Le gouvernement britannique a annoncé récemment qu’il assouplirait les règles de protection des données à caractère personnel afin d’établir un nouveau cadre réglementaire plus favorable aux entreprises, et de les libérer de lourdeurs bureaucratiques inutiles. Son intention affichée est de conserver les meilleurs éléments du RGPD tout en abandonnant certaines limitations et obligations de reporting pour les entreprises. Emmanuel Ronco, Associé, et Killian Lefèvre, Avocat à la Cour, chez Eversheds Sutherland livrent leur analyse de cette évolution.

Question : quel est l’objectif affiché par le gouvernement britannique ?
Réponse de Eversheds Sutherland : l’ambition affichée du projet de loi présenté par le gouvernement britannique, le “Data Protection and Digital Information Bill” ou DPDI, est d’apporter aux organisations plus de clarté et de souplesse dans l’utilisation des données à caractère personnel et de donner davantage confiance aux utilisateurs dans le partage des informations qui les concernent.

Quels sont les allégements pour les entreprises ?
Des éclaircissements sont apportés par le projet de loi qui sont susceptibles de permettre aux entreprises de s’affranchir de certaines barrières. Il s’agit notamment du recours à certaines bases légales comme l’intérêt légitime de l’entreprise. Cette base légale exige la mise en balance de l’intérêt légitime de l’entreprise avec les droits et les intérêts des personnes concernées. Le projet de loi donne des exemples non-exhaustifs de traitements pouvant être considérés comme nécessaires à la réalisation de l’intérêt légitime d’un responsable du traitement tels que le marketing direct, l’échange intra-groupe et les traitements garantissant la sécurité des réseaux et des systèmes d’information.
Pour ce qui est des obligations des entreprises, certaines seront assorties de nouvelles exceptions comme la possibilité de refuser de traiter une demande d’accès aux données personnelles si celle-ci est vexatoire ou excessive, alors que d’autres ne concerneront plus toutes les entreprises. Seules les organisations qui effectuent des traitements susceptibles d’entraîner « un risque élevé pour les droits et libertés des personnes concernées » seront concernées par l’obligation de tenir un registre des traitements.

Pourquoi mettre en place un assouplissement des règles du RGPD ?
L’objectif principal du texte est de profiter du Brexit pour s’écarter de règles considérées comme trop contraignantes afin de stimuler l’économie en permettant aux entreprises d’être plus confiantes quand elles traitent des données à caractère personnel et de faire preuve de plus d’innovation en la matière. Le nouveau cadre a ainsi vocation à donner aux entreprises une plus grande sécurité juridique pour entreprendre et créer, notamment dans le développement de nouvelles technologies telles que l’Intelligence Artificielle, tout en maintenant un niveau de protection des données conforme aux standards internationaux les plus élevés.

Est-ce que cela aura un impact en Europe et en France ?
L’impact en Europe et en France serait limité dans la mesure où le RGPD s’appliquera toujours aux entreprises concernées et demeurera le cadre commun à toute l’Espace Economique Européen.

Cet assouplissement pourrait-il donner des idées à l’UE sur sa propre règlementation ?
Des clarifications ou des simplifications du cadre juridique existant sont toujours les bienvenues. La réforme britannique en offre un exemple grandeur nature et peut être une source d’inspiration. Il incombera aux Européens de suivre de près la manière dont ces réformes seront exprimées dans la future loi au Royaume-Uni, la manière dont les entreprises en tirent profit et si les intérêts des personnes physiques n’en sont pas impactés. Si cela était le cas, cela pourrait remettre en question la décision d’adéquation de la Commission Européenne dont bénéficie le Royaume-Uni pour permettre aux données à caractère personnel de circuler entre l’Union européenne et le Royaume-Uni. Cette décision d’adéquation pourrait être contestée devant la Cour de Justice de l’Union Européenne ou lors de la revue de cette décision qui doit avoir lieu en juin 2025.

Lire l’article complet sur : www.larevuedudigital.com