La réforme du RGPD se précise au Royaume-Uni

Un nouveau projet de loi destiné à réformer le cadre établi par le RGPD a été introduit au parlement britannique.

Cette fois-ci, c’est la bonne ? Le 8 mars, le gouvernement britannique a réintroduit au Parlement son Data Protection and Digital Information Bill. Un texte destiné à « assouplir » le cadre établi avec le RGPD.

Voilà plusieurs années que Londres laisse planer la perspective d’une réforme. Une première version du projet de loi avait été introduite en juillet 2022. Son examen avait finalement été mis « en pause » avant même de démarrer.

Il en résulte aujourd’hui, au dire du Gouvernement, « une version britannique du RGPD guidée par le bon sens ». Et censée faciliter autant la vie des entreprises que celle des personnes dont on traite les données. En filigrane, la promesse d’économiser, à l’échelle nationale, environ 5 M£ sur dix ans…

Parmi les sujets que l’administration Sunak entend clarifier figure l’exploitation de données à des fins de recherche scientifique. Sa promesse : donner aux entreprises commerciales les mêmes possibilités que le monde académique. Certains disciplines, à l’image de la généalogie et de la statistique, font l’objet de précisions en parallèle.

Entre autres mesures conçues pour « réduire la paperasse », on aura relevé la suivante. Ne devront conserver de registre que les organisations dont les traitements sont susceptibles de poser des risques importants pour les droits et libertés des personnes. Dans la même veine, le projet de loi limite les obligations de consultation de la CNIL britannique.

L’UE validera-t-elle le futur « RGPD britannique » ?

Les prises de décisions automatisées sont un autre « gros sujet ». La réforme envisagée vise large, à commencer par une révision terminologique, sur des notions telles que celle d’« impact significatif ». Elle implique aussi certaines prérogatives pour le ministre d’État. Par exemple, déterminer que des décisions peuvent légalement être prises sans décision humaine.

Telle que la projette Londres, la future législation élargirait la notion d’« intérêt légitime » dans le cadre de traitements de type marketing direct, transfert intragroupe et sécurité des SI. Elle clarifierait aussi l’étendue du droit, pour les responsables de traitement, de refuser ou de facturer les requêtes « excessives » des personnes concernées. Tout en renforçant l’exemption au droit d’information de ces dernières au nom de la confidentialité des communications (ou du « privilège professionnel », en Écosse).

En toile de fond, un enjeu : rester dans les clous de ce qu’exige l’Union européenne. Aux dernières nouvelles, celle-ci considère que le Royaume-Uni garantit un niveau de protection « substantiellement équivalent » à celui qu’offrent ses États membres. Cela se manifeste par une « décision d’adéquation » sous le couvert de laquelle des transferts de données peuvent s’effectuer entre les deux zones. La décision est valable jusqu’au 27 juin 2025… et soumise à des contrôles périodiques.

Lire aussi : RGPD : la CNIL face aux spécificités des IA