Traduction de l’article en anglais de David Naylor and Malcolm Dowden dans “Privacy World” The UK’s New Data Protection Bill: Common Sense Reform or Significant Divergence?

Le 8 mars 2023, le gouvernement britannique a présenté la deuxième version de son projet de loi « sur la protection des données personnelles et l’information numérique »,  en anglais  « Data Protection and Digital Information (No 2) Bill » (le « Projet de loi ») comme étant une « nouvelle version du RGPD de l’UE, fondée sur le bon sens » qui permettrait à l’économie britannique d’économiser plus de 4 milliards de livres sterling au cours des 10 prochaines années et de garantir la protection de la vie privée et des données personnelles en toute sécurité.

Cependant, malgré les déclarations optimistes du gouvernement, le Projet de loi a accru l’inquiétude quant au risque que la divergence entre la législation du Royaume-Uni et le Règlement Général sur la Protection des données (« RGPD ») de l’UE mette en péril la décision d’adéquation concernant le Royaume-Uni, et que les économies qui pourraient être réalisées par les entreprises opérant uniquement au Royaume-Uni soient largement compensées par les coûts supplémentaires et la complexité auxquels seraient confrontées les entreprises opérant à l’échelle internationale.

La décision d’adéquation de l’UE en faveur du Royaume-Uni permet la libre circulation des données personnelles entre le Royaume-Uni et l’UE, ou plutôt l’Espace Economique Européen (« EEE » : l’UE et trois autres pays). Toutefois, cette décision d’adéquation comporte une « clause de caducité » limitant sa durée à quatre ans à compter du 28 juin 2021, le renouvellement n’étant possible que si le Royaume-Uni continue d’assurer un niveau adéquat de protection des données personnelles. La décision d’adéquation est également sujette à réévaluation avant 2025 en cas de changement important dans la législation britannique sur la protection des données personnelles. Par conséquent, le Projet de loi sera examiné de près par la Commission européenne, avec la possibilité que toute divergence majeure puisse entraîner pour le Royaume-Uni la perte immédiate du statut de pays « adéquat ».

Dans un discours prononcé en mai 2022 à Bruxelles, John Edwards, qui dirige en qualité de UK Information Commissioner l’autorité de contrôle du Royaume-Uni,  l’ ICO , avait tenu à minimiser le risque de divergence susceptible de découler de la version initiale (en juillet 2022) du projet de loi  : « Je vous encourage vivement à voir au-delà de toute rhétorique politique et à évaluer le projet de loi en fonction d’un critère de risque pour les intérêts de l’UE, et je suis sûr que vous constaterez alors qu’il tient la route »[1].

Une divergence limitée ?

Il est certain que le Projet de loi s’écarte ou dilue certains aspects du RGPD. La question clé est de savoir si le niveau de divergence qui en résulte serait considéré comme excessif par la Commission européenne. Sur de nombreux points, l’appel du UK Information Commissioner à regarder au-delà de la rhétorique politique et à reconnaître l’effet limité des changements proposés semble assez juste.

A titre d’exemple :

  • Le Projet de loi supprimerait la nécessité pour les organismes étrangers, sans établissement au Royaume-Uni, de nommer un représentant au titre de l’article 27. Ils devraient toutefois toujours veiller à ce qu’il y ait un point de contact et un moyen pour les autorités d’adresser des mesures coercitives pour le respect des obligations découlant du RGPD britannique ;
  • Le Projet de loi supprimerait pour de nombreuses organisations n’effectuant pas de traitement à haut risque, l’obligation de créer et de mettre à jour des registres des activités de traitement.  Mais cela ne les dispenserait pas de l’obligation de veiller à ce que les données personnelles soient traitées de manière licite, loyale et transparente.  De plus, toute organisation décidant de se dispenser de registre risquerait en pratique de compromettre sa capacité à répondre aux demandes d’accès des personnes concernées ou à comprendre et à atténuer l’impact de toute violation des données personnelles ou cyber-attaque ;
  • Le Projet de loi remplacerait la fonction de Délégué à la Protection des Données (« DPD » ou « DPO » en anglais) par l’obligation de nommer un « haut responsable » (« Senior Responsible Individual »). L’exigence que cette personne soit un cadre ne semble pas compatible avec l’indépendance dont doit pouvoir bénéficier un DPO. Cependant le texte prévoit que le haut responsable serait tenu de refuser de prendre part à une décision en cas de conflit d’intérêts.

Des divergences importantes ?

Si bon nombre des réformes dites de « bon sens » peuvent être considérées comme modérées et peu susceptibles de menacer la décision d’adéquation du Royaume-Uni, certains points suscitent néanmoins des inquiétudes.

Il s’agit notamment de :

  • La possibilité d’un accroissement significatif des prises de décisions individuelles automatisées par des organisations du secteur privé. Cela découle de la proposition d’ajouter l’« intérêt légitime du responsable de traitement ou d’un tiers » comme base légale (selon l’article 6, paragraphe 1, point f), pour légitimer la prise de décision individuelle automatisée. Le Projet de loi contient également des dispositions suggérant que la question de savoir si une décision a été prise avec une « participation humaine significative » (et donc, non exclusivement automatisée), peut dépendre de celle de savoir si la décision a été prise au moyen d’un profilage. Cela semble donner une marge de manœuvre considérable aux systèmes basés sur le profilage, mais configurés pour produire des recommandations plutôt que des décisions à proprement parler. La Commission européenne pourrait considérer préoccupant cette conception plus limitée de « participation humaine significative » ;
  • La proposition de suppression de l’autorité de contrôle, à savoir l’« Information Commissioner’s Office » (« ICO »),  et son remplacement par une nouvelle autorité, l’ « Information Commission » (« IC »). Les processus de nomination proposés, avec la nomination directe des membres du conseil et le rôle du secrétaire d’État qui recommanderait le président, ainsi que les pouvoirs du secrétaire d’État dans l’approbation des codes de conduites de l’IC, mènent à se demander si le niveau d’indépendance de l’IC sera suffisant pour répondre aux exigences de l’UE en matière d’autorités de contrôle véritablement indépendantes.

Une bonne nouvelle ?

Le Projet de loi comporte certains éléments susceptibles d’être bien accueillis par les entreprises.

Il s’agit notamment  :

  • d’une définition actualisée et élargie de la « recherche scientifique », qui faciliterait le traitement (et le traitement ultérieur) des données personnelles à des fins de recherche et de développement, qu’elle soit financée par des fonds publics ou privés, et qu’elle soit menée dans le cadre d’une activité commerciale ou non commerciale. Cette définition plus large vise à promouvoir le Royaume-Uni en tant que centre d’innovation ; et
  • d’une disposition selon laquelle les organisations pourront continuer à utiliser les mécanismes internationaux de transfert de données personnelles existant avant cette réforme, ce qui permet aux entreprises internationales d’utiliser des mécanismes tels que les Clauses Contractuelles Types de l’UE et l’Addendum britannique.

Le diable est dans les détails

Si l’on considère le seul Projet de loi, l’exhortation du UK Information Commissioner en mai 2022 à dépasser la rhétorique politique pour reconnaitre que la réforme n’a qu’une portée limitée semble assez raisonnable. Toutefois, le fait même qu’un projet de loi ait été présenté déclenchera, à lui seul, un examen minutieux de la part de l’UE et accélérera la réévaluation du statut du Royaume-Uni en tant que pays adéquat.

Il est peu probable que cet examen se limite à la rhétorique politique relative au Projet de loi ou même à son contenu détaillé. La rhétorique politique plus générale du gouvernement britannique et ses activités législatives pourraient également alimenter les inquiétudes de l’UE.

Le premier considérant du RGPD stipule que la protection des données personnelles est un droit fondamental, protégé par l’article 8 de la Convention européenne des droits de l’homme (« CEDH »).  Toute décision du gouvernement britannique de se dissocier de la CEDH ou de s’en retirer officiellement jetterait un doute sérieux sur le fondement et la fiabilité de la protection des données personnelles au Royaume-Uni. Ces inquiétudes seraient exacerbées si le Royaume-Uni se retirait d’autres instruments internationaux pertinents, tels que la « Convention 108+ » du Conseil de l’Europe sur la protection des données personnelles.

Aussi improbable qu’un tel isolationnisme ait pu paraître, le Projet de loi a été présenté un jour seulement après que le ministre britannique de l’intérieur a été contraint de déclarer que le gouvernement souhaitait poursuivre son projet de loi sur l’immigration illégale (« Illegal Migration Bill »), même s’il n’était pas compatible avec les droits garantis par la CEDH. La détermination du gouvernement britannique à ignorer ou à passer outre la CEDH n’est pas de nature à rassurer la Commission européenne lorsqu’elle examinera la possibilité de confirmer le statut du Royaume-Uni en tant que pays assurant une protection adéquate des droits et libertés fondamentaux des personnes concernées, tels qu’ancrés dans la CEDH.


[1] I urge you to look beyond any political rhetoric, and stress test the proposal against a criteria of risk to EU interests, and I am sure when you do so you will find it holds up