RGPD or not RGPD ? | EXPERTISES des systèmes d’information

Après le brexit, la Grande-Bretagne a décidé de suivre une autre voie en matière de données personnelles. Elle ne veut cependant pas renoncer au sésame européen des données, mais juste s’en écarter aux frontières du possible. Elle envisage de rester amarrée au RGPD, tout en évacuant ce qui la gêne, pour s’imposer sur le marché mondial des données. Plus exactement, elle souhaite conserver l’esprit du règlement, sans pour autant faire un copier-coller de ses règles. Une autre façon d’aborder le traitement des flux, qu’elle juge plus efficace et propice aux affaires internationales, tout en protégeant les données. Un grand écart risqué qui n’est pas sûr d’être du goût de la Commission européenne.

Alors que la Grande-Bretagne vient à peine d’obtenir une décision d’adéquation de sa loi relative aux données personnelles au RGPD par la Commission européenne, le 28 juin 2021, son secrétaire à la Culture et au Numérique, Oliver Dowden, a annoncé à la fin août que son pays allait réviser sa loi sur les données personnelles. Un nouveau commissaire aux données sera chargé de superviser cette transition. Oliver Dowden a son favori, John Edwards, l’actuel commissaire à la protection des données de Nouvelle-Zélande, pour remplacer Elizabeth Denham dont le mandat d’ICO (Information Commissioner’s Office) prend fin le 31 octobre prochain. Le secrétaire au Numérique a déclaré que « maintenant que nous avons quitté l’UE, je suis déterminé à saisir l’opportunité en développant une politique de données de premier plan qui offrira un dividende au brexit aux particuliers et aux entreprises du Royaume-Uni ». Il ajoute que « cela signifie réformer nos propres lois sur les données afin qu’elles soient basées sur le bon sens, et non sur des cases à cocher ». Et l’objectif que devra poursuivre le nouveau commissaire est clairement économique puisque le membre du gouvernement explique qu’il s’agit d’établir « une nouvelle ère de croissance et d’innovation axée sur les données ». La Grande-Bretagne estime par ailleurs qu’elle a la capacité d’établir des accords d’adéquation, à la lumière de l’arrêt Schrems II de la CJUE, avec d’autres pays comme les Etats-Unis, identifié comme pays prioritaire, mais aussi le Canada, la Nouvelle-Zélande, l’Australie, Singapour. Il n’est pas du tout sûr qu’un partenariat avec les Etats-Unis passe la barre de l’adéquation en l’état de leur législation. Mais la Grande-Bretagne est prête à prendre le risque.

La décision d’adéquation UE/Royaume-Uni doit être réexaminée en 2025, date à laquelle celle-ci sera ou ne sera pas renouvelée. La Commission a déjà averti qu’elle « continuerait à surveiller la situation juridique du Royaume-Uni et pourrait intervenir à tout moment s’il s’écarte du niveau de protection actuellement en vigueur ». Outre-Manche, on se prépare donc à tester les limites de l’adéquation, en choisissant de prendre le meilleur des deux mondes, pour un profit maximum. Existe-t-il une autre manière de pratiquer le cadre européen ? Pour le savoir, il faut attendre que le projet de loi britannique soit rédigé, les consultations n’ayant pas encore débutées. Une chose est cependant sûre : les Britanniques vont se montrer très offensifs sur le marché mondial des données, en proposant une vision plus économique mais moins personnaliste de la protection des données personnelles.