La nouvelle stratégie de protection des données du Royaume-Uni risque de coûter plus cher qu’elle ne gagne
6 min read
Secrétaire numérique d’Oliver Dowden annonce que le Royaume-Uni ait l’intention de prendre des décisions d’adéquation indépendantes pour faciliter les transferts de données personnelles vers un certain nombre de pays ressemble, à première vue, au type de dividende du Brexit qui nous a été vendu en 2016.
Une décision d’adéquation permet le transfert gratuit de données personnelles vers le pays concerné sans garanties supplémentaires, réduisant ainsi considérablement le coût et la charge administrative du commerce et du travail transfrontaliers. Mais cette opportunité commerciale apparente pourrait ne pas être aussi attrayante qu’elle en a l’air une fois que vous creusez sous la surface.
Il y a deux problèmes – nos relations avec l’Union européenne (UE) et la protection de nos propres citoyens. Les deux sont cependant intimement liés, car ce que Dowden semble décrire comme une inertie bureaucratique ou même un esprit sanguinaire de la part des Européens est en réalité motivé par une préoccupation réelle et actuelle pour les droits des personnes concernées.
L’UE est à juste titre très préoccupée par l’utilisation croissante des données à la fois pour exploiter les consommateurs à des fins commerciales et – surtout – pour les surveiller et les contrôler au niveau gouvernemental.
Malgré les gros titres sur Les interactions troubles de Facebook avec Cambridge Analytica, et la poursuite actions antitrust contre Google, l’Oncle Sam lui-même est la véritable cible de l’inquiétude européenne.
Les révélations d’Edward Snowden ont exposé la véritable étendue de la surveillance numérique américaine, en particulier des non-citoyens, et la Arrêt Schrems II en juillet dernier – qui a mis fin à l’accord d’adéquation UE-États-Unis – était fondée sur la position selon laquelle ces pratiques violaient la Charte des droits fondamentaux.
Le problème, soyons clairs, n’est pas la surveillance elle-même. Diverses parties du règlement général sur la protection des données (RGPD) prévoient à la fois la surveillance et d’autres suppressions de la vie privée à des fins de sécurité et de prévention de la criminalité, à condition que celles-ci puissent s’avérer nécessaires, compatibles avec une société démocratique et soumises à un contrôle. et recours juridique pour la personne concernée.
C’est ce dernier point qui a fait passer le Privacy Shield, le système américain d’adéquation, sous la ligne de flottaison. Les cibles étrangères de la surveillance américaine n’ont aucun droit en vertu de la loi américaine ; ils ne peuvent pas faire appel, ni poursuivre, ni même souvent se faire dire qu’ils ont été ciblés.
L’UE n’est pas non plus convaincue que la Cour de surveillance des renseignements étrangers des États-Unis, qui est censée superviser la collecte de renseignements sur des sujets étrangers, exerce en réalité un contrôle effectif.
Pourquoi le Royaume-Uni devrait-il se soucier de ce que pense l’UE ? Parce que notre propre commerce numérique avec lui – notre plus grand partenaire commercial, à environ 90 milliards de livres sterling par an – dépend du maintien de notre propre décision d’adéquation.
Ratifié seulement fin juin, il est particulièrement fragile, étant déjà soumis à des restrictions et faisant l’objet d’un examen continu, ainsi que d’avoir une date d’expiration fixe de quatre ans.
Les députés européens ont déjà exprimé leur inquiétude quant au fait que le Royaume-Uni pourrait devenir un canal pour les transferts ultérieurs de données de l’UE vers des pays tiers. Perdre l’adéquation coûterait au Royaume-Uni bien plus que ce que nous avons à gagner de la politique proposée de « libérer le pouvoir des données ».
La liste des nouveaux pays d’adéquation les plus prioritaires du Royaume-Uni ? Les États-Unis – en opposition directe avec la position actuelle de l’UE ; le Centre financier international de Dubaï (DIFC) – une enclave d’entreprise au sein d’une monarchie absolue, et qui n’a introduit une loi sur la protection de la vie privée qu’en octobre dernier ; Singapour – qui, tout en ayant des contrôles efficaces de la vie privée dans le secteur privé, n’a pas une telle gouvernance de la surveillance de l’État et n’est l’idée de personne d’une démocratie libérale ; Australie – rejetée pour adéquation par l’UE en 2001 et de plus en plus autoritaire en ce qui concerne les données ; Colombie – en assez bonne forme en dehors des problèmes liés à ses propres règles de transmission, mais à peine un marché géant à environ 120 millions de livres sterling par an ; et la Corée du Sud – qui vient de se voir accorder l’adéquation par l’UE, donc tout ce que le Royaume-Uni aurait à faire est de refléter la liste de l’UE comme le font déjà de nombreux autres pays.
Fait intéressant, le Le propre manuel du Royaume-Uni sur l’adéquation contient bon nombre des mêmes exigences que l’article 45 de l’UE du RGPD, et il est assez difficile de voir comment les États-Unis, le DIFC ou Singapour se qualifieraient.
La mise en parallèle avec l’intention avouée d’accélérer les décisions d’adéquation met en lumière la position du Royaume-Uni sur la protection des données.
Alors que la ligne officielle reste que les droits des citoyens britanniques seront protégés et que le pays restera aligné sur les règles de l’UE, le récit de la fin du « cochage des cases » et le « mandat clair d’adopter une approche équilibrée qui favorise davantage l’innovation et la croissance économique » suggère que le mémoire pour le nouveau commissaire à l’information, John Edwards, est de permettre une plus grande monétisation des données des citoyens plutôt que de faire reculer les excès existants des entreprises technologiques géantes.
Avec Google, Amazon et Facebook ayant tous récemment reçu des amendes record de la part des régulateurs européens, une approche favorable aux grandes entreprises qui traite les données personnelles comme une monnaie – comme Iain Duncan Smith et d’autres conseillers l’ont épousé dans le Rapport TIGRR – ne ressemble pas beaucoup à marcher au pas de l’UE.
La protection des données n’est pas une case à cocher. C’est le travail vital de protéger les individus contre la surveillance et l’exploitation intrusives par les entreprises et l’État, et d’équilibrer le droit à la vie privée avec les intérêts de la croissance économique et de la sécurité nationale.
Notre propres recherches chez Securys montre clairement que les citoyens britanniques et européens se soucient et agissent pour protéger leur vie privée et leurs données. Le gouvernement britannique risque plus que le commerce européen s’il ignore ces préoccupations.
Ben Rapp est co-fondateur du cabinet de conseil en confidentialité et sécurité Securys. Il s’exprimera lors du sommet Yes We Trust le 7 octobre aux côtés de Vivienne Artz, responsable sortante de la protection de la vie privée à la Bourse de Londres et finaliste pour le poste de commissaire à l’information britannique. Rejoignez-les pour en savoir plus sur la façon dont la conformité et le commerce peuvent fonctionner ensemble au profit des entreprises et des personnes concernées. Vous pouvez vous inscrire gratuitement sur https://yeswetrust.com.
