Royaume-Uni Projet de loi sur l'utilisation et l'accès aux données (DUA): Naviguer dans les changements et la conformité avec BigID

Le Royaume-Uni Projet de loi sur l'utilisation et l'accès aux données (DUA) a été présenté à la Chambre des Lords du Royaume-Uni le 24 novembre 2024, pour réformer le cadre existant de protection des données, en particulier la loi sur la protection des données, Règlement sur la protection de la vie privée et les communications électroniques (PECR)et RGPD au Royaume-UniLe projet de loi DUA vise à concilier l'innovation axée sur les données et la protection du droit à la vie privée des individus. Cependant, il risque de créer des contradictions avec les normes européennes de confidentialité des données, ce qui pourrait impacter le statut d'adéquation des données du Royaume-Uni.

Qu'est-ce que le projet de loi DUA ?

Le Projet de loi sur les données (utilisation et accès) Il s'agit d'une proposition législative visant à établir un cadre pour les systèmes d'identification numérique et à réglementer l'utilisation et l'accès aux données dans le pays. Le projet de loi DUA a été publié le 24 octobre 2024 pour remplacer le projet de loi du gouvernement précédent, qui a échoué. Projet de loi sur la protection des données et des informations numériques (DPDI).

Le DUA vise à « débloquer l'utilisation sécurisée et efficace des données dans l'intérêt public » tout en stimulant la croissance économique et en améliorant la vie des résidents britanniques. Le projet de loi vise à moderniser les pratiques en matière de données, à promouvoir l'innovation numérique et à garantir des mesures solides de protection des données.

Principales réformes prévues dans le projet de loi DUA

Le projet de loi DUA a un impact considérable sur la protection des données au Royaume-Uni, en mettant l'accent sur la réduction des contraintes réglementaires pour les petites et moyennes entreprises (PME), la simplification des demandes d'accès aux données des personnes concernées (DSAR) et le renforcement de l'alignement avec les politiques de l'UE en matière de données. Ces modifications proposées ont des implications et restent cruciales pour les organisations qui se préparent aux évolutions législatives futures.

Le projet de loi DUA proposait plusieurs amendements importants au paysage de la protection des données au Royaume-Uni :

Intérêts légitimes et traitement

• Intérêt légitime : Le projet de loi propose que les responsables du traitement ne soient pas tenus de procéder à une évaluation des intérêts légitimes (EIL) lorsque le traitement relève d'« intérêts légitimes reconnus ». Il s'agit notamment de situations telles que la sauvegarde de la sécurité nationale, la protection des personnes vulnérables ou la réponse à une situation d'urgence.

En outre, le projet de loi DUA fournit des exemples précis d'activités de traitement pouvant être considérées comme nécessaires à la réalisation d'intérêts légitimes, notamment le marketing direct, le partage interne de données et la cybersécurité. Ce projet de loi apporte une clarté indispensable, permettant aux responsables du traitement de comprendre quand ils peuvent légitimement invoquer des intérêts légitimes pour justifier le traitement des données.

• Traitement ultérieur des données personnelles : Le projet de loi renforce la réglementation relative au traitement ultérieur des données personnelles, en soulignant leur compatibilité avec la finalité initiale de la collecte. Les organisations doivent procéder à des évaluations plus rigoureuses afin de garantir que toute nouvelle utilisation des données personnelles reste conforme à son objectif initial.

DSAR et prise de décision automatisée

• DSAR : Le projet de loi DUA affine le traitement des demandes d'accès aux données des personnes concernées (DSAR), exigeant des responsables du traitement qu'ils effectuent des recherches « raisonnables et proportionnées », sans toutefois définir explicitement ces termes. Il introduit des exemptions pour les informations protégées par le secret professionnel et clarifie les délais de réponse en fonction de la vérification d'identité ou de détails de traitement supplémentaires. Contrairement au projet de loi DPDI, il n'autorise pas les responsables du traitement à refuser les demandes de plainte, mais prévoit un cadre légal pour limiter la portée des recherches, garantissant ainsi que les responsables du traitement ne sont tenus de fournir des informations que sur la base d'un effort raisonnable et proportionné. Cela offre davantage de clarté et de sécurité juridique aux organisations qui gèrent la conformité aux DSAR.
• Prise de décision automatisée : Le projet de loi établit une réglementation plus stricte pour les décisions importantes prises exclusivement par traitement automatisé, garantissant ainsi l'équité et la transparence des décisions algorithmiques. Il restreint l'interdiction de la prise de décision automatisée aux cas ayant un impact significatif sur les personnes concernées et impliquant des catégories particulières de données. De plus, il introduit de nouveaux droits pour les personnes concernées, notamment le droit de recevoir des informations sur les décisions automatisées et de demander une intervention humaine dans le processus décisionnel.

Consentement et cookies

• Réglementation du consentement aux cookies : Le projet de loi modifie le Règlement sur la protection de la vie privée et les communications électroniques (PECR), qui vise à réduire les fenêtres contextuelles et les bannières de cookies en autorisant certains types de biscuits être placé sans consentement explicite de l'utilisateur. Il s'agit notamment des cookies utilisés pour les fonctionnalités essentielles du site web, la sécurité, la prévention de la fraude et la mesure d'audience. De plus, le projet de loi encourage le développement de paramètres au niveau du navigateur ou de l'appareil permettant aux utilisateurs de gérer leurs préférences en matière de cookies plus efficacement, réduisant ainsi le besoin de demandes de consentement répétées.
• Clarification du consentement : Le projet de loi définit le « consentement libre » afin de répondre aux préoccupations concernant les services exigeant un consentement comme condition d'accès. Ce changement favorise une plus grande transparence et des pratiques de traitement des données globalement plus conviviales.
• Recherche scientifique : Le projet de loi modifie le RGPD britannique afin de permettre aux responsables du traitement de traiter des données à des fins de recherche scientifique afin d'obtenir le consentement pour un domaine de recherche spécifique. Les personnes concernées peuvent ainsi consentir uniquement à certains aspects de la recherche, et non à l'ensemble de l'étude.

Nouveaux ajouts du projet de loi DUA

Le projet de loi DUA comprend de nouveaux éléments non inclus dans le projet de loi DPDI, tels que :

• Données de catégorie spéciale : En vertu de l'article 74, le secrétaire d'État est habilité à édicter des règlements élargissant les catégories spéciales de données visées à l'article 9 du RGPD britannique. Ces règlements peuvent introduire de nouvelles catégories de données, affiner les conditions applicables, interdire le traitement et ajouter des définitions pour s'adapter aux avancées technologiques et sociétales.
• Données sur les enfants : Le projet de loi DUA renforce la protection des données des enfants en exigeant que le Bureau du Commissaire à l'information du Royaume-Uni (ICO) accorde la priorité à la vulnérabilité des enfants dans le traitement des données lors de l'application des lois sur la protection des données.
• Plaintes des personnes concernées : Le projet de loi DUA exige que les personnes concernées déposer des plaintes Les plaintes doivent être adressées directement au responsable du traitement concerné avant d'être transmises à l'ICO en cas de non-résolution, afin de réduire la charge de travail de l'ICO. Les organisations doivent mettre en place une procédure formelle de réclamation et tenir un registre des réclamations relatives à la protection des données, qui doit être communiqué à l'ICO sur demande.
• Transferts internationaux de données : Le projet de loi modifie le RGPD britannique en permettant au secrétaire d'État d'approuver les transferts de données à l'aide d'un nouveau « test de protection des données », garantissant que les normes des autres pays ne sont pas significativement inférieures à celles du Royaume-Uni.
• Services de vérification numérique : Le projet de loi établit des réglementations pour les services de vérification numérique, notamment un registre des fournisseurs et un cadre de confiance, qui vise à renforcer la confiance dans la vérification d’identité en ligne.

Comment BigID peut aider les organisations à s'aligner sur le projet de loi DUA

BigID permet aux organisations de se conformer à la nouvelle loi britannique sur l'utilisation et l'accès aux données (DUA) en fournissant des capacités avancées de découverte, de classification, de gouvernance et d'IA des données. numérisation et catalogage automatisésBigID aide les organisations à identifier et gérer les données personnelles et sensibles, en simplifiant la conformité aux réglementations plus strictes en matière de traitement des données, d'intérêts légitimes, de consentement et de droits des personnes concernées. Les capacités de surveillance de la sécurité et de la conformité de BigID contribuent également à atténuer les risques liés aux transferts de données, à la prise de décision automatisée et à la protection des données des enfants, permettant ainsi aux organisations de s'aligner sur l'évolution des exigences réglementaires du projet de loi DUA.

Avec BigID, les organisations peuvent :

• Gagnez en visibilité sur les données : Classez, catégorisez, étiquetez et étiquetez automatiquement les données personnelles sensibles avec précision, granularité et échelonnez-les par personne, sensibilité, type, contexte et contenu.
• Découvrez les données : Découvrez et cataloguez vos données sensibles, y compris structurées, semi-structurées et non structurées, dans des environnements sur site et dans le cloud.
• Réduire les données : Assurez la minimisation des données grâce à la découverte et à la corrélation des doublons pour supprimer automatiquement les données ROT et réduire votre surface d'attaque.
• Automatiser la gestion des droits sur les données : Automatisez les demandes individuelles de respect des droits relatifs aux données personnelles, telles que l'accès, les mises à jour, les appels et la suppression.
• Gérer le consentement universel et les préférences : Gérez et ajustez le consentement et les préférences des consommateurs de manière universelle et centralisée sur différents canaux en toute simplicité.
• Rationalisez la gestion du cycle de vie des données : Appliquez une approche basée sur des politiques pour automatiser la gestion du cycle de vie des données à travers la collecte, la conservation et la suppression.
• Surveiller les transferts de données transfrontaliers : Créez des politiques et attribuez la résidence aux sources de données et aux données des individus pour appliquer les exigences de résidence des données et surveiller et alerter sur les transferts de données.
• Évaluer le risque lié à la confidentialité : Initier, gérer, documenter et réaliser diverses évaluations, notamment PIA, DPIA, IA, TIA, LIA et fournisseur, pour maintenir la conformité et réduire les risques.
• Se conformer au projet de loi DUA : Rationalisez les processus de conformité avec des capacités et des cadres de confidentialité et de sécurité de bout en bout pour appliquer les politiques, répondre aux exigences réglementaires et protéger les données personnelles, sensibles et réglementées.

Contactez les experts en confidentialité de BigID pour découvrir comment rationaliser la gestion de la confidentialité tout en renforçant la conformité. Planifiez votre démo dès aujourd'hui !

Auteur

Verrion Wright

Stratégie et développement du contenu

Verrion Wright est un spécialiste du marketing très expérimenté et ambitieux, avec plus de 20 ans d'expérience dans le marketing produit, le développement de contenu et la stratégie numérique. Il a occupé des postes de direction dans divers secteurs, notamment les services informatiques, la confidentialité des données, le marketing et la publicité (planification des médias), en mettant l'accent sur les connaissances fondées sur les données et le marketing intégré. Chez BigID, Verrion est le directeur de la stratégie et du développement de contenu, qui aide à élever le contenu à travers tous les piliers, les régions et les acheteurs, en créant systématiquement un contenu convaincant sur plusieurs supports - y compris la vidéo, les articles, les listes de contrôle, les livres blancs et les guides.