Le Royaume-Uni a enfin dévoilé ses plans pour son remplacement du GDPR : le Data Protection and Digital Information Bill (DPDIB). Présenté au Parlement la semaine dernière, le projet de loi vise à stimuler la croissance économique tout en protégeant la vie privée.
Les règles proposées promettez de réduire la paperasserie, de réduire les coûts, de favoriser le commerce et (s’il vous plaît, Seigneur) de réduire les pop-ups de cookies. Ils prétendent également de manière controversée générer des économies de plus de 4 milliards de livres sterling sur 10 ans (plus à ce sujet plus tard).
L’ombre du retrait du Royaume-Uni de l’UE plane sur les plans. Dans sa présentation du projet de loi, le gouvernement s’engage à libérer un dividende Brexit insaisissable.
“Notre système sera plus facile à comprendre, plus facile à respecter et tirera parti des nombreuses opportunités de la Grande-Bretagne post-Brexit”, a déclaré la ministre de la Technologie Michelle Donelan dans un communiqué. “Nos entreprises et nos citoyens n’auront plus à s’emmêler autour du GDPR européen basé sur les barrières.”
C’est le plan, du moins – mais il s’est déjà révélé diviseur.
Couper les formalités administratives
Le commerce basé sur les données apporte une contribution massive aux coffres du Royaume-Uni. En 2021, il a généré environ 259 milliards de livres sterling et 85 % des exportations de services britanniques.
Le DPDIB envisage d’autres récompenses grâce à des exigences légales simplifiées.
“Nos nouvelles lois libèrent les entreprises britanniques des formalités administratives inutiles pour débloquer de nouvelles découvertes, faire progresser les technologies de nouvelle génération, créer des emplois et stimuler notre économie”, a déclaré Donelan.
Toutes les réglementations sur les données doivent équilibrer la protection des personnes et la promotion de l’innovation. Sous le RGPD, de nombreuses entreprises sont devenues frustrées par les charges bureaucratiques. Le DPDIB vise à faire pencher la balance vers les avantages commerciaux.
« Il était essentiel de clarifier la confusion et de simplifier les charges administratives.
Chris Combemale, PDG de la Data and Marketing Association (DMA), a collaboré avec le gouvernement sur les nouvelles règles. Il s’attend à ce que le projet de loi fournisse «un catalyseur pour l’innovation», tout en maintenant le confidentialité protections nécessaires à la confiance des consommateurs.
“Il était essentiel que le projet de loi préserve les principes éthiques clés des lois existantes, tout en clarifiant les zones de confusion et en simplifiant les lourdes charges administratives pour les petites entreprises”, a déclaré Combemale à TNW par e-mail.
Le briquet charge réglementaire s’avère populaire. Les entreprises ont bien accueilli la simplification exigences pour la tenue de registres, le traitement des données personnelles et la prise de décision automatisée, ainsi que comme la capacité de rejeter les demandes d’accès aux données « vexatoires ou excessives ». Des éloges ont également été accordés au nouveau cadre pour les identifiants numériques, des ressources supplémentaires pour le chien de garde des données du Royaume-Uni, et augmentation des amendes pour appels et SMS importuns.
Chris Vaughan de Taniumune société de sécurité des terminaux, affirme que les nouvelles règles sont plus simples que le RGPD.
“L’un des principaux avantages apportés par la nouvelle loi est la réduction des coûts commerciaux créée par le RGPD – rendue encore plus bienvenue alors que les organisations continuent de lutter dans le paysage économique actuel”, a déclaré Vaughan à TNW.
Cependant, l’assouplissement des règles peut également augmenter les risques.
Dangers pour la vie privée
Les critiques avertissent que les nouvelles lois mettront les citoyens en danger. Plus de 30 groupes de la société civile ont demandé l’abandon du projet de loi, craignant qu’il n’affaiblisse la protection des données et ne nuise aux groupes marginalisés.
Colin Hayhurst de monune vie privée-basé sur le moteur de recherche, est particulièrement troublé par la responsabilité réduite pour le traitement des données à « faible risque ». Il craint également que le projet de loi légifère trop de questions complexes à la fois.
“Je crains que les problèmes critiques liés aux innovations telles que l’IA ne fassent tout simplement pas l’objet d’un examen ou d’une réflexion suffisants”, déclare Hayhurst. “Il convient de noter que l’UE considère la réglementation de l’IA comme un sujet tellement compliqué et important qu’elle a une facture entièrement distincte dédié à la question.
Hayhurst est particulièrement frappé par les implications pour IA dans la recherche. Le nouveau projet de loi accorde aux organisations commerciales les mêmes libertés qu’aux universitaires pour tout données traitement pour la recherche “qui peut raisonnablement être qualifiée de scientifique”.
Cela pourrait créer de grandes opportunités pour les entreprises qui développent l’IA avec la collecte de données. Mais cela pourrait donner encore plus de pouvoir aux grandes entreprises dotées de bras de recherche, comme DeepMind de Google et FAIR de Meta.
“Les grandes entreprises technologiques dotées de groupes de recherche peuvent continuer à récolter et à utiliser toutes les données personnelles dont elles disposent, pour former l’IA dans leurs activités de recherche”, déclare Hayhurst. « Tout cela comporte des risques ; et malheureusement, ce risque sera majoritairement assumé par ceux dont les données sont introduites dans la machine, plutôt que par les entreprises elles-mêmes.
Pour atténuer le risque, les règles sur les réponses aux demandes d’accès aux données pourraient être renforcées, en particulier lorsque les données génèrent des bénéfices. Un délai d’un mois pour les réponses peut être approprié pour les petites entreprises, mais pas pour les multinationales disposant d’entrepôts remplis de superordinateurs.
“Il est ironique que les entreprises soient capables de rendre incroyablement facile pour elles-mêmes la collecte de données sur une personne et ensuite très difficile pour la personne qui possède les données de savoir quelles données une entreprise détient sur elle !” dit Hayhurst. “C’est un domaine où une approche “taille unique” ne convient pas aux consommateurs.”
L’économie numérique
Malgré ses appréhensions, Hayhurst reconnaît que le gouvernement a répondu aux commentaires. Notamment, une proposition d’abandonner le test de mise en balance pour une “liste d’activités limitée, générique mais exhaustive” n’a pas été intégrée dans le texte final. Cependant, des inquiétudes subsistent quant au fait que les entreprises seront tenues de respecter des normes éthiques inférieures.
Les critiques se méfient particulièrement des exigences réduites en matière de surveillance, d’enregistrement et de contrôle par les utilisateurs du traitement des données. Il existe également une marge supplémentaire pour le traitement des données sans le consentement d’un individu. Ces changements pourraient laisser le public à la fois plus à risque et moins confiant dans l’économie numérique.
« Le gouvernement brade la vie privée au profit des entreprises.
« Si les entreprises ne sont pas conscientes de la quantité de données collectées, de leur utilisation et des implications de leur utilisation, comment peuvent-elles s’attendre à ce que les consommateurs leur fassent confiance ? » demande Angel Maldonado, PDG d’une entreprise de commerce électronique Empathie.
Michael Queenan, PDG et co-fondateur de Néphos Technologiespousse les critiques un peu plus loin.
“Le gouvernement a décidé de vendre la confidentialité des données personnelles au profit des entreprises et de l’innovation”, a déclaré Queenan à TNW. “Sinon, pourquoi cela supprimerait-il d’importantes mesures mondiales de protection des données déjà adoptées ?”
Une motivation peut être les économies potentielles. Comme mentionné précédemment, les réformes devraient débloquer 4,7 milliards de livres sterling pour l’économie britannique. Mais les preuves de cette affirmation sont difficiles à trouver.
Le gouvernement fait référence au chiffre avec un lienqui a été rompu depuis que nous avons vu l’annonce pour la première fois. La source peut être trouvé via la Wayback Machine, mais l’estimation qu’elle relie a été publiée en juillet 2022 – lorsque une autre version du projet de loi a été présenté. Critiques soupçonne que l’estimation de 4,7 milliards de livres sterling a peu de fondement dans la réalité.
“Contrairement aux économies de milliards pour les entreprises, le projet de loi pourrait entraîner une augmentation des coûts de mise en conformité et des charges administratives pour les entreprises qui opèrent dans plusieurs juridictions”, déclare Shaun Hurst, conseiller principal en réglementation au sein de la société regtech. Smarsh.
Dispositions RGPD
Les divergences avec le RGPD sont un thème récurrent dans les pitchs des DPDIB. Le gouvernement a souligné les avantages de ces déviations, mais elles menacent également les transferts de données avec l’UE.
Le Royaume-Uni dispose actuellement du statut d’adéquation des données de l’UE, qui protège le flux de données entre les deux juridictions. Les députés, cependant, ont contesté avec les réformes prévues par la Grande-Bretagne. S’ils décident que le nouveau projet de loi ne respecte pas les normes requises, l’accord d’adéquation pourrait être perdu.
En conséquence, les entreprises vendant au Royaume-Uni et dans l’UE devrait cse conformer à deux ensembles de lois. Les géants de la technologie peuvent être réticents à développer des variations de produits et de politiques pour un nouveau régime, tandis que les entreprises nationales pourraient envisager de déménager dans le syndicat.
“Être libéré de la bureaucratie ne sera un avantage que si les entreprises continuent de pouvoir travailler avec les citoyens européens et leurs données au-delà des frontières en tirant parti de la décision d’adéquation qui s’applique au Royaume-Uni depuis le Brexit”, déclare Amanda Brock, PDG de OpenUKune organisation à but non lucratif qui représente la technologie ouverte.
Le gouvernement a toutefois publiquement souligné l’importance de maintenir l’adéquation des données. Certains experts en matière de protection de la vie privée sont également convaincus que les nouvelles mesures répondront aux exigences de l’UE. Pourtant même si le Royaume-Uni conserve l’adéquation des données, les entreprises qui commercent dans l’UE doivent respecter les normes GDPR. Par conséquent, les principaux bénéficiaires du nouveau régime pourraient être entreprises qui opèrent uniquement sur le marché britannique.
“Je pense que ces soi-disant ‘économies’ ne se matérialiseront jamais pour la plupart des entreprises”, déclare Farhad Divecha, fondateur de AccuraCastune agence de marketing numérique basée à Londres. “Si vous avez des visiteurs d’Europe ou faites des affaires avec l’Europe, vous devez toujours vous conformer au RGPD. Donc, si quoi que ce soit, nous finirons par avoir des exigences plus compliquées qui diffèrent pour votre clientèle au Royaume-Uni par rapport à l’Europe. »
Néanmoins, l’abandon du RGPD pourrait avoir des résultats mondiaux positifs. Ilia Kolochenko, le fondateur de la société de sécurité ImmuniWeb et membre du réseau d’experts en protection des données d’Europol, espère que le projet de loi pourra influencer les règles de l’UE.
Il craint que les entreprises ne soient aux prises avec la lassitude du RGPD, une application incohérente entre les États membres et les coûts croissants de la conformité formaliste.
“Les entreprises européennes gagneraient un avantage concurrentiel significatif sur le marché mondial si le RGPD européen passait par un ensemble similaire d’améliorations et de simplifications”, déclare Kolochenko.
“Si la tendance à la surréglementation persiste, nous assisterons probablement à une non-conformité massive et délibérée, car les coûts et les sanctions pour les infractions non majeures seront probablement beaucoup moins importants que les coûts d’une mise en œuvre globale des réglementations et directives européennes en matière de cybersécurité qui se multiplient.”
C’est un vaillant appel à l’équilibre, mais il est peu probable qu’il fasse l’objet d’un consensus, comme tout autre argument sur la protection des données. Malgré ces profondes divisions, il y a sûrement au moins une chose sur laquelle nous sommes tous d’accord : “DPDIB » est un acronyme hideux.