Le gouvernement britannique souhaite réformer les lois sur la protection des données, en supprimant la charge administrative et en contribuant à promouvoir l’innovation. Le défi consiste à y parvenir sans perturber ni risquer les relations commerciales. Où en est donc le projet de loi sur la protection des données et l’information numérique (DPDI) sur la voie de devenir loi, et quels changements apportera-t-il à votre organisation ?
Projet de loi sur la protection des données et l’information numérique
Qu’est-ce que c’est?
Le projet de loi sur la protection des données et l’information numérique (DPDI) présente des réformes post-Brexit aux lois britanniques sur la protection des données.
Le gouvernement affirme que la nouvelle loi :
- Conserver les meilleurs éléments du Règlement général sur la protection des données (RGPD) de l’UE
- Offrir une plus grande flexibilité
- Réduire les coûts de 4,7 milliards de livres sterling sur 10 ans
- Faciliter le commerce mondial
- Soyez simple, clair et convivial pour les entreprises
Le défi pour la législation est d’aider à soutenir l’innovation et à réduire le fardeau administratif, sans apporter de changements qui : - Empiéter sur les droits individuels en matière de données
- Obliger les entreprises à créer de nouveaux systèmes de données
- Créer des obstacles au commerce avec l’UE et d’autres juridictions internationales
Quand a-t-il été introduit?
DPDI a été initialement présenté au Parlement britannique le 18 juillet 2022. Une deuxième lecture du projet de loi prévue pour septembre 2022 a été mise en pause après la démission de Boris Johnson de son poste de Premier ministre.
Le 8 mars 2023, une version révisée de la législation, connue sous le nom de projet de loi DPDI (no 2), a été présentée par la secrétaire d’État Michelle Donelan. Il devrait passer à une deuxième lecture à la Chambre des communes à l’automne 2023.
Qui cela affecte-t-il?
DPDI affectera les organisations de toutes tailles et de tous secteurs, de la plus petite organisation caritative aux grandes entreprises. Cela aura également un impact sur les organisations internationales qui commercent au Royaume-Uni ou gèrent les données des citoyens britanniques.
Faits saillants du DPDI
Le DPDI pourrait introduire :
- Une nouvelle définition des données personnelles qui aide à décrire le niveau d’anonymat requis pour mettre une personne hors de l’identification par des « moyens raisonnables »
- Une catégorie de données d’intérêt légitime (par exemple, criminalité, sauvegarde) qui supprime l’obligation de procéder à une évaluation de l’intérêt légitime
- Facteurs à prendre en compte lors de la réutilisation des données personnelles à une nouvelle fin, et situations spécifiques dans lesquelles la réutilisation sera licite
- Faciliter le refus des organisations d’accès aux données lorsqu’elles sont vexatoires ou excessives, compte tenu de l’ensemble des circonstances
- Clarifier les circonstances dans lesquelles l’IA peut être utilisée pour la prise de décision automatisée sans implication humaine significative
- Remplacement des délégués à la protection des données (DPD) par des personnes responsables (SRI) qui doivent être des cadres supérieurs
- Remplacement des analyses d’impact sur le traitement des données par des évaluations du traitement à risque élevé à effectuer lorsque les activités de traitement des données sont identifiées comme présentant un risque élevé
- Suppression de l’obligation de tenir des registres des activités de traitement, remplacée par l’obligation de tenir des registres appropriés
- Un nouveau test de protection des données à appliquer aux dispositifs de transfert de données à caractère personnel en dehors du Royaume-Uni
- Le commissaire à l’information sera restructuré en une commission de l’information, dotée de nouveaux pouvoirs d’exécution et d’un mandat qui comprend la reconnaissance de la nécessité de promouvoir l’innovation et la concurrence.
- Procédures de traitement des plaintes visant à accroître le nombre de plaintes résolues sans intervention de la Commission de l’information
- Un remaniement de la conformité au RGPD pour réduire les pop-ups, en les autorisant lorsqu’une personne a consenti ou que les données sont utilisées à des fins spécifiques telles que l’amélioration du site Web
RGPD contre DPDI
DPDI n’est pas un substitut complet à la législation sur la protection des données GDPR. Au lieu de cela, il modifie la législation existante (loi sur la protection des données de 2018 et RGPD du Royaume-Uni) afin qu’il y ait beaucoup de travail pour les avocats qui recoupent différents textes législatifs.
Lorsque la législation sera finalisée, l’UE appliquera un test d’adéquation pour déterminer si le nouveau régime britannique de protection des données offre une protection des données appropriée, permettant aux flux de données de se poursuivre entre l’UE et le Royaume-Uni.
DPDI : Projet de loi n°1 vs Projet de loi n°2
Quels sont les changements qui ont été apportés à DPDI (Non 1) publié en juillet 2022, et DPDI (No 2) en mars 2023?
DPDI (n° 1)
Fins
de rechercheClarification de la manière dont les données personnelles peuvent être utilisées à des fins de recherche, statistiques et historiques, en aidant les scientifiques à utiliser les données personnelles pour le bien public
Intérêt
légitimeModifications de la portée de l’intérêt légitime (lorsque les données personnelles peuvent être utilisées par un responsable du traitement ou un tiers, tant que les droits et libertés individuels ne sont pas violés)
Introduit des « intérêts légitimes reconnus » qui ne nécessitent pas d’évaluation de l’intérêt légitime
Registres de traitement
Réduction des obligations et exemption pour les organisations de moins de 250 employés dont le traitement n’est pas à haut risque. Niveau de risque à déterminer en examinant la nature, la portée, le contexte et la finalité du traitement des données
Transferts internationaux de
donnéesTest de protection des données pour évaluer la protection assurée par les règles du pays destinataire lors du transfert de données
Cookies
L’utilisation de cookies est autorisée sans obtenir le consentement à des fins définies, telles que l’évaluation de l’utilisation d’un site Web.
Prise de
décision automatiséeClarification du fait qu’une participation humaine significative doit être jugée en tenant compte de l’ampleur de l’utilisation du profilage dans la prise de décision
DPDI (n° 2)
Fins
de rechercheAjout de l’expression « fins de recherche scientifique » visant à inclure l’usage commercial et non commercial et élargissement de la définition de la « recherche scientifique »
Intérêt
légitimeAjout d’exemples de données d’intérêt légitime, telles que le marketing direct et la sécurité informatique
Registres de traitement
Suppression de la référence au nombre d’employés, l’obligation est désormais d’évaluer si le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes
Transferts internationaux de
donnéesClarification que les mécanismes de transfert de données personnelles établis avant l’entrée en vigueur de la loi seront valides
Cookies
Aucun autre changement
Prise de
décision automatiséeLa définition de la prise de décision automatisée est lorsqu’il n’y a pas d’implication humaine significative dans une décision
Êtes-vous prêt pour DPDI ?
La législation britannique sur la protection des données sera modifiée au cours des prochaines années. Cela inclut la réforme des règles qui régissent les cookies sur votre site. Assurez-vous que votre politique en matière de cookies est conforme à la loi et obtenez un aperçu de votre collecte de données en utilisant notre outil de scanner de cookies sur votre site.
Si vous avez besoin d’aide pour vous assurer que vous êtes conforme et que vous tirez le meilleur parti des nouvelles règles, CookieHub peut vous aider.
Inscrivez-vous dès aujourd’hui pour un essai gratuit.