Le Data Protection Act 2018 (DPA), la nouvelle loi anglaise sur la protection des données, a reçu le sceau royal le 23 mai, deux jours avant la date d’entrée en vigueur du règlement général sur la protection des données ((UE)) 2016/679 (“RGPD”).
Il remplace son prédécesseur de 1998, avec l’objectif de fournir, en application du RGPD, un cadre juridique adapté aux nouvelles méthodes de traitement des données à caractère personnel,
La nouvelle législation fixe également le cadre permettant au Royaume-Uni de préparer son avenir en dehors de l’Union Européenne.
Les finalités du DPA 2018
Les quatre questions principales de la nouvelle loi sont 1) le traitement de données personnelles en général, 2) le traitement des données par les services de police, 3) le traitement des données par les services de renseignement (ou traitement à des fins de sécurité nationale), et 4) le contrôle de la mise en œuvre du DPA.
- Traitement général des données
Le but du DPA était d’abord d’implémenter les standards du RGPD dans tous les traitements de données. Cela impliquait de clarifier les définitions utilisées dans le règlement pour l’appliquer au contexte du droit britannique. Un autre souhait du DPA était de fournir des restrictions appropriées aux droits d’accès et de suppression des données des personnes concernées.
Concernant les données sensibles sur la santé, les soins sociaux et l’éducation, le DPA veille à ce que les données puissent continuer à être traitées aux fins d’en assurer la confidentialité.
L’article 9 de la loi fixe pour sa part l’âge du consentement au traitement à 13 ans au lieu des 16 ans prescrits par le RGPD.
- Traitement par la police
Il y avait un besoin de fournir un régime sur mesure au traitement des données personnelles par la police, les procureurs et d’autres organismes de justice pénale à des fins répressives. Le DPA autorise le flux de données sans entraves à l’échelle internationale tout en offrant des garanties pour protéger les données personnelles.
- Traitement de la sécurité nationale
Le DPA garantit que les lois régissant le traitement des données personnelles par les services de renseignement restent à jour et conformes aux normes internationales modernisées, y compris les garanties appropriées permettant à la communauté du renseignement de continuer à faire face aux menaces d’atteinte à la sécurité nationale.
- Réglementation et application
Toujours dans un but de protection maximale des données, le DPA accorde des pouvoirs supplémentaires au commissaire à l’information, qui continuera à réglementer et à appliquer les lois sur la protection des données.
La loi dispose également que le Bureau du Commissaire à l’information (l'”Information Commissioner’s Office“, ou “ICO“) sera l’autorité de contrôle chargée de la mise en œuvre du RGPD et qu’à ce titre il se verra conférer certains pouvoirs pour enquêter et en appliquer les dispositions.
L’ICO pourra, de fait, imposer des amendes administratives plus élevées aux responsables du traitement des données et aux entreprises de traitement pour les infractions à la loi les plus graves, à concurrence de la plus élevée des deux sommes suivantes : 17 M £ (20 M €) ou 4% du chiffre d’affaires global pour les violations les plus graves. La commissaire, Elizabeth Denham, est également en mesure d’engager des poursuites pénales si un responsable du traitement ou un sous-traitant venait à altérer des documents dans l’intention d’empêcher leur divulgation à la suite d’une demande d’accès. Dans son blog, elle écrit : «La législation exige une transparence et une responsabilité accrues de la part des organisations, et des règles plus strictes pour protéger contre le vol et la perte de données avec des sanctions sévères et des amendes pour ceux qui abusent délibérément ou négligemment. »
Le DPA 2018 comprend une partie qui ne relève pas du droit de l’Union Européenne, par exemple, les traitements dans le domaine de l’immigration. Il applique les normes du RGPD, tout en ajustant celles qui ne fonctionneraient pas dans le contexte national.
Le RGPD ne s’applique pas aux activités ne relevant pas du droit de l’Union Européenne, telles que celles ayant trait aux questions de sécurité nationale. Le gouvernement a décidé qu’il était important que les services de renseignement soient tenus de se conformer aux normes de protection des données internationalement reconnues, de sorte que des dispositions fondées sur la Convention 108 du Conseil de l’Europe sur la protection des données leur sont applicables.
Le DPA & le RGPD
En s’alignant sur le RGPD, le Royaume-Uni espère construire un mécanisme amélioré de protection des données qui dépasse le modèle d’adéquation que l’Union Européenne impose aux pays «tiers», permettant ainsi aux données personnelles de circuler librement entre le Royaume-Uni et l’Union Européenne à la suite du Brexit.
Le RGPD a un effet direct dans tous les États membres de l’Union Européenne. Cela signifie que les entreprises devront toujours se conformer à ce règlement et se tourner vers le RGPD pour la plupart des obligations légales. Cependant, le RGPD donne également aux États membres des possibilités limitées de prendre des dispositions sur la façon dont il s’applique dans leur pays. Certaines dispositions notables font usage de la capacité des États membres à mettre en œuvre des mesures différentes du RGPD, ces fameuses “dérogations nationales“, dans les domaines suivants: les exemptions de certains droits et obligations énoncés dans le RGPD en ce qui concerne certaines questions criminelles et d’immigration, par exemple, ainsi que pour des raisons de liberté d’expression et d’information (à des fins journalistiques, académiques, artistiques). Pour cette raison il est important que le RGPD et le DPA 2018 soient lus côte à côte.
Il comporte également une partie qui transpose la directive européenne sur la protection des données 2016/680 (directive sur l’application des lois) en droit national britannique. La directive complète le règlement général sur la protection des données et la partie 3 du DPA 2018 énonce les exigences relatives au traitement des données à caractère personnel à des fins «répressives».
Le vice-conseil du Comité mixte des droits de l’homme du Parlement britannique a exprimé ses préoccupations quant à la question de savoir s’il existe des garanties appropriées pour les transferts de données transfrontières par les services de renseignement. Il pense également que les exceptions aux droits de protection des données sont “excessivement larges”.
Qu’en est-il donc du Brexit?
Aussi longtemps que le Royaume-Uni restera membre de l’Union Européenne, tous les droits et obligations qui découlent pour lui du droit de l’Union Européenne resteront en vigueur. Lorsque le Royaume-Uni quittera l’Union Européenne, le RGPD sera incorporé dans la législation nationale du Royaume-Uni dans le cadre du projet de loi sur le retrait de l’Union européenne, actuellement devant le Parlement.
Cependant, ce qui n’est pas clair à ce jour, c’est si d’autres nouvelles lois seront jugées compatibles avec le RGPD une fois que le Royaume-Uni aura quitté l’Union. En vertu de l’Investigatory Powers Act (IPA) du Royaume-Uni, les fournisseurs d’accès à internet sont tenus de collecter des historiques de navigation personnels et de les conserver pendant une période pouvant aller jusqu’à 12 mois. Le gouvernement doit actuellement réécrire certaines de ces lois après que des pouvoirs identiques prévus dans l’ancienne législation du “Data Retention and Investigatory Powers Act” (DRIPA) de 2014 aient été jugés illégaux.
Mais une fois que le Royaume-Uni aura quitté l’Union Européenne, il devra trouver un nouvel accord. Les règles de l’Union imposent que les données personnelles collectées auprès de résidents de l’Union Européenne ne puissent être transférées vers un pays tiers que si un niveau de protection adéquat est garanti. Si le Royaume-Uni doit avoir la possibilité de se voir accorder une décision d’”adéquation” par la Commission Européenne, il devra prouver que ses normes de protection des données sont en phase avec Bruxelles. La Première Ministre Theresa May insiste sur le fait qu’elle veut “plus qu’un simple accord d’adéquation” sur les données. Mais elle a promis une «flexibilité interne» pour s’assurer que l’environnement réglementaire du Royaume-Uni puisse «répondre avec souplesse et ambition aux nouveaux développements» qui suivront la sortie de l’Union.
“La création de la loi sur la protection des données 2018 n’est pas un point final, ce n’est que le début …”, a ajouté la commissaire à l’information Elizabeth Denham.
Pour plus d’informations sur comment s’implanter en Angleterre, nous vous invitons à vous référer à notre mini-guide.
—
Cet article a été rédigé en collaboration avec Sarah Lasson