Le GDPR, mais sous un autre nom : la nouvelle loi britannique de protection des données

protection des données

Le mois dernier, le Royaume-Uni a publié la version finale d’une loi destinée à remplacer les règlements actuels de protection des données et de respect de la vie privée. Pour ceux qui n’ont pas suivi le feuilleton du Brexit qui se joue actuellement à Londres, le Data Protection Bill ou DPB permettra aux entreprises britanniques de poursuivre leurs affaires en UE une fois le « divorce » entre le Royaume-Uni et l’UE consommé.

Le Royaume-Uni appliquera des règles de données identiques à celles du Règlement général sur la protection des données (GDPR), mais il les déguisera subtilement sous le nom de DPB. Amants éconduits, séparations, fausses identités… on retrouve tous les ingrédients d’une comédie de Shakespeare (ou de Mrs. Doubtfire), mais dans la vie réelle.

Pour les entreprises qui doivent mettre en œuvre les changements, c’est tout sauf drôle.

À court terme

À l’heure actuelle, le Royaume-Uni applique la Directive de protection des données (DPD) de l’UE par le biais de sa loi Data Protection Act (DPA) de 1998 qui, dans le jargon européen, « transpose » ou copie la DPD en une loi nationale. À compter de mai 2018, le Royaume-Uni devra appliquer le GDPR, dont la vocation est d’harmoniser toutes les lois de sécurité des données des différents pays, comme le DPA du Royaume-Uni, en un seul ensemble de règles, et de mettre en place une structure de mise en application plus harmonisée.

Entre mai 2018 et la date à laquelle le gouvernement britannique promulguera officiellement le DPB, le GDPR sera aussi la loi de sécurité des données et de respect de la vie privée appliquée au Royaume-Uni. Le DPB devrait être promulgué avant le Brexit, lui-même prévu pour le 29 mars 2019 à 23h (UTC) précises d’après les dernières nouvelles.

Étant donné que le GDPR sera prochainement la loi de protection des données et de respect de la vie privée en vigueur au Royaume-Uni, en remplacement du DPA, les organisations ont fait le nécessaire pour être conformes aux nouvelles règles, en particulier en ce qui concerne le droit à l’oubli, le signalement des fuites aux autorités sous 72 heures, et la tenue plus stricte des registres des activités de traitement. Le DPB devrait, en théorie, assurer une transition simple aux entreprises britanniques.

Quelques différences

Comme de nombreuses personnes l’ont souligné (et je peux en attester personnellement), le DPB n’est pas un simple texte de loi, contrairement à ce que l’on aurait pu imaginer. Les prémices du DPB partent du principe que les règles du GDPR s’appliquent au Royaume-Uni et, à ce titre, il copie à peine le texte du GDPR.

Mais alors, que contiennent les quelques 200 autres pages de la loi ?

Une bonne partie est consacrée aux exceptions, limitations et clarifications prévues par le GDPR et tire pleinement avantage du texte écrit en tout petit dans le GDPR.

L’essentiel de la loi tient dans la 2ème partie qui expose ces différents ajustements, pour les données personnelles à caractère médical, et celles utilisées pour la recherche scientifique, les enquêtes criminelles, la sécurité des employés et l’intérêt du public. Les détails réels (avocats, prenez des notes), sont enfouis à la fin du DPB dans une longue section consacrée aux « calendriers ».

À titre d’exemple, les articles du GDPR portant sur le droit à l’oubli, la rectification des données et l’objection au traitement ne s’appliquent pas aux enquêtes portant sur, disons, les erreurs de gestion financière ou les fonctionnaires de l’État abusant de leurs fonctions. Dans les faits, les personnes visées par une enquête perdent le contrôle de leurs données.

Le DPB est également complexe dans le sens où il contient un ensemble parallèle complet de règles de sécurité et de confidentialité similaires à celles du GDPR pour les autorités chargées de l’application de la loi et les services de sécurité nationale. Le DPB transpose en réalité une autre directive européenne appelée Directive européenne d’application de la loi de protection des données. Une longue liste d’exceptions combinée à d’autres calendriers et tableaux figure à la fin du document.

Alors que le but du Brexit était de sortir du cadre réglementaire de l’UE, le Data Protection Bill en conserve les règles et nous oblige par la même occasion à retenir de nombreuses abréviations.

Entreprises, méfiez-vous des nouveaux pouvoirs d’audit de l’ICO

Cela ne signifie pas pour autant que la nouvelle loi britannique ne nous réserve pas quelques surprises.

Le DPB accorde aux régulateurs de l’Information Commission’s Office (ICO) du Royaume-Uni de nouveaux pouvoirs d’investigation par le biais de « notifications d’évaluation ». Ces notifications accordent le droit au personnel de l’ICO de pénétrer dans une organisation, d’examiner les documents et les équipements, et d’observer comment les données personnelles sont traitées. En pratique, les régulateurs britanniques auront la possibilité d’auditer la conformité d’une organisation en matière de sécurité des données.

Dans le cadre du DPA actuellement en vigueur, l’ICO ne peut imposer ces évaluations forcées que pour des organismes du gouvernement tels que le NHS. Le DPB étend l’audit obligatoire de la sécurité des données au secteur privé.

Si l’ICO décide que l’organisation n’est pas conforme au DPB, ces audits peuvent déboucher sur des notifications d’obligation de mise en œuvre soulignant les lacunes en termes de sécurité ainsi qu’un calendrier précisant les échéances auxquelles les corrections devront être appliquées.

La véritable arme de l’ICO est sa capacité à attribuer des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires mondial d’une organisation. Ces sanctions financières sont comparables à celle du GDPR.

En bref : le DPB est le GDPR, et il embaume autant sous un autre nom.

Pour les entreprises britanniques (et multinationales basées au Royaume-Uni) qui ont déjà mis en place des contrôles et procédures de sécurité en s’appuyant sur des normes reconnues telles que ISO 27001, les règles du DPB ne devraient pas être difficiles à mettre en œuvre.

Toutefois, pour les entreprises qui ont négligé d’appliquer les pratiques fondamentales de gouvernance des données, en particulier pour les immenses quantités de données qui figurent dans les systèmes de fichiers, le DPB sera un choc.

Les responsables de la sécurité, responsables des informations et responsables de la confidentialité devront se poser cette question : voulons-nous procéder à nos propres évaluations et améliorer la sécurité des données ou laisser l’ICO s’en charger pour nous ?

Je pense que la réponse est assez évidente !

 

Andy blogs about data privacy and security regulations. He also closely follows new malware threats and what it means for IT security.