RGPD : les 27 disent oui au Royaume-Uni

Quels pays proposent un niveau approprié de protection des données personnelles ? À l’heure actuelle, la liste officielle de l’Union européenne en compte neuf (Andorre, Argentine, Canada, îles Féroé, Israël, Japon, Nouvelle-Zélande, Suisse, Uruguay) auxquels s’ajoutent trois territoires britanniques (Guernesey, Jersey et l’île de Man). Chacun fait l’objet d’une « décision d’adéquation » qui autorise les transferts entre lui et les États membres de l’UE (ainsi que l’Islande, le Liechtenstein et la Norvège).

En février, la Commission européenne avait engagé des travaux* visant à intégrer le Royaume-Uni post-Brexit. La démarche a abouti cette semaine avec un vote unanime des 27.

Le RGPD en instance de réforme outre-Manche

En l’état, cette décision se justifie, le cadre juridique du Royaume-Uni étant dans la ligne directe du RGPD. Mais les choses resteront-elles ainsi ? Le jour même du vote des 27, Londres publiait un rapport signé d’un groupe de travail gouvernemental « innovation, croissance et réforme réglementaire ». L’une des mesures qui y figurent s’intitule : « Remplacer le RGPD ».

Il ne s’agirait pas de repartir d’une feuille blanche. L’idée est d’aller vers un cadre dont on respecterait l’esprit plus que la lettre, pour reprendre les termes employés. Parmi les concepts en réflexion, celui de la « fiduciaire de données », un organisme qui gérerait les consentements des utilisateurs finaux.

Le rapport préconise par ailleurs de retirer les dispositions issues de l’article 22 du RGPD. Celui-ci exclut, de manière générale, les décisions fondées exclusivement sur des traitements automatisés et qui affecteraient des individus « de manière significative ». Alternative suggérée : évaluer la légitimité de ces traitements en tenant compte de la notion d’intérêt public.

* Ce 16 juin, l’UE a amorcé la même procédure avec la Corée du Sud.

Illustration principale © artjazz – Shutterstock