioritaires pour des accords sur l'adéquation des données.
Pendant ce temps, l'un des architectes du RGPD, l'eurodéputé allemand Axel Voss, a appelé la semaine dernière à mettre à jour le règlement pour prendre en compte les développements tels que la technologie blockchain, l'intelligence artificielle et le passage généralisé au travail à domicile.
Fin du « guichet unique » pour les responsables de traitement et les sous-traitants
Malgré l’accord conclu, le mécanisme de supervision et coopération réglementaire du « guichet unique » n'est plus applicable au Royaume-Uni depuis le 1er janvier 2021 et l’autorité britannique de protection des données (ICO) n’y participe donc plus.
Le guichet unique facilite les démarches pour les entreprises établies en UE, car il permet d’harmoniser les décisions concernant les traitements transfrontaliers, en s’appuyant sur une autorité chef de file, qui est l’unique interlocuteur pour les responsables de traitements et la seule autorité auprès de laquelle les différentes obligations prévues par le RGPD doivent être accomplies.
Dans ces circonstances, les responsables du traitement et les sous-traitants établis uniquement au Royaume-Uni et dont les activités de traitement sont soumises à l'application du RGPD sont tenus depuis le 1er janvier 2021 de désigner un représentant dans l’Union. Ce représentant peut être contacté par les autorités de contrôle et les personnes concernées sur toute question liée aux activités de traitement afin de garantir le respect du RGPD. En l’absence d’établissement principal sur le territoire de l’Espace économique européen (EEE), ces responsables du traitement ou sous-traitants tenus de désigner un représentant dans l’Union, ne peuvent bénéficier du mécanisme de guichet unique.
Vera Jourová, la vice-présidente de la Commission européenne chargée des valeurs et de la transparence expliquait au début de l’année 2020 : « Nous ne savons pas si le Royaume-Uni va introduire ou non, dans sa législation nationale, des changements qui pourraient s’écarter de la ligne générale du RGPD ». Le Premier ministre britannique, Boris Johnson, a lui évoqué à plusieurs reprises une réglementation moins contraignante que le RGPD.
Le Royaume-Uni fait partie des « Five Eyes », une alliance entre les services de renseignements britannique, australien, canadien, néo-zélandais et américain. Une telle position est susceptible de rendre plus complexe l’adoption d’un accord, comme c’est le cas par exemple avec la réglementation américaine. En juillet 2020, le Privacy Shield, accord avec les États-Unis sur la protection des données, a été invalidé par la Cour de justice de l’Union européenne, et un nouvel accord est en discussion.
Sans accord sur les données personnelles, d’après une étude réalisée par New Economics Foundation et l’University College London, pour les entreprises britanniques le coût pourrait s’élever à 1,8 milliard d’euros.
Source : Financial Times
Et vous ?
Que pensez-vous du RGPD ?
L'Angleterre envisage une alternative, pour ou contre ?
Voir aussi :
Bitcoin : le gendarme UK des marchés prévient les investisseurs qu'ils doivent être prêts à perdre la totalité de leur mise, son homologue français tient une liste blanche des prestataires autorisés
Les politiciens UK appellent à faire de la revente de biens achetés à l'aide d'un bot automatisé une activité illégale, les revendeurs s'enrichissant au détriment des consommateurs ordinaires
Le service UK d'insolvabilité interdit à l'ancien PDG de Cambridge Analytica Alexander Nix d'exercer les fonctions de directeur d'entreprise pendant sept ans pour comportement contraire à l'éthique
Brexit : le gouvernement UK envisage-t-il de se débarrasser du RGPD au profit de ses propres lois sur la protection des données ? Oui
Selon le secrétaire d'État au Numérique
Brexit : le gouvernement UK envisage-t-il de se débarrasser du RGPD au profit de ses propres lois sur la protection des données ? Oui
Selon le secrétaire d'État au Numérique
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !