La nouvelle version britannique du GDPR doit avoir au cœur un engagement à réduire les coûts et les problèmes de conformité pour les petites entreprises, affirment les experts en affaires.
La secrétaire d’État à la culture Michelle Donelan a annoncé lors de la conférence du Parti conservateur que le Royaume-Uni aura sa propre version du GDPR pour remplacer le système de l’UE.
Le règlement général sur la protection des données (RGPD) est apparu sur la scène en 2018, mais pour les entreprises britanniques, il s’est transformé en RGPD britannique en janvier 2021.
Le gouvernement a annoncé un projet de loi sur la protection des données et l’information numérique pour remplacer le GDPR en juin dernier, mais cela a été mis en attente et reconsidéré. Ce projet était basé sur le cadre européen existant, avec un certain assouplissement des réglementations pour les petites entreprises.
Que savons-nous de la nouvelle version britannique du GDPR ?
Donelan n’a pas énuméré beaucoup de détails concrets sur ce que la nouvelle législation impliquerait lorsqu’il s’est exprimé à la Conférence du Parti conservateur à Birmingham, mais a déclaré : « Je peux promettre (…) qu’elle sera plus simple et plus claire pour que les entreprises s’y retrouvent ».
>Voir aussi : Les meilleurs logiciels de conformité au GDPR pour les directeurs techniques.
Elle a ajouté qu’il sera construit sur « le bon sens, aidant à prévenir les pertes dues aux cyberattaques et aux violations de données, tout en protégeant la confidentialité des données ».
Il a également été révélé que les entreprises britanniques auraient leur mot à dire dans l’élaboration du nouveau système de protection des données.
Qu’est-ce que le GDPR ?
Le GDPR, qui est entré en vigueur en mai 2018, est un texte législatif sur la vie privée et la sécurité qui concerne toute personne dans l’UE. Il exige des entreprises qu’elles traitent les données personnelles avec le plus grand soin, notamment en demandant l’autorisation de collecter ces données, en indiquant quelles données sont collectées et en avertissant cette personne si jamais ces données sont violées.
La question de l’adéquation des données
Des craintes ont été soulevées en juin dernier avec le projet de loi initial sur la protection des données et l’information numérique, selon lesquelles la nouvelle législation pourrait ne pas être compatible avec le GDPR en Europe et menacer l’accord d’adéquation des données du Royaume-Uni avec l’UE.
L’adéquation des données signifie que la législation des autres pays est d’un niveau similaire ou supérieur – ce que l’UE exige pour garantir le flux de données entre elle et un pays extérieur.
L’adéquation des données doit faire l’objet d’une révision complète par l’UE en 2025.
Pour les entreprises britanniques qui dépendent de clients européens, la suppression de cet accord par les législateurs européens pourrait entraîner une baisse des revenus commerciaux de 1 milliard de livres et des coûts de mise en conformité de 420 millions de livres sur cinq ans, selon le Centre for European Reform.
L’espoir du gouvernement britannique est que l’UE accorde, quelle que soit la nouvelle législation, l’adéquation des données et que cette menace soit levée.
Donelan a cité le Japon, le Canada, la Corée du Sud, Israël et la Nouvelle-Zélande comme exemples de réglementations des données fonctionnant en dehors du GDPR.
Notamment, les États-Unis n’ont pas d’adéquation des données avec l’UE. Ils ont toutefois donné leur accord de principe sur un nouveau réseau transatlantique de protection des données après que le bouclier de protection des données UE-États-Unis ait été déclaré caduc en juillet 2020.
M. Donelan admet que l’adéquation des données est un élément central du plan du nouveau projet de loi afin que les entreprises puissent continuer à commercer librement.
Que signifie la nouvelle version du GDPR pour les petites entreprises ?
Donelan a affirmé lors de la conférence que la réglementation actuelle du GDPR crée un fardeau disproportionné pour les petites entreprises, affirmant qu’elles sont actuellement » enchaînées par de nombreuses formalités administratives inutiles » et » plafonnent » les bénéfices des entreprises de 8 %.
Tina McKenzie, présidente de la politique et du plaidoyer de la Fédération des petites entreprises (FSB), a déclaré que la réglementation actuelle du GDPR crée un fardeau disproportionné pour les petites entreprises. Petites entreprises que toute mise à jour ou remplacement potentiel du GDPR doit avoir au cœur un engagement à réduire les coûts et les problèmes de conformité pour les petites entreprises.
Elle a déclaré : « Les changements devraient équilibrer la rationalisation et l’allègement de la charge, tout en évitant des obstacles supplémentaires au partage transfrontalier des données et au commerce avec l’UE, les États-Unis et d’autres marchés importants.
« Il est important que les changements envisagés tiennent compte du fait que les petites entreprises ont déjà consacré beaucoup de temps et d’efforts pour se conformer aux règles actuelles du GDPR.
« Les petites entreprises recherchent plus de soutien et de flexibilité en matière de conformité, des conseils faciles à utiliser et accessibles, et moins d’exigences prescriptives. La divergence par rapport au GDPR de l’UE doit à la fois fonctionner au niveau national et protéger la capacité des petites entreprises à commercer. »
Stephanie Clarke, avocate spécialisée dans l’emploi chez SA Law, a déclaré qu’elle espérait que la nouvelle loi ferait ce qui est nécessaire pour assurer la protection des données sans être une « nuisance ».
Elle a déclaré : » Le GDPR britannique, dans sa forme actuelle, est notoirement bureaucratique et pèse de manière disproportionnée sur les petites entreprises, qui font souvent preuve d’une prudence excessive dans le traitement des données, au détriment de la croissance et de l’innovation.
« Si les principes fondamentaux de la législation sur la protection des données sont solides et que je ne prévois pas d’érosion des exigences en matière de sécurité des données, notamment en ce qui concerne les questions de cybersécurité, certains domaines plus périphériques pourraient bénéficier d’une simplification.
« Il se peut qu’il y ait des changements concernant l’utilisation des données à des fins de marketing, y compris une éventuelle dérogation à la législation européenne sur les cookies, ainsi que des changements dans les principes de conservation des données. Ces domaines sont souvent considérés comme des domaines où il n’y a pas de besoin évident de protection et où les entreprises britanniques ont particulièrement eu du mal à se conformer. »
Neil Thacker, CISO de la société de cybersécurité Netskope, est toutefois sceptique quant aux avantages que les petites entreprises tireront de la nouvelle législation, déclarant : « Le fait de devoir traiter les données différemment pour n’importe quelle région ajoute aux coûts des entreprises, donc pour toute organisation travaillant à l’échelle internationale, l’ajout d’une autre réglementation internationale entraînera des coûts et une charge supplémentaire en termes de ressources.
» En outre, obtenir une confirmation d’adéquation avec le GDPR est un processus qui prend du temps, ce qui risque de provoquer encore plus d’incertitude pour les entreprises britanniques et celles qui cherchent à commercer avec le Royaume-Uni.
« Les avocats vont en tirer du travail, les professionnels de la sécurité informatique et des données vont en avoir des maux de tête, et les personnes concernées ne peuvent qu’être plus confuses. »
Voir aussi :
4e anniversaire du GDPR : les enseignements tirés en matière de protection des données -. À l’occasion du 4e anniversaire de l’entrée en vigueur du Règlement général sur la protection des données (RGPD) de l’UE pour les entreprises, nous explorons les leçons que les leaders de la technologie ont tirées depuis…
Comment les entreprises peuvent lutter contre la sécurité des données et les problèmes liés au GDPR lorsqu’elles travaillent à distance – Oliver Rowe, directeur général de Fusion Communications, explique comment les entreprises peuvent lutter contre les problèmes de sécurité des données et de GDPR lorsqu’elles travaillent à distance.
Trois ans après – Le GDPR est-il suffisant pour protéger nos données ? – Rob Price, consultant expert en solutions et responsable mondial des risques et de la conformité chez Snow Software, se demande si le GDPR est suffisant pour protéger nos données.