Le RGPD britannique fait face à des changements dans le cadre des réformes prévues

Un an après la publication de la stratégie nationale des données du Royaume-Uni, le ministère du Numérique, de la Culture, des Médias et du Sport (DCMS) entame une nouvelle consultation majeure axée sur les modifications proposées au régime de protection des données du Royaume-Uni dans un environnement post-Brexit, parallèlement aux réformes du Bureau du Commissaire à l’information (ICO).

Le vaste ensemble de propositions s’appuierait sur les dispositions du règlement général sur la protection des données (RGPD) et de la loi sur la protection des données (DPA) de 2018 et vise à remédier au manque de clarté quant à la manière dont le RGPD est appliqué et à réduire la charge pesant sur les organisations qui tentent de faire ce qu’il faut.

Parmi les réformes au rôle figurent les modifications apportées aux exigences applicables aux délégués à la protection des données (DPO), la fin des analyses d’impact obligatoires en matière de protection des données (AID) et les modifications des règles sur le signalement des violations.

Le gouvernement a cherché à apaiser les craintes qu’il se lance dans un feu de joie de la réglementation GDPR, décrivant son régime de données prévu comme « basé sur le bon sens, pas sur la case à cocher » et a insisté sur le fait que ses propositions ne sont pas une « édulcoration » de la législation GDPR.

« Maintenant que nous avons quitté l’UE, nous avons la liberté de créer un nouveau régime de données de premier plan mondial qui libère la puissance des données dans l’ensemble de l’économie et de la société », a déclaré le secrétaire au numérique, Oliver Dowden.

« Ces réformes assureront la sécurité des données des personnes, tout en inaugurant un nouvel âge d’or de croissance et d’innovation dans tout le Royaume-Uni, alors que nous reconséquons mieux après la pandémie. »

DCMS a insisté sur le fait que le gouvernement maintiendrait des normes de protection des données de premier plan, en s’appuyant sur la configuration actuelle basée sur le RGPD et l’APD, telles que les principes relatifs au traitement des données, aux droits des données et aux mécanismes de supervision et d’application.

Cependant, il était conscient que le régime actuel « impose des charges disproportionnées » à certaines organisations, telles que les petites entreprises qui sont confrontées aux mêmes processus de protection des données que les entreprises de plusieurs milliards de livres, il souhaite donc s’éloigner d’une approche unique pour permettre à différents types d’organisations de démontrer la conformité à la protection des données d’une manière plus appropriée à leur situation.

Dowden a déclaré que loin d’être un obstacle à l’innovation ou au commerce, une certitude réglementaire renouvelée et des normes élevées de protection des données permettraient aux entreprises et aux consommateurs britanniques de prospérer en ligne, et a ajouté que la protection des données personnelles resterait au cœur du futur régime.

Dans ce cadre, la refonte proposée du Bureau du Commissaire à l’information (ICO) – parallèlement à la nomination récemment annoncée du Néo-Zélandais John Edwards en tant que prochain commissaire à l’information – contribuera à « stimuler l’innovation et la croissance dans le secteur des données du Royaume-Uni et à mieux protéger le public contre les principales menaces de données ».

Les réformes de l’ICO comprendront une nouvelle structure globale, y compris un conseil d’administration et un directeur général indépendants qui reflètent plus étroitement les structures de gouvernance des organismes de réglementation connexes, tels que l’Autorité de la concurrence et des marchés (CMA), la Financial Conduct Authority (FCA) et l’Ofcom.

Une partie de l’objectif de cette réforme structurelle est de réduire le fardeau des plaintes que l’ICO reçoit chaque année en imposant davantage aux plaignants la charge de résoudre les litiges en matière de données avec les organisations avant d’impliquer l’ICO, tout comme on se plaindrait de son haut débit à son FAI avant de se plaindre à l’Ofcom. Il espère que cela aura également pour effet de permettre à l’ICO d’élargir son mandat pour défendre les secteurs et les entreprises qui utilisent les données personnelles de manière nouvelle, innovante et responsable pour améliorer la vie des gens.

Le gouvernement estime que cela contribuera en fin de compte à fournir des services publics plus agiles, efficaces et efficients, et à renforcer la position du Royaume-Uni en tant que « superpuissance scientifique et technologique ».

La commissaire à l’information, Elizabeth Denham, a déclaré: « Les données personnelles des gens sont utilisées de manière de plus en plus novatrice; il est juste que le gouvernement cherche à assurer un cadre législatif adapté à l’avenir. Un cadre qui continue d’être réglementé de manière indépendante afin de maintenir des normes élevées de protection des personnes tout en offrant des avantages sociaux et économiques.

« Mon bureau fournira des commentaires constructifs au fur et à mesure que les travaux progresseront, y compris par le biais de notre réponse publique à la consultation, en veillant à ce que l’ICO puisse réglementer efficacement cette législation. Nous examinerons les détails des propositions et avons l’intention de publier notre réponse dès que possible. »

Bojana Bellamy, présidente du Centre for Information Policy Leadership (CIPL), a déclaré que le plan global était audacieux, très nécessaire et pourrait être gagnant-gagnant.

« Il permet aux organisations d’exploiter les données de manière responsable, pour des avantages économiques et sociétaux et de construire leur marque en tant que gestionnaires de données de confiance. Cela donne aux individus des assurances et une protection plus efficace contre les préjudices réels », a-t-elle déclaré.

« L’approche fondée sur la responsabilisation, les risques et les résultats sera bien accueillie par tous – ce sont les éléments fondateurs d’une réglementation moderne et d’un organisme de réglementation moderne. J’espère que d’autres pays suivront l’exemple du Royaume-Uni. »

Sue Daley, directrice de la technologie et de l’innovation chez techUK et coprésidente du National Data Strategy Forum, a ajouté: « La consultation sur la réforme des données est le début d’une conversation importante qui doit inclure un large éventail de parties prenantes pour explorer comment nous pourrions améliorer le cadre de protection des données du Royaume-Uni pour les citoyens et les entreprises.

« Le Forum national sur la stratégie des données a un rôle clé à jouer pour y parvenir et appuie les autres activités annoncées aujourd’hui pour réaliser les missions de la Stratégie nationale sur les données. »

Éthique dans l’utilisation des données d’IA

Reconnaissant que l’utilisation de la prise de décision algorithmique et automatisée est en hausse et ne montre aucun signe de ralentissement, le paquet de réformes met également fortement l’accent sur le renforcement de la confiance que les services alimentés par l’IA sont une force pour le bien et ne nuiront pas par inadvertance aux gens.

En tant que telles, certaines des propositions énoncées dans le document de consultation d’aujourd’hui sont conçues pour aider les organisations à faire face au risque de biais dans leurs systèmes algorithmiques en identifiant les facteurs qui conduisent à des biais et en leur permettant de prendre des mesures pour s’assurer que leurs services ne reproduisent pas la discrimination sociétale ou historique, ou ne font pas d’inférences injustes, tels que les assureurs maladie qui surveillent les habitudes d’achat des gens pour prédire leur niveau de forme physique.

Le problème de l’assurance de l’IA constitue un élément clé du programme de travail 2021-22 du Centre for Data Ethics and Innovation (CDEI) et, à cette fin, le gouvernement a également nommé aujourd’hui plusieurs experts de premier plan au sein du conseil consultatif actualisé du CDEI, dont Jack Clark, cofondateur d’Anthropic AI et ancien directeur des politiques chez Open AI; Rumman Chowdhury, directeur de l’apprentissage automatique, de la transparence et de la responsabilité chez Twitter; Jessica Lennard, directrice principale des initiatives mondiales en matière de confidentialité des données et d’IA chez Visa; et James Plunkett, directeur exécutif des conseils et de la défense des droits chez Citizen’s Advice.