L’exemption d’immigration du Royaume-Uni dans la loi sur la protection des données est jugée illégale

La Cour d’appel du Royaume-Uni a jugé que l’«exemption d’immigration » du gouvernement dans la loi sur la protection des données de 2018 (DPA 18) est illégale, annulant une décision de la Haute Cour de 2019.

L’exemption en matière d’immigration, qui figure à l’annexe 2 de l’Accord de non-communication 18, permet au Ministère de l’intérieur et à d’autres organisations ou entreprises impliquées dans le « contrôle de l’immigration » de refuser l’accès aux données personnelles détenues sur des personnes si cela risque de « nuire au maintien d’un contrôle efficace de l’immigration ».

L’organisation de campagne numérique Open Rights Group (ORG) et the3million, qui représente les citoyens de l’UE vivant au Royaume-Uni, ont fait valoir devant la Haute Cour en juillet 2019 que l’exemption était trop large et sapait le règlement général sur la protection des données (RGPD) de l’Union européenne (UE), ainsi que sa Charte des droits fondamentaux.

L’exemption, qui est la première dérogation de ce type en 20 ans de loi britannique sur la protection des données, affecte non seulement les ressortissants de l’UE, mais toute personne ayant des relations avec l’un des organismes d’État ou les entreprises impliquées dans le « contrôle de l’immigration ». Cela inclut les personnes qui cherchent refuge au Royaume-Uni ou celles qui sont touchées par le scandale Windrush.

Bien que le tribunal ait rejeté les arguments des groupes et jugé l’exemption légale – concluant que « les fins pour lesquelles, et les catégories de données auxquelles, elle peut s’appliquer étaient … correctement délimité » – un appel juridique a été entendu par trois juges les 23 et 24 février 2021, qui ont annulé la décision à l’unanimité le 2 juin 2021.

« C’est un jour capital. La Cour d’appel a reconnu que l’exemption d’immigration entraîne un énorme trou dans la loi sur la protection des données, permettant au gouvernement de restreindre l’accès aux informations qui peuvent être utilisées pour priver les gens de leurs droits », a déclaré Sahdya Darr, responsable de la politique d’immigration chez ORG.

« Si le gouvernement détient des renseignements à votre sujet, ce n’est que dans les circonstances les plus exceptionnelles qu’ils vous sont refusés, par exemple au cours d’une enquête criminelle.

« Le traitement des immigrants comme des criminels et des suspects est tout simplement erroné. La souffrance de la génération Windrush montre que l’utilisation des données par le ministère de l’Intérieur est médiocre. La Cour a conclu aujourd’hui que des garanties appropriées devraient être mises en place pour aider à prévenir de futurs abus et pour s’assurer que les gens sont traités équitablement et légalement.

Les lords juges Underhill, Singh et Warby ont jugé qu’il était « clair que l’exception en matière d’immigration n’est pas conforme » à l’article 23 du RGPD, ajoutant qu’il « s’agit d’une dérogation non autorisée aux droits fondamentaux conférés par le RGPD, et donc incompatible… Pour cette raison, c’est illégal.

L’article 23 stipule que toute dérogation au règlement doit se faire par le biais de mesures législatives et que ces mesures doivent définir un certain nombre de dispositions spécifiques.

« Le RGPD dit que les États membres peuvent restreindre ces droits, mais s’ils le font, cela doit être par le biais d’une mesure législative », a déclaré Waleed Sheikh, avocat associé chez Leigh Day représentant ORG et the3million, à Computer Weekly.

« Cette mesure législative doit avoir abordé certaines garanties – par exemple, la finalité du traitement des données, la portée de la restriction ou les garanties visant à prévenir les abus.

« Ce que la Cour a dit, c’est que ces deux choses sont absentes de l’exemption en matière d’immigration : premièrement, il n’y a pas de mesure législative, et deuxièmement, ces points ne sont pas abordés. »

Il a ajouté que bien que le Bureau du commissaire à l’information (ICO) ait déjà publié des directives sur la façon d’appliquer l’exemption, le but d’une mesure législative est qu’elle a force de loi derrière elle, ce que les directives de l’OIC ne font pas.

Selon Darr, le gouvernement a maintenant jusqu’au 9 juin pour demander à la Cour d’appel de faire appel de la Cour suprême.

« On s’attend à ce qu’une telle demande soit examinée en même temps que la réparation à l’audience. Si la Cour d’appel refuse l’autorisation d’interjeter appel, le gouvernement a alors la possibilité de présenter une demande directement à la Cour suprême, ce qui doit être fait dans les 28 jours », a-t-elle déclaré.

« Qu’un appel soit interjeté ou non, la question de la réparation sera tranchée lors de l’audience qui aura lieu au cours de l’été. Si le gouvernement n’interjette pas appel, il ne nous reste plus qu’à nous préparer pour l’audience de redressement.

L’affaire a révélé que le gouvernement a utilisé la clause pour refuser aux personnes concernées l’accès à tout ou partie de leurs données dans 60% des cas liés à l’immigration.

En janvier 2021, Matthew Rice, alors directeur de l’ORG pour l’Écosse, a déclaré à Computer Weekly qu’il n’y avait aucun moyen de savoir vraiment quand l’exemption a été appliquée, car le ministère de l’Intérieur ne le dit pas aux gens lorsqu’il répond à leurs demandes d’accès aux sujets (RAS).

« Nous avons constaté dans les précontentieux… que le ministère de l’Intérieur n’informait pas les gens de la date à laquelle l’exemption était engagée, de sorte que les gens recevaient simplement leur réponse des RAS et qu’on leur retirait des données, mais il ne disait pas: ‘Ces données ont été supprimées en raison de cette exemption’ », a-t-il déclaré, ajoutant que bien qu’il existe des mécanismes permettant aux gens de faire appel de la décision d’un contrôleur de données de ne pas divulguer de données , ils sont essentiellement dénués de sens si vous ne savez pas que les données ont été retenues en premier lieu.

La non-divulgation de données personnelles en vertu de l’exemption d’immigration interfère donc non seulement avec les droits d’accès de l’individu, mais aussi avec une multitude d’autres droits numériques accordés par le RGPD, y compris les droits de rectification, d’effacement et de restriction du traitement.

Sheikh a ajouté: « Il n’a pas encore été décidé quel sera le recours, donc jusqu’à ce que nous sachions exactement ce que le tribunal dit qu’il faut faire, il est assez difficile de parler de ce que seront les implications potentielles, ou pratiques, de ce jugement.

« En ce qui concerne le jugement tel qu’il est, c’est un jugement très positif et il reconnaît les préoccupations importantes que nous avions par rapport aux problèmes liés à l’exemption d’immigration. »