Le nouveau projet de loi britannique sur l'utilisation et l'accès aux données (DUAA) a reçu la sanction royale le 19 juin 2025, modernisant ainsi la législation britannique sur la protection des données et l'économie numérique. Conçue pour promouvoir l'innovation, renforcer la confiance dans les systèmes basés sur les données et simplifier la conformité, cette loi introduit de vastes réformes dans les secteurs public et privé. 

Pour les entreprises, ces changements pourraient alléger certaines formalités administratives dans des domaines tels que les demandes d'accès aux données des personnes concernées (DSAR) et les cookies, tout en renforçant les exigences dans d'autres domaines, notamment la transparence, le consentement marketing et l'application de la loi. Ce blog explique les changements et propose des mesures pratiques pour aider les organisations à se préparer. 

Où se situe la DUAA : elle modifie, et non remplace 

La loi ne remplace ni le RGPD britannique ni la loi de 2018 sur la protection des données ; elle les modifie et les complète. Elle met également à jour les principales dispositions du Règlement sur la confidentialité et les communications électroniques (PECR), notamment concernant le consentement aux cookies et le marketing électronique. 

Prises ensemble, ces réformes visent à créer un régime de données plus favorable aux entreprises et à l'innovation, tout en préservant les principes fondamentaux de la protection des données des personnes. Cependant, l'interaction entre ces cadres impose aux organisations de s'adapter avec prudence à ce nouveau contexte. 

Principaux changements que les entreprises doivent connaître 

Intérêts légitimes reconnus

La loi introduit un nouveau concept : les « intérêts légitimes reconnus ». Il s’agit de finalités spécifiques pour lesquelles les organisations peuvent traiter des données personnelles sans avoir à procéder à une évaluation complète de l’intérêt légitime (EIL). Parmi ces finalités figurent la prévention de la criminalité, la protection de la sécurité nationale, le maintien de la sécurité publique, les interventions d’urgence, la protection des personnes vulnérables et la divulgation d’informations à une personne effectuant une mission d’intérêt public.  

Par ailleurs, la loi énonce également des exemples d’intérêts légitimes ordinaires qui nécessiteront toujours le test standard en trois parties : le but, la nécessité et un test d’équilibre avec un raisonnement enregistré, qui comprend des activités telles que le marketing direct, l’administration intragroupe et la sécurité du réseau ou de l’information. 

En résumé, si cela réduit les formalités administratives pour certains types d'utilisation des données, cela ne dispense pas de respecter les droits des personnes concernées. Il reste essentiel de garantir que le traitement est nécessaire et proportionné. 

Transferts internationaux de données

Le seuil de transfert international de données a été abaissé. Plutôt que d'exiger une protection « essentiellement équivalente » à celle du RGPD britannique, les organisations doivent désormais s'assurer que la protection n'est « pas sensiblement inférieure ». 

Cela offre aux entreprises une plus grande flexibilité dans les flux de données internationaux, notamment lorsqu'elles travaillent avec des partenaires situés dans des pays non couverts par la réglementation britannique en matière d'adéquation. Cependant, cela confère également une plus grande responsabilité à l'exportateur de données dans l'évaluation des protections. 

Les exportateurs doivent adopter une approche raisonnable et proportionnée, tenant compte de la nature des données, de leur destination et des risques associés. Si la législation locale ne s'y conforme pas, vous devrez mettre en œuvre des mesures de protection supplémentaires, telles que le chiffrement, des contrôles d'accès et des clauses contractuelles strictes, afin de garantir que les données restent protégées à un niveau acceptable par la législation britannique. 

Il convient également de noter que l'UE a temporairement prolongé le statut d'adéquation du Royaume-Uni jusqu'au 27 décembre 2025, permettant ainsi la poursuite des échanges de données entre l'UE et le Royaume-Uni pendant que la Commission européenne finalise son examen. Les entreprises recevant des données de l'UE doivent suivre l'évolution de la situation et envisager des solutions contractuelles de repli pour éviter toute perturbation. 

Demandes d'accès aux données des personnes concernées (DSAR)

La nouvelle législation introduit une norme plus favorable aux entreprises pour les demandes d'accès aux données (DSAR), exigeant que les recherches soient « raisonnables et proportionnées ». Ce changement est bienvenu pour les organisations qui étaient auparavant confrontées à des demandes chronophages ou excessives. Il permet aux entreprises de concentrer leurs efforts sur des réponses pertinentes, plutôt que de rechercher toutes les sources de données possibles. 

Une nouvelle disposition de suspension a également été introduite. Si vous devez clarifier la demande, vérifier l'identité du demandeur ou réclamer des frais (en cas de demande manifestement infondée ou excessive), le délai de réponse d'un mois peut être suspendu jusqu'à réception des informations nécessaires, ce qui vous laisse une marge de manœuvre pour gérer efficacement les demandes complexes ou ambiguës. 

Toutefois, les obligations fondamentales demeurent. Les entreprises doivent toujours réagir sans délai et fournir des informations claires et accessibles aux personnes concernées. Tout retard injustifié entraînera toujours des risques de non-conformité. 

Cookies et marketing (PECR)

Certains types de cookies, tels que ceux utilisés pour l'amélioration du service ou la mesure d'audience, peuvent ne plus nécessiter de consentement, à condition qu'ils soient clairement expliqués et que les utilisateurs reçoivent des informations et un contrôle appropriés.  

Parallèlement, la réglementation en matière de marketing électronique est renforcée. Les amendes pour violation du PECR ont été alignées sur celles du RGPD britannique, avec des pénalités pouvant atteindre 17.5 millions de livres sterling, soit 4 % du chiffre d'affaires mondial. Cela souligne la nécessité pour les entreprises de revoir leurs pratiques en matière de consentement, de mettre à jour leurs bannières de cookies et leurs avis de confidentialité, et de garantir une documentation interne solide pour leurs activités marketing. 

Prise de décision automatisée et IA

La loi introduit davantage de flexibilité pour les organisations utilisant l'IA et la prise de décision automatisée (PDA), en remplaçant l'article 22 du RGPD britannique par un nouvel ensemble de dispositions : les articles 22A à 22D. Ces modifications permettent une application plus large de la PDA, notamment lorsque les décisions prises n'ont pas d'effets juridiques significatifs ni d'effets similaires sur les personnes. 

Toutefois, les ADM produisant des effets significatifs, notamment lorsqu'elles impliquent des données de catégorie spéciale, restent strictement réglementées. Dans ce cas, les organisations doivent néanmoins garantir une supervision humaine efficace, une transparence totale et la mise en place de garanties appropriées. Les ADM basés sur des données de catégorie spéciale nécessitent généralement un consentement explicite ou doivent respecter des conditions spécifiques prévues par la législation. 

Données intelligentes et identifiants numériques

La loi ouvre la voie à des « systèmes de données intelligentes » sectoriels permettant aux consommateurs et aux petites entreprises de partager leurs données de manière sécurisée et portable. Elle établit également un cadre réglementaire de confiance pour les services de vérification numérique (DVS) afin de soutenir l'utilisation d'identités numériques vérifiées dans l'ensemble de l'économie. 

Ces dispositions sont globalement habilitantes à ce stade, des détails supplémentaires devant être fournis par le biais d’une législation secondaire. 

Réforme du régulateur

L'ICO deviendra la Commission de l'information, dotée de pouvoirs d'enquête et de contrôle renforcés. Ces pouvoirs comprendront notamment la convocation de témoins, l'obligation de réaliser des audits techniques et l'imposition de sanctions plus lourdes en cas de non-conformité.  

Certains de ces nouveaux pouvoirs sont entrés en vigueur deux mois après la sanction royale, tandis que d'autres seront progressivement mis en œuvre par voie de législation secondaire. Les organisations doivent anticiper un environnement réglementaire plus strict et se préparer en conséquence, en veillant à ce que leur gouvernance, leur documentation et leurs processus internes soient prêts pour l'audit. 

Les enjeux pour les entreprises 

Si certaines réformes simplifient la conformité, par exemple en réduisant les contraintes liées aux demandes d'accès aux données (DSAR) ou en clarifiant l'utilisation de l'intérêt légitime, d'autres entraînent un contrôle réglementaire accru et des sanctions plus lourdes. Ce tableau contrasté signifie que les entreprises ne doivent pas considérer la loi comme un assouplissement des règles. Il s'agit plutôt d'une opportunité de moderniser la gouvernance des données, de réduire les risques et de renforcer la confiance avec les clients, les partenaires et les autorités de régulation. 

Calendrier et déploiement progressif 

La loi est entrée en vigueur en juin 2025, mais toutes ses dispositions n'ont pas pris effet immédiatement. Le gouvernement a confirmé une entrée en vigueur progressive, les changements étant déployés sur des périodes d'environ 2, 6 et 12 mois. Le Règlement d'entrée en vigueur n° 1 est entré en vigueur le 20 août 2025 et couvre des dispositions techniques et réglementaires spécifiques. 

La plupart des modifications importantes de la partie 5 de la loi, notamment celles apportées au RGPD britannique, à la loi de 2018 sur la protection des données et au PECR, devraient entrer en vigueur d'ici six mois. D'autres mises à jour suivront par le biais de textes réglementaires et de directives réglementaires. 

Les organisations doivent rester attentives aux nouvelles réglementations en matière de démarrage, surveiller les communications de l’ICO et planifier leur activité de conformité en fonction des échéances à venir. 

Votre plan d'action en 8 points 

Vérifiez vos bases juridiques 

  • Cartographiez les endroits où s'appliquent les nouveaux intérêts légitimes reconnus et mettez à jour vos avis de confidentialité et RoPA afin qu'ils reflètent la réalité. 

Réévaluez vos flux de données mondiaux 

  • Examinez les mécanismes de transfert par rapport au nouveau seuil « pas sensiblement inférieur ». Documentez vos évaluations des risques de transfert et conservez une solution de secours pour les données de l'UE. 

Simplifier la gestion des DSAR 

  • Former le personnel à appliquer le test « raisonnable et proportionné » et intégrer le nouveau processus d’arrêt des vérifications ou des clarifications d’identité. 

Ranger les cookies et le marketing 

  • Actualisez les bannières de cookies pour les exemptions à faible risque, révisez les processus de consentement et notez que les amendes du PECR sont désormais alignées sur les niveaux du RGPD britannique. Associations caritatives : vérifiez si l'option d'acceptation souple vous convient désormais. 

Auditez votre utilisation d'ADM et d'IA 

  • Identifiez les systèmes qui constituent une prise de décision automatisée significative. Mettez en œuvre une supervision humaine significative, obtenez un consentement explicite si nécessaire et établissez des garanties documentées. 

Soyez prêt pour les données intelligentes 

  • Examinez comment les programmes sectoriels spécifiques (comme l’Open Banking) pourraient s’appliquer à votre secteur et si les services de vérification numérique pourraient faire partie de vos processus d’intégration ou de gestion des clients. 

Renforcer la gouvernance maintenant 

  • La nouvelle Commission de l'information étant désormais dotée du pouvoir d'imposer des entretiens, des audits et des amendes conformes au RGPD pour les PECR, le moment est venu de renforcer les politiques, les preuves et la formation. 

Restez à l'écoute 

  • Restez attentifs aux réglementations et aux directives de l'ICO lors des déploiements progressifs au cours des 2, 6 et 12 prochains mois. Priorisez les changements qui entrent en vigueur en premier. 

Conclusion 

La loi de 2025 sur l'utilisation et l'accès aux données marque un tournant pour la gouvernance des données au Royaume-Uni. Elle établit un équilibre entre simplification et responsabilité, offrant aux entreprises avant-gardistes la possibilité d'innover sans compromettre la confiance. Une préparation précoce permettra non seulement de réduire les risques, mais aussi de saisir les opportunités qu'offre une utilisation plus intelligente et plus transparente des données.