OBS IRIS Merlin
english francais deutsch

IRIS 2017-10:1/19

Royaume Uni

Le Gouvernement soumet au Parlement un projet de loi relative à la protection des données

print add to caddie Word File PDF File

Tony Prosser

Faculté de droit de l’Université de Bristol

Le Gouvernement britannique a soumis à la Chambres des Lords un projet de loi relative à la protection des données qui, après son adoption par le Parlement, devrait entrer en vigueur l’an prochain. Le texte vise à mettre en œuvre l’engagement pris par le Parti conservateur dans son programme de 2017 de remplacer la législation actuellement applicable en matière de protection des données, qui remonte à 1998 (voir IRIS 1998-8/21), afin de l’adapter à l’ère du numérique où le volume du traitement des données à caractère personnel ne cesse de croître. Il entend également actualiser la législation de manière à ce qu’elle soit conforme au Règlement général n° 2016/679 de l'Union européenne sur la protection des données (ci-après le « RGPD) ; à l’issue du Brexit, le RGPD continuera à faire partie de la législation nationale. Le projet de loi met également en œuvre un certain nombre de dérogations et exemptions au titre du RGPD, qui permettent aux Etats membres de prendre leurs propres dispositions.

Le texte précise ensuite ce qu’il convient d’entendre par « contrôleur » de données, en complétant la définition retenue par le RGPD, ainsi que le sens à donner au terme « autorité publique », que ne définit pas le RGPD. Il énumère les conditions dans lesquelles les données peuvent être licitement traitées, y compris celles qui concernent des catégories particulières de données à caractère personnel, comme l’appartenance ethnique, les opinions politiques ou la santé. Il s’agit là notamment de garantir que les données sensibles en matière de santé et de protection puissent continuer à être traitées de manière confidentielle. Il prévoit également de limiter le droit d'accès des particuliers aux données dans des cas précis, par exemple lorsqu’il s’agit des données des organismes réglementaires, de la justice et des enquêtes en cours.

Le projet de loi étend la portée des articles pertinents du RGPD aux données générales qui n’entrent pas dans le champ d’application du droit de l’Union européenne. Il prévoit ainsi la transposition en droit britannique de la Directive 2016/680 de l’Union européenne relative au traitement des données personnelles par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuite en la matière, y compris de protection contre les menaces pour la sécurité publique et de prévention de ces menaces. Le texte s’applique également au traitement national des données à caractère personnel à ces mêmes fins. Une autre disposition vise par ailleurs à réglementer le traitement national des données à caractère personnel par les services de sécurité. Ce point ne relève actuellement pas du champ d'application du droit de l'Union européenne, l'approche britannique repose par conséquent sur la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE n° 108).

Le projet de loi reprend les dispositions pertinentes de la Commission de l'information, en sa qualité d’autorité compétente dans ce domaine. Le RGPD accorde aux autorités compétentes de plus larges pouvoirs pour infliger des amendes en cas de violation des dispositions ; il instaure des garanties procédurales dans le cadre de ce processus et conserve le droit de déposer un recours devant le tribunal de première instance. Il apporte en outre des modifications aux infractions pénales pour manquement et instaure de nouvelles infractions pénales pour répondre aux nouvelles menaces, comme la ré-identification délibérée afin d’éviter la divulgation de l’identité des personnes dont les données à caractère personnel sont contenues dans des données rendues anonymes.

Bien que ce projet de loi soit relativement long et complexe, il ne s'écarte pas radicalement de l'ancien système prévu par la loi de 1998 relative à la protection des données, qu'il abrogera. Il reste désormais à voir dans quelle mesure le texte fera l’objet d’amendements lors de son examen par le Parlement.

références
Data Protection Bill, HL Bill 66, 13 September 2017 EN
 http://merlin.obs.coe.int/redirect.php?id=18767
 
  Projet de loi relative à la protection des données n° 66, 13 septembre 2017    
Data Protection Bill, Explanatory Notes, 13 September 2017 EN
 http://merlin.obs.coe.int/redirect.php?id=18768
 
  Projet de loi relative à la protection des données, Notes explicatives, 13 septembre 2017