Les modifications proposées en matière de protection des données constituent-elles une menace pour la vie privée des citoyens britanniques ?
7 min read
Propositions du gouvernement libéraliser le régime britannique de protection des données à l’appui d’une innovation, d’une recherche et d’une croissance économique accrues, parallèlement à l’élargissement du mandat détenu par le bureau du commissaire à l’information (ICO) pour soutenir ces objectifs, ont suscité des discussions entre les experts en confidentialité des données et en infosec, certains craignant que le gouvernement de Boris Johnson entende vider le Règlement général sur la protection des données (RGPD) et ouvrez la porte à une saisie imparable de données personnelles et privées.
Westminster a déclaré son intention d’apporter des modifications à la réglementation des données dans une annonce majeure le 26 août 2021, dans laquelle il a également détaillé un rôle accru pour le nouveau commissaire à l’information et prévoit de conclure des accords d’adéquation des données avec un certain nombre de pays que le gouvernement cible comme foyer du commerce britannique, maintenant qu’il a réussi à couper le Royaume-Uni de ses partenaires européens.
Le secrétaire au numérique, Oliver Dowden, a parlé des changements encore nébuleux, les décrivant dans des entretiens avec les médias nationaux comme un moyen de mettre fin à certains des mécanismes de consentement qui ont été au cœur du fonctionnement du RGPD, tels que la coche de consentement des cookies contextuels. boîtes, un problème qui jouera bien pour l’électeur moyen.
Mais les experts en confidentialité des données avertissent déjà que le gouvernement se prépare à des problèmes à plus d’un titre. Certains soutiennent que l’ambition du gouvernement de créer plus de libertés sur la façon dont les organisations peuvent utiliser les données, tout en conservant la capacité des citoyens à contrôler leurs données et à prendre des décisions à ce sujet, ne sera pas une question facile.
Mishcon de Reya Adam Rose, partenaire de la protection des données, a soulevé ce problème en déclarant : « La quadrature du cercle consistant à donner aux citoyens et aux consommateurs plus de contrôle sur la manière dont leurs données sont utilisées, tout en donnant aux entreprises et au gouvernement une plus grande liberté d’utilisation de ces données, sera le gros challenge.”
Chris Waynforth, d’Imperva vice-président de zone pour l’Europe du Nord, a également exprimé sa préoccupation. « Le RGPD a été introduit pour protéger les droits et la vie privée des citoyens, en aidant à protéger les données, et bien qu’il y ait certainement toujours des améliorations qui peuvent être apportées, le gouvernement devra veiller à ce que ces droits durement acquis ne soient pas dilués lors des modifications », il a dit.
« Il devient déjà de plus en plus difficile de garantir la sécurité des données. Selon Imperva Research Labs, le nombre de violations de données augmente de 30 % par an et le nombre d’enregistrements compromis augmente de façon exponentielle. Dans le même temps, 15 % des violations se produisent encore parce que des données sensibles sont laissées à la disposition du public. À moins que les changements ne prennent en compte ces risques et que les organisations prennent des mesures pour protéger les données de plus en plus vulnérables, nous pourrions toujours constater que les dommages à la confidentialité et à la sécurité l’emportent sur les avantages.
Cours de collision
De plus, le Royaume-Uni n’ayant que récemment conclu un accord sur l’adéquation des données avec ses anciens partenaires de l’Union européenne (UE) fin juin, toute modification proposée de la façon dont le Royaume-Uni réglemente les données fera sourciller à Bruxelles, étant donné que le Royaume-Uni plusieurs tentatives pour modifier unilatéralement certaines parties de l’accord sur le Brexit qu’il a négocié et signé.
Et vous pouvez être assuré que l’UE volonté regarder la consultation comme un faucon, avec un groupe d’avocats prêts à passer à l’action si nécessaire.
Lors des négociations avec le Royaume-Uni, les membres du Parlement européen (MPE) ont fait pression sur la Commission européenne (CE) pour qu’elle adopte une ligne encore plus stricte concernant les exemptions de la réglementation britannique sur la protection des données dans certains domaines, tels que la sécurité nationale et l’immigration. Lorsque l’accord sur l’adéquation des données a été signé, la vice-présidente de la CE pour les valeurs et la transparence, Věra Jourová, a déclaré : « Nous parlons d’un droit fondamental des citoyens de l’UE que nous avons le devoir de protéger. C’est pourquoi nous avons des garanties importantes, et si quelque chose change du côté britannique, nous interviendrons. »
Rose de Mishcon de Reya a déclaré: “À peine quelques mois après que la CE a accordé au Royaume-Uni une décision d’adéquation par rapport à son régime de protection des données post-Brexit – sur la base que la loi britannique était essentiellement équivalente au régime RGPD de l’UE – aujourd’hui les annonces placent le Royaume-Uni sur une trajectoire de collision avec l’UE, mais aussi plus largement avec les organisations de la société civile, avec la probabilité de graves litiges nationaux en matière de données à l’avenir. »
Greg Palmer, avocat à LinklatersTMT/IP practice, a déclaré: «En explorant sa nouvelle indépendance réglementaire, le gouvernement britannique sera conscient de la tension entre les accords d’adéquation qu’il conclut et son propre statut d’adéquation avec l’UE. S’il va trop loin en permettant aux données de circuler trop largement ou trop librement, il risque de revoir son statut d’adéquation avec l’UE. »
Avocats JMW‘ David Smith a ajouté : « Tout éloignement du RGPD est susceptible d’avoir un impact négatif sur toute entreprise qui cherche à commercer avec des consommateurs en dehors du Royaume-Uni. S’ils cherchent à commercer avec des consommateurs de l’UE, ils devront de toute façon se conformer au RGPD de l’UE comme condition de commerce avec eux.
« S’ils commercent avec des consommateurs en Californie, en Chine ou dans le nombre toujours croissant d’autres pays qui ont mis en place des régimes de protection des données similaires au RGPD, ils devront alors s’y conformer. En pratique, cela signifie que la plupart des entreprises continueront de se conformer au RGPD, ou à quelque chose de très similaire, même si le gouvernement assouplit le régime britannique en raison d’un désir de commercer en dehors du Royaume-Uni, ce que le gouvernement souhaite vivement les affaires devraient faire.
«Certes, le gouvernement devrait examiner de près les orientations qui soutiennent le RGPD pour s’assurer qu’il offre des options pratiques pour les entreprises et qu’il pourrait certainement travailler à des décisions d’adéquation avec différents pays, ce à quoi l’UE n’a pas été très bonne. Cependant, saper les principes fondamentaux du RGPD est probablement plus un coup de publicité qu’une mesure pratique axée sur les affaires. »
Des raisons d’être joyeux ?
Cependant, Palmer de Linklaters a déclaré qu’il y avait des signes clairs que beaucoup – ceux qui considèrent les restrictions actuelles sur l’exportation de données comme « trop lourdes et un obstacle au commerce » – seraient satisfaits des propositions, et il pourrait y avoir d’autres raisons d’être joyeux.
“C’est également une opportunité importante pour le Royaume-Uni de montrer qu’il peut continuer à protéger les données tout en créant un environnement favorable aux entreprises, en particulier pour les PME”, a-t-il déclaré.
Palmer a déclaré que l’ajout de l’ancien régulateur néo-zélandais de la protection des données John Edwards – Edwards est le candidat préféré pour succéder à Elizabeth Denham sortante en tant que nouvelle commissaire britannique à l’information – pourrait être une bonne décision de la part du gouvernement.
“Il [Edwards] est à la tête du régulateur néo-zélandais de la protection des données depuis plus de sept ans », a-t-il déclaré. “Cela l’aura obligé à surveiller de près le statut d’adéquation de la Nouvelle-Zélande avec l’UE et la façon dont l’UE considère deux lois différentes comme offrant une protection des données essentiellement équivalente.”
Eduardo Ustaran, qui co-dirige la pratique mondiale de confidentialité et de cybersécurité chez Hogan Lovells, était également optimiste. Il a déclaré que les plans démontraient qu’il pouvait être possible de s’écarter de la législation de l’UE sur la protection des données tout en conservant le RGPD en tant que cadre réglementaire efficace.
“Ce que cela signifie dans la pratique, c’est que la manière dont les flux de données internationaux sont abordés n’est pas identique à la façon dont les mêmes flux de données sont traités dans l’UE, mais cela ne signifie pas nécessairement que la protection va disparaître”, a-t-il déclaré. . « Il ne s’agit pas de supprimer le cadre GDPR, mais de l’adapter pour le rendre aussi progressif et efficace que possible.
« Par exemple, le modèle de notification et de consentement n’est pas adapté à la réglementation des cookies et autres moyens technologiques sophistiqués pour collecter des données sur nos interactions électroniques. Le Royaume-Uni le sait et l’UE le sait.
Ustaran a ajouté : « Il semble que le Royaume-Uni prenne l’initiative de trouver un moyen alternatif et plus efficace de protéger la confidentialité en ligne tout en nous permettant d’utiliser Internet sans trop de frictions. Ce n’est pas une tâche facile et nécessitera une politique réglementaire qui soit conviviale pour la technologie mais robuste pour appliquer la protection des données dès la conception et par défaut. »
Une consultation sur les propositions débutera plus tard en 2021.
