Data Protection and Digital Information Bill : le Royaume-Uni confirme la nouvelle direction de sa législation sur la protection des données

Le Data Protection and Digital Information Bill entérine divers divergences entre le RGPD et le cadre britannique pouvant introduire des différences sensibles entre les deux ordres juridiques.

Le Data Protection and Digital Information Bill, publié par le département du Numérique, de la Culture, des Médias et du Sport (DCMS), a été présenté au Parlement britannique le 18 juillet 2022. En accord avec les conclusions tirées par le gouvernement (23 juin 2022) suite à la consultation publique Data: A New Direction (10 septembre 2021 - 19 novembre 2021), ce texte introduit un certain nombre d’évolutions significatives dans la législation britannique de protection des données à caractère personnel, qui reflétait jusqu’alors exactement le RGPD, afin d’adopter une approche plus flexible et pragmatique.

Contexte : Brexit, RGPD, et protection des données

Comme nous le rappelions dans notre chronique du 5 octobre 2021 (“Brexit et transferts de données personnelles, quel avenir pour les décisions d'adéquation visant le Royaume-Uni ?”), le Royaume-Uni a adopté suite au Brexit une loi prévoyant la persistance de mesures législatives européennes directement applicables dans le droit britannique, incluant notamment le RGPD. Cette transposition juridique ne s’arrêtait d’ailleurs pas à une simple identité textuelle, dans le sens où il était également convenu que les mesures législatives européennes conservées devaient être interprétées conformément à la jurisprudence pertinente de la CJUE (Cour de justice de l'Union européenne), et aux principes généraux du droit de l’Union.

Ainsi, la législation encadrant la protection des données personnelles au Royaume-Uni s’est révélée strictement identique au cadre juridique européen depuis le Brexit. Ce qui a notamment justifié la décision d’adéquation prise par la Commission européenne le 28 juin 2021, permettant la libre circulation des données entre l’Union européenne et le Royaume-Uni, le niveau de protection des données étant naturellement considéré comme adéquat dans ce pays désormais tiers à l’Union européenne.

Le Royaume-Uni a cependant rapidement manifesté son intention de définir une nouvelle orientation pour sa législation en matière de protection des données. La consultation publique Data : A New Direction fin 2021 explicitait déjà la volonté de transformer les règles britanniques de protection des données afin de les rendre moins restrictives, et de favoriser l’innovation ainsi que la croissance.

Le “Data Protection and Digital Information Bill”, présenté au Parlement cet été, concrétise cette velléité de simplification et de flexibilisation des règles de protection des données et entérine certaines divergences entre le RGPD et le cadre juridique britannique. De multiples éléments et propositions du texte britannique pourraient en effet introduire des différences sensibles, à la fois conceptuelles et pratiques, entre les deux ordres juridiques.

RGPD européen et Data Protection and Digital Information Bill : des divergences potentiellement significatives

Les distinctions introduites par la proposition de réforme de la législation britannique et le RGPD sont multiples, et nous n’aborderons ici que les plus significatives.

Le concept de donnée à caractère personnel

La première distinction, et peut-être l’une des plus fondamentales car elle impact en réalité l’ensemble des règles relatives à la protection des données, concerne la définition même des données à caractère personnel.

Une donnée personnelle, au sens du RGPD, est définie comme “toute information se rapportant à une personne physique identifiée ou identifiable” (article 4 RGPD). Une telle définition est entièrement objective, dans le sens où la qualification de donnée à caractère personnel ne tient pas compte d’une situation particulière ou des moyens à la disposition de l’entité effectuant un traitement sur cette donnée.

Le “Data Protection and Digital Information Bill” restreint cette définition très large de la donnée à caractère personnel en introduisant un élément subjectif dans la qualification d’une donnée personnelle. Ainsi, une donnée relative à une personne physique ne sera considérée comme personnelle que si elle permet de rendre identifiable une telle personne pour le responsable de traitement ou le sous-traitant, par le biais de moyens pouvant être raisonnablement à sa disposition au moment du traitement.

Il faut bien voir ici qu’il s’agit d’une différence significative qui rend la définition d’une donnée à caractère personnel bien plus restreinte dans le cadre juridique britannique. Une entité pourrait ainsi au Royaume-Uni procéder au traitement d’une donnée sans être soumise aux obligations juridiques de traitement des données à caractère personnel si elle ne dispose pas des moyens (techniques, financiers, organisationnels etc.) pour rendre identifiable la personne physique à laquelle cette donnée se rattache, bien que cette même donnée puisse être qualifiée comme personnelle pour une autre entité disposant de moyens plus conséquents.

L’intérêt légitime

Le texte britannique vise également à assouplir et rendre plus accessible la base juridique de l’intérêt légitime afin de justifier un traitement de données à caractère personnel. Dans le cadre du RGPD, l’intérêt légitime est défini et interprété par les juridictions de manière restrictive et subjective. Un strict test de mise en balance des intérêts revendiqués par l’entité procédant au traitement et ceux de la personne concernée est implémenté au cas par cas, ce qui en rend l’utilisation complexe et moins fiable en termes de sécurité juridique.

Le Royaume-Uni se distingue de cette approche en listant explicitement les cas dans lesquels les entreprises pourraient mobiliser l’intérêt légitime dans le cadre de leurs activités. Dès lors qu’un traitement serait couvert par une telle liste, la base juridique de l’intérêt légitime pourrait être mobilisée sans qu’il soit nécessaire d’effectuer aucun test de mise en balance des intérêts en présence.

Il s’agit ici encore d’une approche britannique bien plus permissive pour les entités effectuant des traitements de données à caractère personnel, qui pourront plus régulièrement se reposer sur une telle base légale et procéder aux traitements en se passant du consentement explicite des personnes concernées.

Les transferts de données

Le Data Protection and Digital Information Bill introduit également plusieurs divergences relatives à une thématique devenue aujourd’hui particulièrement cruciale au vu de ses implications économiques, sociales, mais aussi géopolitiques : les transferts transfrontaliers de données à caractère personnel.

Tout comme dans le cadre du RGPD, le transfert de données personnelles depuis le Royaume-Uni vers un pays tiers ne faisant pas l’objet d’une décision d’adéquation ne pourra être autorisé qu’à la condition que l’entité en charge du traitement mette en place des mesures appropriées afin de garantir un niveau suffisant de protection des données dans le cadre du transfert. 

Le texte britannique choisit cependant dans ce cadre une approche par les risques: le caractère approprié des mesures de sécurisation des données, et le degré d’exigence des autorités de contrôle sera apprécié et modulé en fonction de la probabilité du risque dans le cas particulier du transfert concerné. Il s’agit d’une approche probabiliste souple qui a jusqu’ici été explicitement et unanimement écartée par les juridictions européennes, notamment à l’occasion des récentes décisions portant sur l’utilisation de Google Analytics (voir notre édito pour plus de détails sur ce point).

En outre, le “Data Protection and Digital Information Bill” assouplit également les conditions d’octroi d’une décision d’adéquation, qui permet le transfert de données personnelles vers un pays tiers sans recours à des mesures supplémentaires de sécurisation des données. Le RGPD adopte en effet une approche essentialiste en conditionnant la délivrance d’une décision d’adéquation à l’équivalence stricte de la nature des règles de protection des données dans le pays tiers à celles de l’Union européenne. Là où le RGPD exige une telle équivalence dans l’essence même du cadre juridique du pays tiers, le texte britannique introduit un test différent, plus souple, exigeant uniquement que le niveau de protection des données du pays tiers ne soit pas matériellement plus faible que celui du Royaume-Uni.

Une telle formulation négative, et l’introduction d’un élément matériel et donc subjectif produit un niveau d’exigence plus faible par rapport à la formulation du test européen ; ainsi, un pays tiers implémentant des obligations très différentes dans leur nature par rapport aux règles du Royaume-Uni pourrait malgré tout faire l’objet d’une décision d’adéquation si le niveau global concret de protection des données est considéré comme suffisant. Il n’est pas exclu qu’une telle reformulation du test nécessaire à l’octroi d’une décision d’adéquation permette aux États-Unis de faire l’objet d’une telle adéquation, afin de renforcer les liens économiques et politiques entre le Royaume-Uni et les USA suite au Brexit.

La réforme de l’autorité de contrôle britannique

La dernière différence majeure qui sera abordée ici concerne la réforme de l’ICO (Information Commissioner’s Office), l’autorité de contrôle britannique. Une nouvelle "Commission de l'information" remplacerait l'ICO. Le secrétaire d'État britannique se verrait accorder un certain nombre de pouvoirs sur la Commission, dont certaines initiatives devront être approuvées voire définies par lui (publication de codes de pratiques, définition des priorités globales de l’autorité notamment). Des pouvoirs plus étendus seront attribués à la Commission, notamment en matière d’exigence de communication de documents à des fins d’enquête et de contrôle.

Conséquences et prochaines étapes

D’autres mesures introduisant des divergences entre les ordres juridiques britanniques et européens de protection des données auraient également pu être citées (allègement des obligations en termes d’accountability, assouplissement des exigences de consentement relatives aux cookies, possibilité de s’opposer à une demande d’exercice de droits sous certaines conditions notamment). Quoi qu’il en soit, l’intégralité des nouveautés introduites par le “Data Protection and Digital Information Bill” annonce clairement la nouvelle orientation que le Royaume-Uni souhaite faire adopter à sa législation relative à la protection des données : des règles plus simples, moins restrictives, et plus pragmatiques dans l’optique de fluidifier l’activité économique et de favoriser l’innovation.

Un tel assouplissement ne sera cependant pas sans conséquences, et ces évolutions introduisent un risque bien réel : celui d’une révocation de la décision d’adéquation prononcée par l’Union européenne visant le Royaume-Uni. Une révocation dont l’impact économique est estimé à un coût immédiat de 220 à 530 millions d’euros, et de 242 à 470 millions annuellement en pertes de recettes d’exportations (selon l’étude d’impact du “Data Protection and Digital Information Bill”).

Si les instances britanniques insistent sur le fait que la réforme proposée ne nuira pas au niveau général de protection des données au Royaume-Uni, certaines mesures citées ci-dessus, comme la réforme de l’ICO et la mise en cause de son indépendance, pourraient s’avérer problématiques du point de vue de l’adéquation de la législation britannique par rapport aux standards européens. Plus spécifiquement, l’assouplissement des exigences concernant les transferts transfrontaliers de données, thématique géostratégique cruciale, fera très probablement l’objet de vives oppositions au sein des instances décisionnelles européennes.