RGPD : la France avancera-t-elle avec le Royaume-Uni ?
Au Royaume-Uni, la réforme du RGPD se précise. Le doute subsiste quant à la durabilité de l'accord signé avec l'UE pour le transfert de données personnelles.
La décision d'adéquation entre l'Union européenne et le Royaume-Uni tiendra-t-elle encore longtemps ? Le mécanisme légitime les transferts de données personnelles entre les deux zones (ainsi que l'Islande, le Liechtenstein et la Norvège, soit l'EEA). Il est en place depuis quelques semaines. Les 27 l'ont adopté dans un contexte particulier : outre-Manche, le RGPD est en instance de réforme.
Les démarches se sont accélérées cette semaine. Londres a abattu plusieurs cartes. Notamment en affichant sa préférence pour John Edwards en tant que futur directeur de l'ICO (Information Commissioner's Office ; autorité nationale de protection des données). L'intéressé dirige actuellement la CNIL néo-zélandaise. En poste depuis février 2014, il assure son deuxième mandat de cinq ans. Prochaine étape pour lui : une audition le 9 septembre par la commission ministérielle au numérique du gouvernement britannique.
« Il aura le pouvoir d'aller au-delà du rôle traditionnel du régulateur [.] pour adopter une approche équilibrée favorisant innovation et croissance », nous explique-t-on à son propos. Oliver Dowden est sur la même ligne. Le secrétaire d'État au numérique appelle à une législation « basée sur le bon sens et non sur des cases à cocher ».
Lire aussi : RGPD : LinkedIn écope d'une amende de 310 millions €
Parmi les éléments en réflexion, retirer les dispositions issues de l'article 22 du RGPD. Celui-ci exclut, de manière générale, les décisions fondées exclusivement sur des traitements automatisés et qui affecteraient des individus « de manière significative ». Alternative suggérée : évaluer la légitimité de ces traitements en tenant compte de la notion d'intérêt public. Autre concept exploré, celui de la « fiduciaire de données », un organisme qui gérerait les consentements des utilisateurs finaux.
Quatre ans. pour le moment
En l'état, la décision d'adéquation UE - Royaume-Uni vaut jusqu'au 27 juin 2025. Mais elle est soumise à des contrôles périodiques. Et peut faire l'objet d'une annulation. L'ICO le reconnaît dans sa documentation RGPD, section « transferts de données internationaux ».
Au-delà de l'EEA, le pays a « hérité » de décisions d'adéquation que l'UE avait adoptées lorsqu'il en faisait encore partie. Certaines ont été conservées « telles quelles ». Par exemple avec le Canada (pour les entreprises commerciales) et le Japon (pour le secteur privé). Dans d'autres cas, il a fallu des ajustements. Comme aux îles Féroé (ordonnance) ou dans plusieurs territoires de la Couronne (Guernesey, Jersey, île de Man).
Lire aussi : UCaaS : que reste-t-il de téléphonie ?
Pour les autres territoires, le gouvernement britannique a choisi ses priorités. Nommément, États-Unis, Australie, Corée du Sud, Singapour et la Colombie. S'y ajoute le Centre international des finances de Dubaï. Les décisions d'adéquation peuvent effectivement aussi concerner des organisations et des secteurs d'activité. À plus long terme, on vise des accords avec Inde, Brésil, Kenya et Indonésie.
Illustration principale © Sergey Tarasov - Adobe Stock
Sur le même thème
Voir tous les articles Actualités