Pour gérer vos consentements :

La réforme du RGPD se précise au Royaume-Uni

Cette fois-ci, c’est la bonne ? Le 8 mars, le gouvernement britannique a réintroduit au Parlement son Data Protection and Digital Information Bill. Un texte  destiné à « assouplir » le cadre établi avec le RGPD.

Voilà plusieurs années que Londres laisse planer la perspective d’une réforme. Une première version du projet de loi avait été introduite en juillet 2022. Son examen avait finalement été mis « en pause » avant même de démarrer.

Il en résulte aujourd’hui, au dire du Gouvernement, « une version britannique du RGPD guidée par le bon sens ». Et censée faciliter autant la vie des entreprises que celle des personnes dont on traite les données. En filigrane, la promesse d’économiser, à l’échelle nationale, environ 5 M£ sur dix ans…

Parmi les sujets que l’administration Sunak entend clarifier figure l’exploitation de données à des fins de recherche scientifique. Sa promesse : donner aux entreprises commerciales les mêmes possibilités que le monde académique. Certains disciplines, à l’image de la généalogie et de la statistique, font l’objet de précisions en parallèle.

Entre autres mesures conçues pour « réduire la paperasse », on aura relevé la suivante. Ne devront conserver de registre que les organisations dont les traitements sont susceptibles de poser des risques importants pour les droits et libertés des personnes. Dans la même veine, le projet de loi limite les obligations de consultation de la CNIL britannique.

L’UE validera-t-elle le futur « RGPD britannique » ?

Les prises de décisions automatisées sont un autre « gros sujet ». La réforme envisagée vise large, à commencer par une révision terminologique, sur des notions telles que celle d’« impact significatif ». Elle implique aussi certaines prérogatives pour le ministre d’État. Par exemple, déterminer que des décisions peuvent légalement être prises sans décision humaine.

Telle que la projette Londres, la future législation élargirait la notion d’« intérêt légitime » dans le cadre de traitements de type marketing direct, transfert intragroupe et sécurité des SI. Elle clarifierait aussi l’étendue du droit, pour les responsables de traitement, de refuser ou de facturer les requêtes « excessives » des personnes concernées. Tout en renforçant l’exemption au droit d’information de ces dernières au nom de la confidentialité des communications (ou du « privilège professionnel », en Écosse).

En toile de fond, un enjeu : rester dans les clous de ce qu’exige l’Union européenne. Aux dernières nouvelles, celle-ci considère que le Royaume-Uni garantit un niveau de protection « substantiellement équivalent » à celui qu’offrent ses États membres. Cela se manifeste par une « décision d’adéquation » sous le couvert de laquelle des transferts de données peuvent s’effectuer entre les deux zones. La décision est valable jusqu’au 27 juin 2025… et soumise à des contrôles périodiques.

Photo d’illustration ©

Recent Posts

Science & Vie lance son Incubateur

Avis aux ingénieurs, inventeurs, startuppeurs...Lancé en partenariat avec l’INPI, l’accélérateur de startup 50partners, et les…

7 heures ago

À quoi s’attendre avec les PC Copilot+ ?

Les premiers « PC Copilot+ » arrivent sur le marché en juin. Tour d'horizon des…

8 heures ago

Slack défend sa politique d’exploitation de données

Attaqué sur son usage des données des clients pour l'entraînement d'IA, Slack tente de justifier…

15 heures ago

Ce qui change avec la version 2024 du référentiel d’écoconception de services numériques

Un an et demi après sa publication initiale, le RGESN est mis à jour. Tour…

1 jour ago

Microsoft x Mistral AI : l’Autorité britannique de la concurrence renonce à enquêter

Le régulateur britannique de la concurrence renonce à une enquête approfondie sur le partenariat de…

1 jour ago

MFA obligatoire sur Azure : ce que prépare Microsoft

À partir de juillet 2024, Microsoft imposera progressivement le MFA pour certains utilisateurs d'Azure. Aperçu…

2 jours ago