Ce que le projet de loi sur la protection des données et l’information numérique signifie pour les entreprises

L'économie numérique du Royaume-Uni représentait une valeur estimée à 259 milliards de livres sterling en 2021, selon le gouvernement. Et cela représentait 85 % du total des exportations de services. C'est pourquoi les entreprises attendaient avec impatience l'un des textes législatifs les plus importants de l'ère post-Brexit : le projet de loi sur la protection des données et de l'information numérique (DPDI). Présentée pour la première fois à l'été 2022, puis suspendue peu de temps après pour consultation avec des experts du secteur et des chefs d'entreprise, la législation est maintenant vanté comme un moyen pour les entreprises britanniques de réduire la paperasse et les barrières commerciales sans compromettre la confidentialité et la protection des données.

Mais ses dispositions pourraient-elles réellement alourdir les formalités administratives pour les organisations à un moment où elles sont déjà surchargées de nouvelles obligations de conformité aux États-Unis ?

Qu'y a-t-il dans le projet de loi ?

Il y a beaucoup à découvrir de ce qui constitue essentiellement la tentative du Royaume-Uni de produire sa propre version du RGPD. Il s'agit d'un mélange de clarifications et d'exclusions visant à rendre la loi plus favorable aux entreprises sans affecter le statut d'adéquation du Royaume-Uni, ce qui mettrait en péril les flux de données vers et depuis l'UE.

L’un des principaux changements consiste à garantir que seules les organisations engagées dans le traitement de données « à haut risque », telles que celles qui traitent de gros volumes de données de santé, doivent conserver des enregistrements. L’objectif est de réduire la paperasse pour un grand nombre d’entreprises. Les nouvelles règles visent également à clarifier les cas où les organisations peuvent traiter des données sans exiger le consentement, par exemple lorsqu'il est daigné dans l'intérêt public de partager des données personnelles pour prévenir la criminalité.

Des précisions supplémentaires ont été apportées pour accroître la confiance dans l’IA en précisant quand des garanties doivent s’appliquer à la prise de décision automatisée ou au profilage, qui sont essentiels à de nombreux modèles économiques. Et il existe de nouvelles règles conçues pour que les organisations commerciales puissent bénéficier des mêmes protections que les universitaires lorsqu'elles mènent des recherches. Cela signifie toute recherche qui pourrait « raisonnablement être qualifiée de scientifique ». L’objectif est encore une fois de réduire les formalités administratives et les frais juridiques pour les chercheurs tout en favorisant davantage la recherche scientifique dans le secteur privé.

D'autres dérogations au RGPD incluent un nouveau cadre pour la vérification numérique facultative, une augmentation des amendes pour les appels et SMS importuns jusqu'à 4 % du chiffre d'affaires mondial ou 17.5 millions de livres sterling, et la création d'un nouveau conseil statutaire pour le régulateur, le Bureau du commissaire à l'information (ICO). ). Il existe également des propositions visant à réduire le nombre de fenêtres contextuelles de consentement que les internautes voient en ligne, ce qui signifie effectivement que les entreprises pourront utiliser des technologies de suivi sur des sites Web et des applications sans le consentement préalable de l'utilisateur final à des fins d'analyse.

Ce que promet le gouvernement

Sans surprise, le gouvernement crie sur tous les toits sur les avantages potentiels que sa nouvelle version du RGPD apportera. Il affirme que les réformes « débloqueront » 4.7 milliards de livres sterling d’économies pour les organisations britanniques au cours de la décennie à venir sans entraver les flux de données internationaux. En fait, le gouvernement affirme que les changements renforceront la confiance mondiale dans son régime réglementaire afin de stimuler encore plus le commerce international. La législation contribuera à alléger le fardeau imposé aux petites entreprises, en particulier par ce que le gouvernement décrit comme une loi européenne rigide et imposée du haut vers le bas.

Un autre thème consiste à accroître la confiance des entreprises, à la fois quant au moment où elles peuvent traiter des données personnelles sans consentement et en clarifiant les cas où des garanties doivent s'appliquer lors de l'utilisation des technologies d'IA.

La secrétaire à la Science, à l'Innovation et à la Technologie, Michelle Donelan, a tenu à souligner que le projet de loi avait été « co-conçu » avec les entreprises dès le départ.

« Notre système sera plus facile à comprendre, plus facile à respecter et nous permettra de tirer parti des nombreuses opportunités de la Grande-Bretagne post-Brexit. Nos entreprises et nos citoyens n’auront plus à s’embrouiller autour du RGPD européen basé sur les barrières », a-t-elle déclaré lors de son lancement.

"Nos nouvelles lois libèrent les entreprises britanniques des formalités administratives inutiles pour débloquer de nouvelles découvertes, faire progresser les technologies de nouvelle génération, créer des emplois et stimuler notre économie."

Le projet de loi pourrait-il accroître la bureaucratie ?

Cependant, certains craignent que, loin de supprimer les formalités administratives, la législation pourrait en réalité les alourdir pour certaines organisations. Antonis Patrikios, associé et coprésident mondial du département de confidentialité des données et de cybersécurité chez Dentons, explique que les organisations qui ne souhaitent pas modifier leur cadre de conformité RGPD existant ne sont pas obligées de le faire avec la nouvelle législation.

« Le projet de loi envisage que les organisations puissent continuer à se conformer au RGPD de l'UE si elles le souhaitent, et cela sera considéré comme répondant aux exigences de la nouvelle loi britannique sur la protection des données. Ainsi, les organisations qui ne souhaitent pas être touchées par les changements introduits par le projet de loi n’auront pas à le faire », a-t-il déclaré à ISMS.online.

Cependant, même si cela réduirait le fardeau potentiel de la conformité, en particulier pour celles qui ont des activités européennes, cela signifierait que ces organisations ne pourraient pas bénéficier des avantages tant vantés de la nouvelle législation. Ceux qui le souhaitent doivent effectivement maintenir deux cadres de conformité distincts, un pour leurs opérations dans l'UE (RGPD) et un pour le Royaume-Uni (DPDI).

Patrikios l’admet.

«Parmi les organisations qui souhaiteront se prévaloir des exigences législatives britanniques révisées (et probablement plus faciles à respecter), celles qui traitent à la fois des données personnelles britanniques et des données personnelles européennes devront réfléchir un peu plus pour déterminer dans quelle mesure elles peuvent être appliquées. sur quoi ils souhaitent s'appuyer sur la loi britannique révisée et comment ils géreront dans la pratique l'interaction entre l'application d'une norme (c'est-à-dire le RGPD de l'UE) pour leurs données de l'UE et une autre norme (c'est-à-dire la loi britannique révisée sur la protection des données) pour leurs données britanniques, " il dit.

Il existe également un point d'interrogation quant à savoir si faciliter la conformité est dans l'intérêt des organisations, en particulier si cela a des conséquences inattendues. La suppression de la nécessité pour la plupart des processeurs de données à faible risque de conserver des enregistrements est un de ces cas, selon Edward Machin, avocat principal au sein du département données, confidentialité et cybersécurité de Ropes & Gray.

"Même si personne ne va se plaindre d'une réduction de la paperasse, supprimer l'obligation pour la plupart des entreprises de tenir des inventaires de données personnelles signifie qu'elles pourraient avoir du mal à comprendre comment et où elles détiennent les données, ce qui ne profite à personne", affirme-t-il.

Comment les entreprises peuvent gérer la charge de travail supplémentaire

Toute augmentation du travail de conformité pour les organisations britanniques interviendra à un moment chargé. Cette année, il est prévu que sept États, dont le Colorado, le Connecticut, l'Utah et la Virginie, commenceront à appliquer de nouvelles lois inspirées du RGPD. La charge de travail supplémentaire menace de submerger les équipes de conformité débordées.

« En plus de la réforme de la loi britannique sur la protection des données et des processus de réforme de la loi sur la vie privée aux États-Unis, il existe de nouvelles lois sur la vie privée et/ou des orientations et des pratiques évolutives sur des marchés importants tels que la Chine, l'Inde et le Canada. Nous ne devons pas non plus oublier l’ensemble des lois sur la cybersécurité (par exemple NIS 2 et DORA) ou sur la réglementation technologique (telles que la loi sur l’IA et la DSA) qui progressent dans le processus législatif de l’UE », explique Patrikios.

« Les organisations devraient déterminer lesquelles de ces nouvelles lois s’appliquent à elles, puis réfléchir à leur impact probable et à la manière de s’y préparer. Ce faisant, il est essentiel de s'adresser à des conseillers spécialisés externes, car il existe de nouvelles dispositions, dont certaines n'ont pas de précédent, et peuvent donc être difficiles à appliquer dans la pratique. Si plusieurs nouvelles lois s’appliquent, la rationalisation des efforts de conformité peut ne pas être simple, et avoir une idée de ce que font les autres acteurs du marché peut s’avérer très utile dans la pratique.

C'est là que des partenaires de confiance comme ISMS.online peuvent vous aider en fournissant un portail centralisé où les clients peuvent gérer tous leurs efforts de conformité en un seul endroit. Mieux encore, lorsque certaines tâches et spécifications se ressemblent dans différents cadres réglementaires, ISMS.online peut garantir que les équipes ne perdent pas de temps à dupliquer leurs efforts.