Accueil "Le Royaume-Uni envisage de supprimer les DPD - et bien d'autres choses encore

L'objectif du gouvernement, qui est de réduire les obstacles à l'innovation, a été salué par de nombreuses entreprises, mais d'autres parties prenantes reconnaissent également que le régime proposé réduirait la protection accordée aux particuliers.

Certaines de ces propositions sont superficielles, mais d'autres, si elles sont adoptées, modifieraient la législation britannique sur la protection des données de manière plus radicale.

Par exemple, les suggestions visant à remplacer l'évaluation de l'impact sur la protection des données (DPIA) et le registre central des traitements par des exigences plus générales d'identification et de minimisation des risques liés à la protection des données éloigneraient le Royaume-Uni du RGPD et de ses homologues européens.

L'objectif ultime étant de faciliter l'IA, les propositions supprimeraient également le droit prévu à l'article 22 du RGPD britannique de ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé.

Les propositions prévoient également l'imposition d'une taxe sur les demandes d'accès à un sujet, l'alignement du régime d'application du règlement relatif à la protection de la vie privée et des communications électroniques sur le RGPD britannique et la loi sur la protection des données, ainsi que des modifications du modèle de gouvernance de l'ICO susceptibles d'avoir une incidence sur son indépendance.

Selon le gouvernement, les organisations gagneront à être tenues d'élaborer et de mettre en œuvre un programme de gestion de la protection de la vie privée fondé sur les risques.

Il est important de noter que les propositions supprimeraient également le rôle du DPD, qui serait remplacé par une personne responsable du programme de gestion de la vie privée.

Les propositions ne traitent pas des représentants européens. Nous pensons toutefois que rien ne changerait pour les entreprises britanniques qui offrent des biens ou des services à des personnes de l'EEE ou qui surveillent le comportement de personnes de l'EEE, car elles devraient toujours se conformer au RGPD 'UE en ce qui concerne le traitement de leurs données.

Ce qui est proposé

Le chapitre 2.2 du document de consultation du gouvernement intitulé Data : New Direction comprend les propositions de réforme du cadre de responsabilité.

Le programme de gestion de la protection de la vie privée couvrirait les aspects suivants

I. Les rôles et responsabilités au sein de l'organisation en matière de protection des données à caractère personnel, y compris la désignation de la ou des personnes responsables du programme de gestion de la protection de la vie privée et du contrôle de la conformité de l'organisation en matière de protection des données. La ou les personnes désignées seront également chargées de représenter l'organisation auprès de l'ICO et des personnes concernées, le cas échéant. La législation ne prescrira pas les exigences spécifiques requises pour le(s) rôle(s) et une organisation aura un pouvoir discrétionnaire sur les nominations, notamment en étant capable de déterminer les compétences, les qualifications et la position appropriées requises pour le(s) rôle(s), en tenant compte du volume et de la sensibilité des informations personnelles sous son contrôle, et le(s) type(s) de traitement de données qu'elle effectue.

II. Preuve qu'il existe une supervision et un soutien de la part de la direction générale, ainsi que des mécanismes appropriés de compte rendu à la direction générale, et comment l'organisation s'assure que son personnel comprend les principales obligations, politiques et procédures en matière de protection des données.

III. Mesures qui aident la ou les personnes responsables désignées à structurer un programme approprié de gestion de la vie privée et à démontrer que l'organisation est conforme à la législation sur la protection des données.

Il est assez étrange qu'au moment même où le rôle de DPD a été professionnalisé, avec de nombreuses possibilités de formation et des organismes de soutien appropriés, le Royaume-Uni estime qu'il n'est pas nécessaire d'inclure ce rôle dans les exigences légales.

Cependant, tout DPD travaillant dans ce domaine reconnaîtra que les tâches susmentionnées sont en grande partie les mêmes que celles dont il est actuellement responsable. Alors pourquoi ce changement ?

Le gouvernement britannique estime que les exigences actuelles ne permettent pas nécessairement d'obtenir les résultats escomptés de la législation : "Certaines organisations peuvent avoir du mal à nommer une personne possédant les compétences requises et suffisamment indépendante de ses autres fonctions, en particulier dans le cas des petites organisations".

Il est toutefois admis que certaines organisations peuvent encore choisir de désigner une personne pour jouer un rôle similaire à celui d'un délégué à la protection des données afin de contrôler et d'évaluer de manière indépendante la conformité de l'organisation en matière de protection des données. Toutefois, cette personne devra s'ajouter à la "personne responsable".

Conclusion

Le gouvernement analyse actuellement les quelque 3 000 réponses qu'il a reçues dans le cadre de la consultation. Sa réponse devrait être publiée au printemps et un livre blanc est attendu dans le courant de l'année.

Même si toutes les propositions ne seront pas adoptées, il est clair que le Royaume-Uni est maintenant sur la voie de l'après-Brexit pour s'écarter du RGPD. Récemment, le gouvernement a annoncé un "Brexit Freedoms Bill" destiné à mettre fin au statut spécial du droit de l'UE et à garantir qu'il puisse être plus facilement modifié ou supprimé, et a publié un document politique intitulé "The Benefits of Brexit" (les avantages du Brexit). La protection des données est l'un des résultats du Brexit que le gouvernement tient à présenter comme un "changement réel".

Si les entreprises soutiennent largement les efforts de réduction de la bureaucratie, il reste à voir comment ces changements affecteront l'adéquation du Royaume-Uni à l'UE pour les transferts de données - un aspect très important pour les entreprises, grandes et petites. Le document de consultation n'aborde pas ce point, ce qui est surprenant.

Voir le document de consultation ici.