Le Data (Use and Access) Act de 2025 a reçu la sanction royale le 19 juin 2025 (DUAA). Cette loi réforme le cadre britannique de protection des données, notamment le UK GDPR, le Data Protection Act 2018 (DPA 2018) ainsi que les Electronic Communications (EC Directive) Regulations 2003 (PECR).
La nouvelle législation prévoit une entrée en vigueur progressive, la majorité des dispositions devant s’appliquer dans un délai de deux à six mois, tandis que certaines mesures pourraient nécessiter jusqu’à un an pour être pleinement mises en œuvre.
Phase 1 – Entrée en vigueur au 20 août 2025
La réglementation de phase 1 a introduit les dispositions suivantes :
des dispositions techniques ;
de nouveaux objectifs statutaires assignés à l’Information Commissioner’s Office (ICO) dans l’exercice de ses missions ;
des dispositions imposant au gouvernement de publier un rapport d’avancement et une analyse sur les œuvres protégées par le droit d’auteur et les systèmes d’intelligence artificielle.
Mise à jour – Février 2026
Les principales modifications apportées au UK GDPR et aux Privacy and Electronic Communications Regulations (PECR) par la Data (Use and Access) Act (DUAA) entrent en vigueur le jeudi 5 février 2026.
Les changements clés signalés « Depuis le 5 février 2026 » dans l’article ci-dessous sont désormais effectivement applicables à compter de cette date.
Qu'est-ce que le DUAA ?
Le nouveau gouvernement travailliste du Royaume-Uni a annoncé des plans pour réformer les lois sur la protection des données en juillet 2024 à travers le projet de loi sur l'Information Numérique et les Données Intelligentes, rebaptisé par la suite le projet de loi sur l'Utilisation et l'Accès aux Données. Présenté à la Chambre des Lords en octobre 2024, le projet de loi incluait de nombreux amendements inspirés de la DPDI tout en omettant des éléments plus controversés. Il a été adopté par le Parlement et a reçu la sanction royale le 19 juillet 2025, devenant la Loi sur l'Utilisation et l'Accès aux Données de 2025.
Les plans antérieurs de révision des concepts fondamentaux – tels que la suppression de l'exigence de désigner des Délégués à la Protection des Données ou le changement de la définition de "données personnelles" – ont été abandonnés dans la loi finale. La loi conserve le cadre familier du RGPD britannique, donc les entreprises ne devront pas éliminer les rôles de DPD ou redessiner les limites de ce qui constitue des données personnelles. L'accent est mis sur des améliorations progressives plutôt que sur une divergence radicale.
Le DUAA vise à dynamiser l'économie, moderniser les services publics et simplifier la vie des Britanniques. Ses principales dispositions incluent le partage des données de santé entre les institutions (par exemple, entre hôpitaux), la conservation des données pendant les enquêtes judiciaires, ainsi que la vérification de l'identité en ligne, accompagnées de la création d'un label de confiance pour les fournisseurs de services.
Outre les dispositions relatives au partage des données, une partie substantielle de la loi précise le régime britannique de protection des données. Plutôt qu'une révision radicale, ces changements rationalisent ou clarifient les obligations existantes. Les mises à jour clés que les entreprises doivent prendre en compte comprennent :
Nouvelles exigences en matière de conformité et de protection des données pour les organisations
Sujet | DUAA | Votre organisation |
|---|---|---|
Recherche scientifique & consentement élargi (depuis le 5 février 2026) | Le DUAA précise quand il est permis d'utiliser des données personnelles pour la recherche scientifique, y compris la recherche commerciale, et permet le 'consentement élargi' couvrant un domaine d'étude. | En vertu du RGPD britannique, le consentement pour l'utilisation des données personnelles devait traditionnellement être spécifique et informé. Le DUAA assouplit cela pour les contextes de recherche : les chercheurs peuvent obtenir un consentement pour des domaines de recherche larges ou évolutifs lorsqu'il n'est pas faisable de spécifier pleinement l'objectif au départ. |
Décisions entièrement automatisées (depuis le 5 février 2026) | Crée un cadre plus permissif pour que les entreprises tirent parti de la prise de décision automatisée (y compris les systèmes d'IA et d'apprentissage machine), à condition que certaines garanties soient en place. La loi définit “aucune intervention humaine significative” comme le seuil d'une décision purement automatisée. Cependant, les restrictions strictes actuelles du RGPD/RGPD britannique continueront de s'appliquer aux données sensibles. | Les organisations peuvent utiliser des décisions purement automatisées dans plus de situations sans intervention humaine, tant qu'elles mettent en œuvre des protections pour les individus, y compris la transparence (informer les gens lorsqu'une décision significative les concernant est automatisée), la possibilité pour les individus de contester ou d’appeler le résultat, et l'option de demander un examen humain de cette décision. Les entreprises utilisant l'IA devraient évaluer si une quelconque intervention humaine dans le processus est réellement “significative”. |
Nouvelle base pour des 'intérêts légitimes reconnus' spécifiques (depuis le 5 février 2026) | Exempte de l'équilibre entre les droits des individus et l'intérêt poursuivi. La liste des intérêts légitimes reconnus est annexée au RGPD britannique. Cela inclut la sécurité nationale ; répondre à une urgence ; détecter, enquêter ou prévenir la criminalité ; et assurer la protection. | Si une entreprise traite des données pour un objectif répertorié (par exemple, mettre en œuvre des mesures de sécurité réseau ou envoyer des courriels à des clients existants au sujet de produits similaires), elle peut s'appuyer sur cette base légale sans effectuer l'évaluation habituelle des “Intérêts légitimes”. Les organisations doivent tout de même respecter les options de désinscription et d'autres lois applicables (par exemple, la PECR pour les communications marketing). |
Droits et processus pour les individus
Sujet | DUAA | Votre organisation |
|---|---|---|
DSARs & délais (depuis le 5 février 2026) | Le DUAA introduit un mécanisme de “stop-the-clock” : si une organisation a besoin de plus d'informations pour vérifier l'identité du demandeur ou pour clarifier la portée de la demande, elle peut suspendre l'horloge normale d'un mois jusqu'à ce que le demandeur réponde. Lorsque des informations sont retenues pour des raisons de secret professionnel ou de confidentialité des clients, les organisations devront désormais notifier clairement aux individus l'exemption précise invoquée et les raisons de son application. | Les entreprises devraient mettre à jour les procédures de DSAR, néanmoins l'utilisation du stop-the-clock doit être gérée avec prudence afin de ne pas entraîner des plaintes. |
DSARs & efforts de recherche (depuis le 5 février 2026) | Les entreprises ne sont tenues d'effectuer que des recherches “raisonnables et proportionnées” pour les données lors de la réponse. En d'autres termes, vous devez faire des efforts sincères pour trouver des données personnelles mais n'êtes pas tenu de rechercher de manière exhaustive chaque système si cela est disproportionné. | Le fardeau de recherche semble être réduit, cependant la subjectivité du terme 'proportionné' peut être problématique. |
Protection des données par conception pour la protection des enfants (depuis le 5 février 2026) | Les organisations offrant des services en ligne étant susceptibles d'être accessibles par des enfants ont désormais une obligation légale explicite de prendre en compte la vie privée et le bien-être des enfants lors de la conception et de la livraison de ces services. Cela inscrit essentiellement des aspects du Code de Conception Adapté à l'Âge de l'ICO (Code pour les Enfants) dans la loi, garantissant que les plateformes et les applications prennent en compte les meilleurs intérêts des utilisateurs enfants. | Les organisations qui ne se sont pas encore alignées sur le Code pour les Enfants devraient le faire, car cela devient une exigence de conformité plutôt qu'une simple orientation réglementaire. |
Nouvelle procédure de plaintes (Pour juin 2026) | Exige que les organisations établissent un processus permettant aux individus de déposer des plaintes sur la protection des données directement. Si un individu croit qu'une entreprise utilise mal ses données ou ne respecte pas ses droits, l'entreprise doit avoir un canal interne clair (par exemple, un formulaire de plainte en ligne ou un e-mail) pour gérer cette plainte. Les responsables sont tenus de accuser réception dans un délai de 30 jours. | Les entreprises devraient mettre en œuvre ou revoir les workflows internes de gestion des plaintes et les politiques de confidentialité – potentiellement similaires à la manière dont sont gérées les plaintes des consommateurs ou les demandes d'accès aux sujets – et former le personnel à traiter les préoccupations relatives à la protection des données. |
Focus sectoriel sur le marketing
Sujet | DUAA | Votre organisation |
|---|---|---|
PECR
| Les amendes maximales pour les violations des règles de confidentialité dans la PECR (Règlements sur la Vie Privée et les Communications Électroniques) ont été portées au niveau du RGPD britannique. L'ICO peut désormais imposer des amendes administratives allant jusqu'à 17,5 millions de livres ou 4% du chiffre d'affaires annuel mondial (selon ce qui est le plus élevé), ce qui constitue une augmentation spectaculaire par rapport au précédent plafond de 500 000 livres. Cela signifie que les violations liées aux appels courants/non sollicités, à l'utilisation abusive de cookies ou au suivi, et d'autres infractions à la vie privée électronique entraînent un risque financier équivalent à celui des violations de données personnelles. | Avec des amendes plus élevées possibles pour les violations de la PECR, les entreprises devraient examiner de près leurs pratiques de marketing numérique. |
Exemption de consentement pour les cookies à faible risque | Élargit les catégories de cookies et technologies de suivi similaires pouvant être installés sans obtenir de consentement préalable. En vertu de la PECR, seuls les cookies “strictement nécessaires” à un service étaient exemptés de consentement. Désormais, les cookies d'analyse utilisés uniquement pour recueillir des informations statistiques pour l'amélioration du service, les cookies fonctionnels pour les préférences des utilisateurs ou la connexion automatique, les cookies utilisés pour détecter des pannes ou localiser des utilisateurs durant des urgences, sont exemptés. | Les entreprises devraient mettre à jour leurs politiques de cookies et leurs plateformes / bannières de gestion du consentement pour refléter ces exemptions, simplifiant potentiellement les flux de consentement utilisateur sur les sites Web et les applications. Toutefois, ces utilisations “à faible risque” doivent être transparentes et offrir une option de désinscription, et toutes les données collectées ne doivent pas être utilisées au-delà de l'objectif d'amélioration ou de fonctionnalité déclaré. |
“Soft Opt-in” pour les associations caritatives | Les organisations à but non lucratif (œuvres caritatives, partis politiques, etc.) sont désormais autorisées à faire appel à l'exception du “soft opt-in” pour le marketing par e-mail/SMS. | Les conditions habituelles du soft opt-in s'appliquent toujours : les communications doivent se rapporter aux propres objectifs de l'organisation (contexte similaire), et une option de désinscription doit être fournie de manière proéminente dans chaque message. |
Marketing direct | Confirme que le marketing direct peut constituer un intérêt légitime en vertu du RGPD britannique. Cela codifie ce qui figurait dans les considérants du RGPD : l'utilisation de données personnelles pour le marketing (par exemple, maintenir une liste de diffusion de clients, profilage pour le marketing) est généralement autorisée sur la base des “intérêts légitimes”, sous réserve des options de désinscription habituelles et des considérations d'équité. | L'effet pratique est de donner aux entreprises plus de confiance dans le choix d'un intérêt légitime (au lieu du consentement) comme base légale pour certains usages de données marketing, puisque la loi le reconnaît maintenant explicitement. En gardant à l'esprit les règles de la PECR, sachant que les intérêts légitimes ne resteront une base que lorsque la loi ne nécessite pas de consentement. |
De l'ICO à une 'Commission de l'Information' avec des pouvoirs d'exécution renforcés
La loi restructure le Bureau du Commissaire à l'Information en une “Commission de l'Information” (un organe multipartite) et lui accorde des pouvoirs d'enquête et d'exécution renforcés.
La Commission peut contraindre les organisations (et leur personnel) à fournir des informations ou des documents pertinents pour une enquête, et même exiger la présence de témoins pour un entretien.
Les avis d'exécution ou d'évaluation n'ont plus besoin d'être livrés par voie postale ou d'obtenir le consentement du destinataire. Le régulateur peut signifier des avis légaux par voie électronique, y compris aux entreprises étrangères opérant au Royaume-Uni, ce qui rationalise l'exécution transfrontalière.
La Commission de l'Information peut former des panels d'experts intéressés pour aider à façonner des codes de pratique ou évaluer les impacts réglementaires. Bien que cela ne constitue pas directement un fardeau pour les entreprises, cela suggère que des orientations plus consultatives et potentiellement spécifiques à un secteur émergeront, auxquelles les entreprises devraient prêter attention.
DUAA et transferts de données
Le régime britannique conserve la hiérarchie du RGPD : d'abord recherche la conformité (désormais appelée “test de protection des données”), puis les garanties (comme les SCC, BCR), et enfin les dérogations.
Le DUAA adopte la même approche que le projet de loi DPDI en introduisant un nouveau “test de protection des données” pour les transferts de données internationales. Selon ce test, les garanties dans les pays tiers ne doivent pas être matériellement inférieures à celles du Royaume-Uni.
En ce qui concerne les obligations des exportateurs, ils doivent également appliquer un test de protection des données, mais il est moins strict. Les transferts sont autorisés si l'exportateur “agissant raisonnablement et proportionnellement” croit que le standard n'est pas matériellement inférieur.
Cependant, parce que “matériellement” n'est pas précisément défini, cela pourrait à la fois élargir la gamme de juridictions éligibles et potentiellement déclencher des préoccupations de l'UE, compliquant les décisions futures en matière de conformité.
Un risque juridique indirect mais notable concerne les transferts internationaux de données. La Commission européenne réévalue actuellement la décision sur la conformité du Royaume-Uni (qui permet les flux de données personnelles de l'UE vers le Royaume-Uni) à la lumière de ces réformes. La Commission a prolongé le statut de conformité du Royaume-Uni jusqu'au 27 décembre 2025 tout en évaluant l'impact du DUAA.
Étant donné que les changements apportés par la loi à la législation sur la vie privée sont modestes, les experts estiment qu'un renouvellement positif de l'adéquation est probable. Cependant, toute perception que les normes de protection des données britanniques se sont matériellement affaiblies pourrait compromettre ce statut.
Prochaines étapes
La perte de la conformité imposerait des obstacles de conformité coûteux aux entreprises échangeant des données avec l'Europe. Ainsi, les entreprises devraient surveiller cette évolution ; pour l'instant, aucune action n'est nécessaire.
L'ICO prévoit de mettre à jour et de modifier ses orientations au cours des mois à venir. Pour l'instant, l'ICO fournit des orientations pratiques pour aider les organisations à se familiariser avec les changements.