Mise à jour du RGPD : ce que la loi sur l'utilisation et l'accès aux données signifie pour les équipes de conformité

Une mise à jour de la version britannique du RGPD était attendue depuis longtemps. Le précédent gouvernement conservateur l'avait initialement proposée via le Projet de loi Informatique et Libertés (DPDI), qui n'a pas réussi à être adopté par le Parlement avant un changement de gouvernement. Le projet de loi du Parti travailliste, la loi sur l'utilisation et l'accès aux données (DUA Act), a finalement reçu la sanction royale après une échauffourée très médiatisée entre les chambres haute et basse sur l'IA et le droit d'auteur.

La question est de savoir dans quelle mesure les équipes de sécurité et de conformité devront s’adapter au nouveau régime de protection des données instauré par la loi.

Pourquoi en avons-nous besoin ?

Conformément aux précédentes tentatives d'amélioration et d'adaptation du régime réglementaire britannique en matière de protection des données, l'accent est mis sur la suppression des formalités administratives inutiles sans compromettre les flux transfrontaliers de données vers l'UE. Pour garantir ce dernier objectif, le Royaume-Uni ne doit pas s'écarter trop du RGPD, sous peine de perdre son statut de « pays tiers ».

Étant donné que l'économie numérique a contribué à hauteur de 154 milliards de livres sterling à la valeur ajoutée brute (VAB) en 2023., représentant environ 6.5 % du total, le gouvernement sait qu'une dérogation radicale au RGPD est hors de question. Ce serait également pervers, étant donné que le Bureau du Commissaire à l'information (ICO), organisme de réglementation, a joué un rôle clé dans l'élaboration de la réglementation initiale.

Le gouvernement affirme que la nouvelle loi injectera 10 milliards de livres sterling dans l'économie britannique au cours de la prochaine décennie. Elle prévoit une expansion  des programmes de « données intelligentes » comme l’open banking, la réduction de la bureaucratie pour les fournisseurs de services publics, Et un nouveau marque de confiance pour les fournisseurs d'identité numérique comme contribuant à atteindre cet objectif.

Quoi de neuf?

Toutefois, du point de vue de la protection des données, les changements les plus importants concernent :

Intérêts légitimes: La loi DUA introduit les « intérêts légitimes reconnus » comme nouvelle base légale pour le traitement des données personnelles. Cela permet à certaines organisations de traiter des données sans avoir à procéder à une évaluation traditionnelle des intérêts légitimes (EIL). Il existe également une liste d'activités de traitement (y compris le marketing direct) qui nécessitent néanmoins une EIL, ce qui devrait apporter plus de clarté aux organisations.

Prise de décision automatisée (ADM) : La loi assouplit les restrictions sur l’ADM dans les cas où des données de catégorie spéciale ne sont pas impliquées, bien que des garanties doivent toujours être appliquées.

Recherche scientifique: La loi élargit la définition à toute recherche « raisonnablement qualifiée de scientifique, qu'elle soit financée par des fonds publics ou privés, et qu'elle soit menée à titre commercial ou non commercial ». Cela signifie que la recherche financée par des fonds privés et la recherche commerciale bénéficieront d'exemptions pour le traitement de données de catégories particulières.

Transferts internationaux de données : Le secrétaire d'État pourra approuver les pays tiers et décider si les normes de protection des données d'un pays de destination ne sont « pas matériellement inférieures » à celles du Royaume-Uni plutôt qu'aux protections « essentiellement équivalentes » existantes.

Données de catégorie spéciale : Le secrétaire d’État disposera également de nouveaux pouvoirs pour modifier ce qui peut être classé comme données de catégorie spéciale – ce qui nécessite une protection supplémentaire.

Demandes d’accès aux données des personnes concernées (DAS) : La loi précise que les personnes concernées n'ont droit à des informations que suite à une recherche « raisonnable et proportionnée » effectuée par l'entreprise. Les organisations disposent désormais d'un délai de trois mois, dans certaines circonstances, pour répondre aux demandes d'informations confidentielles. Cette mesure vise à alléger la charge administrative des entreprises.

Limitation de la finalité: La loi précise ce qui constitue un « traitement ultérieur ».

Données sur les enfants : La loi introduit un nouveau concept de « questions de protection supérieure des enfants », que l'ICO doit évaluer lors de la réglementation des responsabilités des entreprises.

Règlement sur la protection de la vie privée et les communications électroniques (PECR) : Les nouvelles règles relatives aux cookies visent à alléger la charge de travail des entreprises. Des exemptions à l'obligation de consentement sont prévues pour certains cookies non essentiels (par exemple, la collecte de données statistiques pour améliorer l'apparence ou les performances d'un site web, l'adaptation d'un site web aux préférences de l'utilisateur ou l'amélioration des services ou du site web). Il existe également une longue liste de finalités d'utilisation des cookies considérées comme strictement nécessaires (par exemple, la sécurité et la détection des fraudes), pour lesquelles aucun choix de refus n'est requis.

ICON: L'ICO sera remplacée par la Commission de l'information, dont le commissaire sera doté d'un président et de membres exécutifs et non exécutifs. De nouvelles règles régissent également les procédures de plainte.

Edward Machin, avocat spécialisé en données, confidentialité et cybersécurité chez Ropes & Gray, soutient que certaines des mesures devraient contribuer à alléger les formalités administratives pour de nombreuses organisations.

« Bien que controversé, l'assouplissement des exigences relatives à la prise de décision automatisée impliquant des données personnelles non sensibles contribuera à alléger la charge de conformité pour les organisations qui entreprennent ce type de traitement, en particulier dans le contexte du développement et de l'utilisation de l'IA », a-t-il déclaré à ISMS.online.

« Et clarifier le concept de « traitement ultérieur » en général, et élargir la définition de « recherche scientifique » en particulier, permettra – à défaut de réduire les formalités administratives en tant que telles – aux organisations de traiter des données personnelles dans un éventail plus large de scénarios que ce n’est le cas actuellement. »

Commencez avec les cookies

Il est crucial de noter que les experts juridiques ne pensent pas que la législation affectera le statut d’adéquation du Royaume-Uni et, par conséquent, les flux de données avec l’UE.

« Bien qu'importants, les changements proposés par la [loi] ne vont pas jusqu'à modifier les principes fondamentaux du RGPD sur lesquels repose le régime actuel », déclare Sarah Pearce, associée chez Hunton Andrews Kurth. « Par conséquent, la nouvelle législation ne devrait pas avoir d'impact sur la décision d'adéquation du Royaume-Uni lors de son examen par la Commission européenne à la fin de l'année. »

Alors, que doivent examiner en premier lieu les responsables de la conformité ? Machin, de Ropes & Gray, conseille d'examiner les pratiques en matière de cookies et de marketing électronique.

« Bien que la loi élargisse le type de cookies et les finalités qui sont considérés comme « strictement nécessaires », elle augmente également les amendes maximales prévues par le PECR pour s'aligner sur le RGPD britannique, c'est-à-dire le montant le plus élevé entre 17.5 millions de livres sterling ou 4 % du chiffre d'affaires mondial annuel », explique-t-il.

Toutes les organisations devront mettre en œuvre la nouvelle procédure de traitement des plaintes individuelles, qui doit d'abord être adressée au responsable du traitement avant d'être transmise au ICO. Cela nécessitera la mise à jour des avis de confidentialité et des processus internes afin de garantir un traitement approprié de ces plaintes.

Un processus de cartographie plus complet sera également nécessaire pour comprendre comment les dispositions de la loi auront un impact sur les processus actuels, ajoute Machin.

« Dans de nombreux cas, cela n’entraînera pas de changements significatifs dans les programmes de conformité au RGPD existants au Royaume-Uni », conclut-il.

« Cela dit, les systèmes de partage de données et de vérification numérique que la loi autorise le secrétaire d’État à introduire impliqueront une série d’exigences juridiques et techniques nouvelles et renforcées, et les organisations qui souhaitent – ​​ou sont tenues – de participer à ces systèmes devraient suivre de près l’évolution de la situation dans ce domaine. »