[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fi_esQC3lrI9yYrLaSrufUZeUCL1nGNxgKWDsZ1Wmrw4":3,"white_papers":99},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":7,"nbDownloads":11,"excerpt":12,"lang":13,"url":14,"intro":15,"featured":4,"state":16,"author":17,"authorId":18,"datePublication":22,"dateCreation":23,"dateUpdate":24,"mainCategory":25,"categories":40,"metaDatas":88,"imageUrl":89,"imageThumbUrls":90,"id":98},false,"Le **Data (Use and Access) Act de 2025** a reçu la **sanction royale le 19 juin 2025** (DUAA). Cette loi réforme le cadre britannique de protection des données, notamment le **UK GDPR**, le **Data Protection Act 2018 (DPA 2018)** ainsi que les **Electronic Communications (EC Directive) Regulations 2003 (PECR)**.\r\n\r\nLa nouvelle législation prévoit une **entrée en vigueur progressive**, la majorité des dispositions devant s’appliquer **dans un délai de deux à six mois**, tandis que certaines mesures pourraient nécessiter **jusqu’à un an** pour être pleinement mises en œuvre.\r\n\r\n> ### Phase 1 – Entrée en vigueur au 20 août 2025\r\n>\r\n> La réglementation de **phase 1** a introduit les dispositions suivantes :\r\n>\r\n> - des **dispositions techniques** ;\r\n>\r\n> - de **nouveaux objectifs statutaires** assignés à l’Information Commissioner’s Office (ICO) dans l’exercice de ses missions ;\r\n>\r\n> - des dispositions imposant au gouvernement de **publier un rapport d’avancement et une analyse** sur les œuvres protégées par le droit d’auteur et les systèmes d’intelligence artificielle.\r\n\r\n> ### Mise à jour – Février 2026\r\n>\r\n> Les **principales modifications** apportées au **UK GDPR** et aux **Privacy and Electronic Communications Regulations (PECR)** par la **Data (Use and Access) Act (DUAA)** entrent en vigueur **le jeudi 5 février 2026**.\r\n>\r\n> Les **changements clés signalés « Depuis le 5 février 2026 »** dans l’article ci-dessous sont désormais **effectivement applicables** à compter de cette date.\r\n\r\n## Qu'est-ce que le DUAA ?\r\n\r\nLe nouveau gouvernement travailliste du Royaume-Uni a annoncé des plans pour réformer les lois sur la protection des données en juillet 2024 à travers le projet de loi sur l'Information Numérique et les Données Intelligentes, rebaptisé par la suite le projet de loi sur l'Utilisation et l'Accès aux Données. Présenté à la Chambre des Lords en octobre 2024, le projet de loi incluait de nombreux amendements inspirés de la DPDI tout en omettant des éléments plus controversés. Il a été adopté par le Parlement et a reçu la sanction royale le 19 juillet 2025, devenant la Loi sur l'Utilisation et l'Accès aux Données de 2025.\r\n\r\nLes plans antérieurs de révision des concepts fondamentaux – tels que la suppression de l'exigence de désigner des Délégués à la Protection des Données ou le changement de la définition de \"données personnelles\" – ont été **abandonnés** dans la loi finale. La loi conserve le cadre familier du RGPD britannique, donc les entreprises ne devront pas éliminer les rôles de DPD ou redessiner les limites de ce qui constitue des données personnelles. L'accent est mis sur des améliorations progressives plutôt que sur une divergence radicale.\r\n\r\nLe DUAA vise à dynamiser l'économie, moderniser les services publics et simplifier la vie des Britanniques. Ses principales dispositions incluent le partage des données de santé entre les institutions (par exemple, entre hôpitaux), la conservation des données pendant les enquêtes judiciaires, ainsi que la vérification de l'identité en ligne, accompagnées de la création d'un label de confiance pour les fournisseurs de services.\r\n\r\nOutre les dispositions relatives au partage des données, une **partie substantielle de la loi précise le régime britannique de protection des données. Plutôt qu'une révision radicale, ces changements rationalisent ou clarifient les obligations existantes.** Les mises à jour clés que les entreprises doivent prendre en compte comprennent :\r\n\r\n## Nouvelles exigences en matière de conformité et de protection des données pour les organisations\r\n\r\n\u003Ctable style=\"min-width: 75px\">\r\n\u003Ccolgroup>\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003C/colgroup>\u003Ctbody>\u003Ctr>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Sujet\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>DUAA\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Votre organisation\u003C/p>\u003C/th>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Recherche scientifique &amp; consentement élargi\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Le DUAA précise quand il est permis d'utiliser des données personnelles pour la recherche scientifique, y compris la recherche commerciale, et permet le 'consentement élargi' couvrant un domaine d'étude.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>En vertu du RGPD britannique, le consentement pour l'utilisation des données personnelles devait traditionnellement être spécifique et informé. Le DUAA assouplit cela pour les contextes de recherche : les chercheurs peuvent obtenir un consentement pour des \u003Cem>domaines de recherche larges ou évolutifs\u003C/em> lorsqu'il n'est pas faisable de spécifier pleinement l'objectif au départ.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Décisions entièrement automatisées\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Crée un cadre plus permissif pour que les entreprises tirent parti de la \u003Cstrong>prise de décision automatisée\u003C/strong> (y compris les systèmes d'IA et d'apprentissage machine), à condition que certaines \u003Cstrong>garanties\u003C/strong> soient en place.\u003C/p>\u003Cp>La loi définit \u003Cem>“aucune intervention humaine significative”\u003C/em> comme le seuil d'une décision purement automatisée.\u003C/p>\u003Cp>Cependant, les restrictions strictes actuelles du RGPD/RGPD britannique continueront de s'appliquer aux données sensibles.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les organisations peuvent utiliser des décisions purement automatisées dans plus de situations \u003Cstrong>sans intervention humaine\u003C/strong>, \u003Cem>tant qu'elles mettent en œuvre des protections pour les individus\u003C/em>, y compris la \u003Cstrong>transparence\u003C/strong> (informer les gens lorsqu'une décision significative les concernant est automatisée), la possibilité pour les individus de \u003Cstrong>contester ou d’appeler\u003C/strong> le résultat, et l'option de \u003Cstrong>demander un examen humain\u003C/strong> de cette décision.\u003C/p>\u003Cp>Les entreprises utilisant l'IA devraient évaluer si une quelconque intervention humaine dans le processus est réellement “significative”.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Nouvelle base pour des 'intérêts légitimes reconnus' spécifiques\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Exempte de l'équilibre entre les droits des individus et l'intérêt poursuivi. La liste des intérêts légitimes reconnus est annexée au RGPD britannique. Cela inclut la sécurité nationale ; répondre à une urgence ; détecter, enquêter ou prévenir la criminalité ; et assurer la protection.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Si une entreprise traite des données pour un objectif répertorié (par exemple, mettre en œuvre des mesures de sécurité réseau ou envoyer des courriels à des clients existants au sujet de produits similaires), elle peut s'appuyer sur cette base légale sans effectuer l'évaluation habituelle des “Intérêts légitimes”.\u003C/p>\u003Cp>Les organisations doivent tout de même respecter les options de désinscription et d'autres lois applicables (par exemple, la PECR pour les communications marketing).\u003C/p>\u003C/td>\u003C/tr>\u003C/tbody>\r\n\u003C/table>\r\n\r\n## Droits et processus pour les individus\r\n\r\n\u003Ctable style=\"min-width: 75px\">\r\n\u003Ccolgroup>\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003C/colgroup>\u003Ctbody>\u003Ctr>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Sujet\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>DUAA\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Votre organisation\u003C/p>\u003C/th>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>DSARs &amp; délais\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Le DUAA introduit un mécanisme de \u003Cem>“stop-the-clock”\u003C/em> : si une organisation a besoin de plus d'informations pour vérifier l'identité du demandeur ou pour clarifier la portée de la demande, elle peut suspendre l'horloge normale d'un mois jusqu'à ce que le demandeur réponde.\u003C/p>\u003Cp>Lorsque des informations sont retenues pour des raisons de secret professionnel ou de confidentialité des clients, les organisations devront désormais notifier clairement aux individus l'exemption précise invoquée et les raisons de son application.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les entreprises devraient mettre à jour les procédures de DSAR, néanmoins l'utilisation du stop-the-clock doit être gérée avec prudence afin de ne pas entraîner des plaintes.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>DSARs &amp; efforts de recherche\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les entreprises ne sont tenues d'effectuer que des recherches \u003Cstrong>“raisonnables et proportionnées”\u003C/strong> pour les données lors de la réponse. En d'autres termes, vous devez faire des efforts sincères pour trouver des données personnelles mais n'êtes pas tenu de \u003Cem>rechercher de manière exhaustive chaque système\u003C/em> si cela est disproportionné. \u003Cbr>Ce qui compte comme raisonnable variera selon le contexte, mais cela s'aligne avec les orientations existantes de l'ICO et la jurisprudence.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Le fardeau de recherche semble être réduit, cependant la subjectivité du terme 'proportionné' peut être problématique.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Protection des données par conception pour la protection des enfants\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les organisations offrant des services en ligne \u003Cem>étant susceptibles d'être accessibles par des enfants\u003C/em> ont désormais une obligation légale explicite de prendre en compte \u003Cstrong>la vie privée et le bien-être des enfants\u003C/strong> lors de la conception et de la livraison de ces services. Cela inscrit essentiellement des aspects du \u003Cstrong>Code de Conception Adapté à l'Âge\u003C/strong> de l'ICO (Code pour les Enfants) dans la loi, garantissant que les plateformes et les applications prennent en compte les meilleurs intérêts des utilisateurs enfants.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les organisations qui ne se sont pas encore alignées sur le Code pour les Enfants devraient le faire, car cela devient une exigence de conformité plutôt qu'une simple orientation réglementaire.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Nouvelle procédure de plaintes\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(Pour juin 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Exige que les organisations \u003Cstrong>établissent un processus permettant aux individus de déposer des plaintes sur la protection des données directement.\u003C/strong> Si un individu croit qu'une entreprise utilise mal ses données ou ne respecte pas ses droits, l'entreprise doit avoir un canal interne clair (par exemple, un formulaire de plainte en ligne ou un e-mail) pour gérer cette plainte. Les responsables sont tenus de \u003Cstrong>accuser réception dans un délai de 30 jours\u003C/strong>.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les entreprises devraient mettre en œuvre ou revoir les workflows internes de gestion des plaintes et les politiques de confidentialité – potentiellement similaires à la manière dont sont gérées les plaintes des consommateurs ou les demandes d'accès aux sujets – et former le personnel à traiter les préoccupations relatives à la protection des données.\u003C/p>\u003C/td>\u003C/tr>\u003C/tbody>\r\n\u003C/table>\r\n\r\n## Focus sectoriel sur le marketing\r\n\r\n\u003Ctable style=\"min-width: 75px\">\r\n\u003Ccolgroup>\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003C/colgroup>\u003Ctbody>\u003Ctr>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Sujet\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>DUAA\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Votre organisation\u003C/p>\u003C/th>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>PECR\u003C/strong>\u003C/p>\u003Cp>\u003Cbr>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les amendes maximales pour les violations des règles de confidentialité dans la PECR (Règlements sur la Vie Privée et les Communications Électroniques) ont été \u003Cstrong>portées au niveau du RGPD britannique.\u003C/strong> L'ICO peut désormais imposer des amendes administratives allant jusqu'à \u003Cstrong>17,5 millions de livres ou 4% du chiffre d'affaires annuel mondial\u003C/strong> (selon ce qui est le plus élevé), ce qui constitue une augmentation spectaculaire par rapport au précédent plafond de 500 000 livres.\u003C/p>\u003Cp>Cela signifie que les violations liées aux appels courants/non sollicités, à l'utilisation abusive de cookies ou au suivi, et d'autres infractions à la vie privée électronique entraînent un risque financier équivalent à celui des violations de données personnelles.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Avec des amendes plus élevées possibles pour les violations de la PECR, les entreprises devraient examiner de près leurs pratiques de marketing numérique.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Exemption de consentement pour les cookies à faible risque\u003C/strong>\u003Cbr>\u003Cbr>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Élargit les catégories de cookies et technologies de suivi similaires pouvant être installés \u003Cstrong>sans obtenir de consentement préalable.\u003C/strong> En vertu de la PECR, seuls les cookies “strictement nécessaires” à un service étaient exemptés de consentement. Désormais, \u003Cstrong>les cookies d'analyse utilisés uniquement pour recueillir des informations statistiques pour l'amélioration du service\u003C/strong>, \u003Cstrong>les cookies fonctionnels pour les préférences des utilisateurs ou la connexion automatique\u003C/strong>, les cookies utilisés pour \u003Cstrong>détecter des pannes ou localiser des utilisateurs durant des urgences\u003C/strong>, sont exemptés.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les entreprises devraient mettre à jour leurs politiques de cookies et leurs plateformes / bannières de gestion du consentement pour refléter ces exemptions, simplifiant potentiellement les flux de consentement utilisateur sur les sites Web et les applications. Toutefois, ces utilisations “à faible risque” doivent être \u003Cem>transparentes\u003C/em> et offrir une option de désinscription, et toutes les données collectées \u003Cstrong>ne doivent pas être utilisées au-delà de l'objectif d'amélioration ou de fonctionnalité déclaré.\u003C/strong>\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>“Soft Opt-in” pour les associations caritatives\u003C/strong>\u003Cbr>\u003Cbr>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les organisations à but non lucratif (œuvres caritatives, partis politiques, etc.) sont désormais autorisées à faire appel à l'exception du \u003Cstrong>“soft opt-in”\u003C/strong> pour le marketing par e-mail/SMS. \u003Cbr>Maintenant, par exemple, une œuvre caritative qui a obtenu les coordonnées d'une personne lors d'un don ou d'une inscription à un événement peut lui envoyer des e-mails de collecte de fonds sur une base de désinscription, ce qui n'était pas possible auparavant.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les conditions habituelles du soft opt-in s'appliquent toujours : les communications doivent se rapporter aux propres objectifs de l'organisation (\u003Cem>contexte similaire\u003C/em>), et une option de désinscription doit être fournie de manière proéminente dans chaque message.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Marketing direct\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Confirme que \u003Cstrong>le marketing direct peut constituer un intérêt légitime\u003C/strong> en vertu du RGPD britannique. Cela codifie ce qui figurait dans les considérants du RGPD : l'utilisation de données personnelles pour le marketing (par exemple, maintenir une liste de diffusion de clients, profilage pour le marketing) est généralement autorisée sur la base des “intérêts légitimes”, sous réserve des options de désinscription habituelles et des considérations d'équité.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>L'effet pratique est de donner aux entreprises plus de confiance dans le choix d'un intérêt légitime (au lieu du consentement) comme base légale pour certains usages de données marketing, puisque la loi le reconnaît maintenant explicitement.\u003C/p>\u003Cp>En gardant à l'esprit les règles de la PECR, sachant que les intérêts légitimes ne resteront une base que lorsque la loi ne nécessite pas de consentement.\u003C/p>\u003C/td>\u003C/tr>\u003C/tbody>\r\n\u003C/table>\r\n\r\n## De l'ICO à une 'Commission de l'Information' avec des pouvoirs d'exécution renforcés\r\n\r\nLa loi restructure le Bureau du Commissaire à l'Information en une “Commission de l'Information” (un organe multipartite) et lui accorde des pouvoirs d'enquête et d'exécution renforcés.\r\n\r\nLa Commission peut contraindre les organisations (et leur personnel) à fournir des informations ou des documents pertinents pour une enquête, et même **exiger la présence de témoins pour un entretien.**\r\n\r\nLes avis d'exécution ou d'évaluation n'ont plus besoin d'être livrés par voie postale ou d'obtenir le consentement du destinataire. Le régulateur peut **signifier des avis légaux par voie électronique**, y compris aux entreprises étrangères opérant au Royaume-Uni, ce qui rationalise l'exécution transfrontalière.\r\n\r\nLa Commission de l'Information peut former des panels d'experts intéressés pour aider à façonner des codes de pratique ou évaluer les impacts réglementaires. Bien que cela ne constitue pas directement un fardeau pour les entreprises, cela suggère que des orientations plus consultatives et potentiellement spécifiques à un secteur émergeront, auxquelles les entreprises devraient prêter attention.\r\n\r\n## DUAA et transferts de données\r\n\r\nLe régime britannique conserve la hiérarchie du RGPD : d'abord recherche la conformité (désormais appelée “test de protection des données”), puis les garanties (comme les SCC, BCR), et enfin les dérogations.\r\n\r\nLe DUAA adopte la même approche que le projet de loi DPDI en introduisant un nouveau “test de protection des données” pour les transferts de données internationales. Selon ce test, les garanties dans les pays tiers ne doivent **pas être matériellement inférieures** à celles du Royaume-Uni.\r\n\r\nEn ce qui concerne les obligations des exportateurs, ils doivent également appliquer un **test de protection des données**, mais il est moins strict. Les transferts sont autorisés si l'exportateur **“agissant raisonnablement et proportionnellement”** croit que le standard n'est pas matériellement inférieur.\r\n\r\nCependant, parce que “matériellement” n'est pas précisément défini, cela pourrait à la fois élargir la gamme de juridictions éligibles et potentiellement déclencher des préoccupations de l'UE, compliquant les décisions futures en matière de conformité.\r\n\r\nUn risque juridique indirect mais notable concerne les transferts internationaux de données. La Commission européenne réévalue actuellement la **décision sur la conformité** du Royaume-Uni (qui permet les flux de données personnelles de l'UE vers le Royaume-Uni) à la lumière de ces réformes. La Commission a prolongé le statut de conformité du Royaume-Uni jusqu'au 27 décembre 2025 tout en évaluant l'impact du DUAA.\r\n\r\n**Étant donné que les changements apportés par la loi à la législation sur la vie privée sont modestes, les experts estiment qu'un renouvellement positif de l'adéquation est probable.** Cependant, toute perception que les normes de protection des données britanniques se sont matériellement affaiblies pourrait compromettre ce statut.\r\n\r\n### Prochaines étapes\r\n\r\nLa perte de la conformité imposerait des obstacles de conformité coûteux aux entreprises échangeant des données avec l'Europe. Ainsi, les entreprises devraient surveiller cette évolution ; pour l'instant, aucune action n'est nécessaire.\r\n\r\nL'ICO prévoit de mettre à jour et de modifier ses orientations au cours des mois à venir. Pour l'instant, l'[ICO fournit des **orientations pratiques**](https://ico.org.uk/about-the-ico/what-we-do/legislation-we-cover/data-use-and-access-act-2025/the-data-use-and-access-act-2025-what-does-it-mean-for-organisations/) pour aider les organisations à se familiariser avec les changements.","\u003Cp>Le \u003Cstrong>Data (Use and Access) Act de 2025\u003C/strong> a reçu la \u003Cstrong>sanction royale le 19 juin 2025\u003C/strong> (DUAA). Cette loi réforme le cadre britannique de protection des données, notamment le \u003Cstrong>UK GDPR\u003C/strong>, le \u003Cstrong>Data Protection Act 2018 (DPA 2018)\u003C/strong> ainsi que les \u003Cstrong>Electronic Communications (EC Directive) Regulations 2003 (PECR)\u003C/strong>.\u003C/p>\n\u003Cp>La nouvelle législation prévoit une \u003Cstrong>entrée en vigueur progressive\u003C/strong>, la majorité des dispositions devant s’appliquer \u003Cstrong>dans un délai de deux à six mois\u003C/strong>, tandis que certaines mesures pourraient nécessiter \u003Cstrong>jusqu’à un an\u003C/strong> pour être pleinement mises en œuvre.\u003C/p>\n\u003Cblockquote>\n\u003Ch3 id=\"phase-1-entree-en-vigueur-au-20-aout-2025\">Phase 1 – Entrée en vigueur au 20 août 2025\u003C/h3>\n\u003Cp>La réglementation de \u003Cstrong>phase 1\u003C/strong> a introduit les dispositions suivantes :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cp>des \u003Cstrong>dispositions techniques\u003C/strong> ;\u003C/p>\n\u003C/li>\n\u003Cli>\u003Cp>de \u003Cstrong>nouveaux objectifs statutaires\u003C/strong> assignés à l’Information Commissioner’s Office (ICO) dans l’exercice de ses missions ;\u003C/p>\n\u003C/li>\n\u003Cli>\u003Cp>des dispositions imposant au gouvernement de \u003Cstrong>publier un rapport d’avancement et une analyse\u003C/strong> sur les œuvres protégées par le droit d’auteur et les systèmes d’intelligence artificielle.\u003C/p>\n\u003C/li>\n\u003C/ul>\n\u003C/blockquote>\n\u003Cblockquote>\n\u003Ch3 id=\"mise-a-jour-fevrier-2026\">Mise à jour – Février 2026\u003C/h3>\n\u003Cp>Les \u003Cstrong>principales modifications\u003C/strong> apportées au \u003Cstrong>UK GDPR\u003C/strong> et aux \u003Cstrong>Privacy and Electronic Communications Regulations (PECR)\u003C/strong> par la \u003Cstrong>Data (Use and Access) Act (DUAA)\u003C/strong> entrent en vigueur \u003Cstrong>le jeudi 5 février 2026\u003C/strong>.\u003C/p>\n\u003Cp>Les \u003Cstrong>changements clés signalés « Depuis le 5 février 2026 »\u003C/strong> dans l’article ci-dessous sont désormais \u003Cstrong>effectivement applicables\u003C/strong> à compter de cette date.\u003C/p>\n\u003C/blockquote>\n\u003Ch2 id=\"quest-ce-que-le-duaa\">Qu'est-ce que le DUAA ?\u003C/h2>\n\u003Cp>Le nouveau gouvernement travailliste du Royaume-Uni a annoncé des plans pour réformer les lois sur la protection des données en juillet 2024 à travers le projet de loi sur l'Information Numérique et les Données Intelligentes, rebaptisé par la suite le projet de loi sur l'Utilisation et l'Accès aux Données. Présenté à la Chambre des Lords en octobre 2024, le projet de loi incluait de nombreux amendements inspirés de la DPDI tout en omettant des éléments plus controversés. Il a été adopté par le Parlement et a reçu la sanction royale le 19 juillet 2025, devenant la Loi sur l'Utilisation et l'Accès aux Données de 2025.\u003C/p>\n\u003Cp>Les plans antérieurs de révision des concepts fondamentaux – tels que la suppression de l'exigence de désigner des Délégués à la Protection des Données ou le changement de la définition de \"données personnelles\" – ont été \u003Cstrong>abandonnés\u003C/strong> dans la loi finale. La loi conserve le cadre familier du RGPD britannique, donc les entreprises ne devront pas éliminer les rôles de DPD ou redessiner les limites de ce qui constitue des données personnelles. L'accent est mis sur des améliorations progressives plutôt que sur une divergence radicale.\u003C/p>\n\u003Cp>Le DUAA vise à dynamiser l'économie, moderniser les services publics et simplifier la vie des Britanniques. Ses principales dispositions incluent le partage des données de santé entre les institutions (par exemple, entre hôpitaux), la conservation des données pendant les enquêtes judiciaires, ainsi que la vérification de l'identité en ligne, accompagnées de la création d'un label de confiance pour les fournisseurs de services.\u003C/p>\n\u003Cp>Outre les dispositions relatives au partage des données, une \u003Cstrong>partie substantielle de la loi précise le régime britannique de protection des données. Plutôt qu'une révision radicale, ces changements rationalisent ou clarifient les obligations existantes.\u003C/strong> Les mises à jour clés que les entreprises doivent prendre en compte comprennent :\u003C/p>\n\u003Ch2 id=\"nouvelles-exigences-en-matiere-de-conformite-et-de-protection-des-donnees-pour-les-organisations\">Nouvelles exigences en matière de conformité et de protection des données pour les organisations\u003C/h2>\n\u003Ctable style=\"min-width: 75px\">\n\u003Ccolgroup>\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003C/colgroup>\u003Ctbody>\u003Ctr>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Sujet\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>DUAA\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Votre organisation\u003C/p>\u003C/th>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Recherche scientifique &amp; consentement élargi\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Le DUAA précise quand il est permis d'utiliser des données personnelles pour la recherche scientifique, y compris la recherche commerciale, et permet le 'consentement élargi' couvrant un domaine d'étude.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>En vertu du RGPD britannique, le consentement pour l'utilisation des données personnelles devait traditionnellement être spécifique et informé. Le DUAA assouplit cela pour les contextes de recherche : les chercheurs peuvent obtenir un consentement pour des \u003Cem>domaines de recherche larges ou évolutifs\u003C/em> lorsqu'il n'est pas faisable de spécifier pleinement l'objectif au départ.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Décisions entièrement automatisées\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Crée un cadre plus permissif pour que les entreprises tirent parti de la \u003Cstrong>prise de décision automatisée\u003C/strong> (y compris les systèmes d'IA et d'apprentissage machine), à condition que certaines \u003Cstrong>garanties\u003C/strong> soient en place.\u003C/p>\u003Cp>La loi définit \u003Cem>“aucune intervention humaine significative”\u003C/em> comme le seuil d'une décision purement automatisée.\u003C/p>\u003Cp>Cependant, les restrictions strictes actuelles du RGPD/RGPD britannique continueront de s'appliquer aux données sensibles.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les organisations peuvent utiliser des décisions purement automatisées dans plus de situations \u003Cstrong>sans intervention humaine\u003C/strong>, \u003Cem>tant qu'elles mettent en œuvre des protections pour les individus\u003C/em>, y compris la \u003Cstrong>transparence\u003C/strong> (informer les gens lorsqu'une décision significative les concernant est automatisée), la possibilité pour les individus de \u003Cstrong>contester ou d’appeler\u003C/strong> le résultat, et l'option de \u003Cstrong>demander un examen humain\u003C/strong> de cette décision.\u003C/p>\u003Cp>Les entreprises utilisant l'IA devraient évaluer si une quelconque intervention humaine dans le processus est réellement “significative”.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Nouvelle base pour des 'intérêts légitimes reconnus' spécifiques\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Exempte de l'équilibre entre les droits des individus et l'intérêt poursuivi. La liste des intérêts légitimes reconnus est annexée au RGPD britannique. Cela inclut la sécurité nationale ; répondre à une urgence ; détecter, enquêter ou prévenir la criminalité ; et assurer la protection.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Si une entreprise traite des données pour un objectif répertorié (par exemple, mettre en œuvre des mesures de sécurité réseau ou envoyer des courriels à des clients existants au sujet de produits similaires), elle peut s'appuyer sur cette base légale sans effectuer l'évaluation habituelle des “Intérêts légitimes”.\u003C/p>\u003Cp>Les organisations doivent tout de même respecter les options de désinscription et d'autres lois applicables (par exemple, la PECR pour les communications marketing).\u003C/p>\u003C/td>\u003C/tr>\u003C/tbody>\n\u003C/table>\n\u003Ch2 id=\"droits-et-processus-pour-les-individus\">Droits et processus pour les individus\u003C/h2>\n\u003Ctable style=\"min-width: 75px\">\n\u003Ccolgroup>\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003C/colgroup>\u003Ctbody>\u003Ctr>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Sujet\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>DUAA\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Votre organisation\u003C/p>\u003C/th>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>DSARs &amp; délais\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Le DUAA introduit un mécanisme de \u003Cem>“stop-the-clock”\u003C/em> : si une organisation a besoin de plus d'informations pour vérifier l'identité du demandeur ou pour clarifier la portée de la demande, elle peut suspendre l'horloge normale d'un mois jusqu'à ce que le demandeur réponde.\u003C/p>\u003Cp>Lorsque des informations sont retenues pour des raisons de secret professionnel ou de confidentialité des clients, les organisations devront désormais notifier clairement aux individus l'exemption précise invoquée et les raisons de son application.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les entreprises devraient mettre à jour les procédures de DSAR, néanmoins l'utilisation du stop-the-clock doit être gérée avec prudence afin de ne pas entraîner des plaintes.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>DSARs &amp; efforts de recherche\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les entreprises ne sont tenues d'effectuer que des recherches \u003Cstrong>“raisonnables et proportionnées”\u003C/strong> pour les données lors de la réponse. En d'autres termes, vous devez faire des efforts sincères pour trouver des données personnelles mais n'êtes pas tenu de \u003Cem>rechercher de manière exhaustive chaque système\u003C/em> si cela est disproportionné. \u003Cbr>Ce qui compte comme raisonnable variera selon le contexte, mais cela s'aligne avec les orientations existantes de l'ICO et la jurisprudence.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Le fardeau de recherche semble être réduit, cependant la subjectivité du terme 'proportionné' peut être problématique.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Protection des données par conception pour la protection des enfants\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les organisations offrant des services en ligne \u003Cem>étant susceptibles d'être accessibles par des enfants\u003C/em> ont désormais une obligation légale explicite de prendre en compte \u003Cstrong>la vie privée et le bien-être des enfants\u003C/strong> lors de la conception et de la livraison de ces services. Cela inscrit essentiellement des aspects du \u003Cstrong>Code de Conception Adapté à l'Âge\u003C/strong> de l'ICO (Code pour les Enfants) dans la loi, garantissant que les plateformes et les applications prennent en compte les meilleurs intérêts des utilisateurs enfants.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les organisations qui ne se sont pas encore alignées sur le Code pour les Enfants devraient le faire, car cela devient une exigence de conformité plutôt qu'une simple orientation réglementaire.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Nouvelle procédure de plaintes\u003C/strong>\u003C/p>\u003Cp>\u003C/p>\u003Cp>\u003Cstrong>\u003Cem>(Pour juin 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Exige que les organisations \u003Cstrong>établissent un processus permettant aux individus de déposer des plaintes sur la protection des données directement.\u003C/strong> Si un individu croit qu'une entreprise utilise mal ses données ou ne respecte pas ses droits, l'entreprise doit avoir un canal interne clair (par exemple, un formulaire de plainte en ligne ou un e-mail) pour gérer cette plainte. Les responsables sont tenus de \u003Cstrong>accuser réception dans un délai de 30 jours\u003C/strong>.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les entreprises devraient mettre en œuvre ou revoir les workflows internes de gestion des plaintes et les politiques de confidentialité – potentiellement similaires à la manière dont sont gérées les plaintes des consommateurs ou les demandes d'accès aux sujets – et former le personnel à traiter les préoccupations relatives à la protection des données.\u003C/p>\u003C/td>\u003C/tr>\u003C/tbody>\n\u003C/table>\n\u003Ch2 id=\"focus-sectoriel-sur-le-marketing\">Focus sectoriel sur le marketing\u003C/h2>\n\u003Ctable style=\"min-width: 75px\">\n\u003Ccolgroup>\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003Ccol style=\"min-width: 25px\">\u003C/colgroup>\u003Ctbody>\u003Ctr>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Sujet\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>DUAA\u003C/p>\u003C/th>\u003Cth colspan=\"1\" rowspan=\"1\">\u003Cp>Votre organisation\u003C/p>\u003C/th>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>PECR\u003C/strong>\u003C/p>\u003Cp>\u003Cbr>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les amendes maximales pour les violations des règles de confidentialité dans la PECR (Règlements sur la Vie Privée et les Communications Électroniques) ont été \u003Cstrong>portées au niveau du RGPD britannique.\u003C/strong> L'ICO peut désormais imposer des amendes administratives allant jusqu'à \u003Cstrong>17,5 millions de livres ou 4% du chiffre d'affaires annuel mondial\u003C/strong> (selon ce qui est le plus élevé), ce qui constitue une augmentation spectaculaire par rapport au précédent plafond de 500 000 livres.\u003C/p>\u003Cp>Cela signifie que les violations liées aux appels courants/non sollicités, à l'utilisation abusive de cookies ou au suivi, et d'autres infractions à la vie privée électronique entraînent un risque financier équivalent à celui des violations de données personnelles.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Avec des amendes plus élevées possibles pour les violations de la PECR, les entreprises devraient examiner de près leurs pratiques de marketing numérique.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Exemption de consentement pour les cookies à faible risque\u003C/strong>\u003Cbr>\u003Cbr>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Élargit les catégories de cookies et technologies de suivi similaires pouvant être installés \u003Cstrong>sans obtenir de consentement préalable.\u003C/strong> En vertu de la PECR, seuls les cookies “strictement nécessaires” à un service étaient exemptés de consentement. Désormais, \u003Cstrong>les cookies d'analyse utilisés uniquement pour recueillir des informations statistiques pour l'amélioration du service\u003C/strong>, \u003Cstrong>les cookies fonctionnels pour les préférences des utilisateurs ou la connexion automatique\u003C/strong>, les cookies utilisés pour \u003Cstrong>détecter des pannes ou localiser des utilisateurs durant des urgences\u003C/strong>, sont exemptés.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les entreprises devraient mettre à jour leurs politiques de cookies et leurs plateformes / bannières de gestion du consentement pour refléter ces exemptions, simplifiant potentiellement les flux de consentement utilisateur sur les sites Web et les applications. Toutefois, ces utilisations “à faible risque” doivent être \u003Cem>transparentes\u003C/em> et offrir une option de désinscription, et toutes les données collectées \u003Cstrong>ne doivent pas être utilisées au-delà de l'objectif d'amélioration ou de fonctionnalité déclaré.\u003C/strong>\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>“Soft Opt-in” pour les associations caritatives\u003C/strong>\u003Cbr>\u003Cbr>\u003Cstrong>\u003Cem>(depuis le 5 février 2026)\u003C/em>\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les organisations à but non lucratif (œuvres caritatives, partis politiques, etc.) sont désormais autorisées à faire appel à l'exception du \u003Cstrong>“soft opt-in”\u003C/strong> pour le marketing par e-mail/SMS. \u003Cbr>Maintenant, par exemple, une œuvre caritative qui a obtenu les coordonnées d'une personne lors d'un don ou d'une inscription à un événement peut lui envoyer des e-mails de collecte de fonds sur une base de désinscription, ce qui n'était pas possible auparavant.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Les conditions habituelles du soft opt-in s'appliquent toujours : les communications doivent se rapporter aux propres objectifs de l'organisation (\u003Cem>contexte similaire\u003C/em>), et une option de désinscription doit être fournie de manière proéminente dans chaque message.\u003C/p>\u003C/td>\u003C/tr>\u003Ctr>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>\u003Cstrong>Marketing direct\u003C/strong>\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>Confirme que \u003Cstrong>le marketing direct peut constituer un intérêt légitime\u003C/strong> en vertu du RGPD britannique. Cela codifie ce qui figurait dans les considérants du RGPD : l'utilisation de données personnelles pour le marketing (par exemple, maintenir une liste de diffusion de clients, profilage pour le marketing) est généralement autorisée sur la base des “intérêts légitimes”, sous réserve des options de désinscription habituelles et des considérations d'équité.\u003C/p>\u003C/td>\u003Ctd colspan=\"1\" rowspan=\"1\">\u003Cp>L'effet pratique est de donner aux entreprises plus de confiance dans le choix d'un intérêt légitime (au lieu du consentement) comme base légale pour certains usages de données marketing, puisque la loi le reconnaît maintenant explicitement.\u003C/p>\u003Cp>En gardant à l'esprit les règles de la PECR, sachant que les intérêts légitimes ne resteront une base que lorsque la loi ne nécessite pas de consentement.\u003C/p>\u003C/td>\u003C/tr>\u003C/tbody>\n\u003C/table>\n\u003Ch2 id=\"de-lico-a-une-commission-de-linformation-avec-des-pouvoirs-dexecution-renforces\">De l'ICO à une 'Commission de l'Information' avec des pouvoirs d'exécution renforcés\u003C/h2>\n\u003Cp>La loi restructure le Bureau du Commissaire à l'Information en une “Commission de l'Information” (un organe multipartite) et lui accorde des pouvoirs d'enquête et d'exécution renforcés.\u003C/p>\n\u003Cp>La Commission peut contraindre les organisations (et leur personnel) à fournir des informations ou des documents pertinents pour une enquête, et même \u003Cstrong>exiger la présence de témoins pour un entretien.\u003C/strong>\u003C/p>\n\u003Cp>Les avis d'exécution ou d'évaluation n'ont plus besoin d'être livrés par voie postale ou d'obtenir le consentement du destinataire. Le régulateur peut \u003Cstrong>signifier des avis légaux par voie électronique\u003C/strong>, y compris aux entreprises étrangères opérant au Royaume-Uni, ce qui rationalise l'exécution transfrontalière.\u003C/p>\n\u003Cp>La Commission de l'Information peut former des panels d'experts intéressés pour aider à façonner des codes de pratique ou évaluer les impacts réglementaires. Bien que cela ne constitue pas directement un fardeau pour les entreprises, cela suggère que des orientations plus consultatives et potentiellement spécifiques à un secteur émergeront, auxquelles les entreprises devraient prêter attention.\u003C/p>\n\u003Ch2 id=\"duaa-et-transferts-de-donnees\">DUAA et transferts de données\u003C/h2>\n\u003Cp>Le régime britannique conserve la hiérarchie du RGPD : d'abord recherche la conformité (désormais appelée “test de protection des données”), puis les garanties (comme les SCC, BCR), et enfin les dérogations.\u003C/p>\n\u003Cp>Le DUAA adopte la même approche que le projet de loi DPDI en introduisant un nouveau “test de protection des données” pour les transferts de données internationales. Selon ce test, les garanties dans les pays tiers ne doivent \u003Cstrong>pas être matériellement inférieures\u003C/strong> à celles du Royaume-Uni.\u003C/p>\n\u003Cp>En ce qui concerne les obligations des exportateurs, ils doivent également appliquer un \u003Cstrong>test de protection des données\u003C/strong>, mais il est moins strict. Les transferts sont autorisés si l'exportateur \u003Cstrong>“agissant raisonnablement et proportionnellement”\u003C/strong> croit que le standard n'est pas matériellement inférieur.\u003C/p>\n\u003Cp>Cependant, parce que “matériellement” n'est pas précisément défini, cela pourrait à la fois élargir la gamme de juridictions éligibles et potentiellement déclencher des préoccupations de l'UE, compliquant les décisions futures en matière de conformité.\u003C/p>\n\u003Cp>Un risque juridique indirect mais notable concerne les transferts internationaux de données. La Commission européenne réévalue actuellement la \u003Cstrong>décision sur la conformité\u003C/strong> du Royaume-Uni (qui permet les flux de données personnelles de l'UE vers le Royaume-Uni) à la lumière de ces réformes. La Commission a prolongé le statut de conformité du Royaume-Uni jusqu'au 27 décembre 2025 tout en évaluant l'impact du DUAA.\u003C/p>\n\u003Cp>\u003Cstrong>Étant donné que les changements apportés par la loi à la législation sur la vie privée sont modestes, les experts estiment qu'un renouvellement positif de l'adéquation est probable.\u003C/strong> Cependant, toute perception que les normes de protection des données britanniques se sont matériellement affaiblies pourrait compromettre ce statut.\u003C/p>\n\u003Ch3 id=\"prochaines-etapes\">Prochaines étapes\u003C/h3>\n\u003Cp>La perte de la conformité imposerait des obstacles de conformité coûteux aux entreprises échangeant des données avec l'Europe. Ainsi, les entreprises devraient surveiller cette évolution ; pour l'instant, aucune action n'est nécessaire.\u003C/p>\n\u003Cp>L'ICO prévoit de mettre à jour et de modifier ses orientations au cours des mois à venir. Pour l'instant, l'\u003Ca href=\"https://ico.org.uk/about-the-ico/what-we-do/legislation-we-cover/data-use-and-access-act-2025/the-data-use-and-access-act-2025-what-does-it-mean-for-organisations/\" rel=\"nofollow\">ICO fournit des \u003Cstrong>orientations pratiques\u003C/strong>\u003C/a> pour aider les organisations à se familiariser avec les changements.\u003C/p>\n","Ce que le DUAA signifie pour votre organisation","La loi de 2025 sur les données (utilisation et accès) a reçu la sanction royale le 19 juin 2025 (DUAA). Alors qu'elle réforme le cadre de protection des données",3128,17,0,null,"fr","ce-que-le-duaa-signifie-pour-votre-organisation","La Loi de 2025 sur les données (utilisation et accès) a reçu l'assentiment royal le 19 juin 2025 (DUAA). Alors qu'elle réforme le cadre de protection des données au Royaume-Uni, découvrez ici les principaux changements.","Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":12,"blogUrl":12,"color":12,"userId":18,"creationDate":21},20352,"Leïla Sayssa","https://static.dastra.eu/tenant-3/avatar/20352/TDYeY3C8Rz1lLE/dpo-avatar-h01-150.png","2025-03-03T11:08:22","2025-10-24T09:41:00","2025-10-24T09:41:25.2573587","2026-06-01T16:16:35.9724313",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":31},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[32,34,37],{"lang":13,"name":27,"description":33},"Une liste d'articles rédigés par la communauté",{"lang":35,"name":27,"description":36},"es","Una lista de artículos escritos por la comunidad",{"lang":38,"name":27,"description":39},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[41,46,67],{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":42},[43,44,45],{"lang":13,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},{"id":47,"name":48,"description":49,"url":50,"color":51,"parentId":26,"count":12,"imageUrl":12,"parent":52,"order":11,"translations":57},9,"News","Stay up to date with the latest news from data protection authorities: decisions, fines, guidelines, and regulatory trends in GDPR and privacy.","news","#1676ca",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":53},[54,55,56],{"lang":13,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},[58,61,64],{"lang":13,"name":59,"description":60},"Actualités","Suivez les dernières actualités des autorités de protection des données (CNIL, EDPS, etc.) : décisions, sanctions, lignes directrices et tendances réglementaires en matière de RGPD et de privacy.",{"lang":35,"name":62,"description":63},"Actualidad","Todos los artículos relativos a las autoridades de protección de datos",{"lang":38,"name":65,"description":66},"Nachrichten","Alle Artikel mit Bezug zu Datenschutzbehörden",{"id":68,"name":69,"description":70,"url":71,"color":72,"parentId":26,"count":12,"imageUrl":12,"parent":73,"order":78,"translations":79},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":74},[75,76,77],{"lang":13,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},5,[80,82,85],{"lang":13,"name":69,"description":81},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":38,"name":83,"description":84},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":35,"name":86,"description":87},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[],"https://static.dastra.eu/content/f1617e11-568c-4bbc-9206-85047090981f/visuel-article-23-300-original.webp",[91,92,93,94,95,96,97],"https://static.dastra.eu/content/f1617e11-568c-4bbc-9206-85047090981f/visuel-article-23-300-1000.webp","https://static.dastra.eu/content/f1617e11-568c-4bbc-9206-85047090981f/visuel-article-23-300.webp","https://static.dastra.eu/content/f1617e11-568c-4bbc-9206-85047090981f/visuel-article-23-300-1500.webp","https://static.dastra.eu/content/f1617e11-568c-4bbc-9206-85047090981f/visuel-article-23-300-800.webp","https://static.dastra.eu/content/f1617e11-568c-4bbc-9206-85047090981f/visuel-article-23-300-600.webp","https://static.dastra.eu/content/f1617e11-568c-4bbc-9206-85047090981f/visuel-article-23-300-300.webp","https://static.dastra.eu/content/f1617e11-568c-4bbc-9206-85047090981f/visuel-article-23-300-100.webp",59675,{"items":100,"total":10,"size":125,"page":125},[101],{"title":102,"nbDownloads":103,"excerpt":104,"lang":13,"url":105,"intro":106,"featured":107,"state":16,"author":108,"authorId":109,"datePublication":113,"dateCreation":114,"dateUpdate":115,"mainCategory":116,"categories":123,"metaDatas":163,"imageUrl":168,"imageThumbUrls":169,"id":177},"AI Act : Déployer un AI Management System (AIMS) en 6 étapes",61,"Méthode opérationnelle pour structurer la gouvernance IA et répondre efficacement aux exigences de l’AI Act","ai-act-deployer-un-ai-management-system-aims-en-6-etapes","L’intelligence artificielle entre dans une nouvelle ère : celle de la gouvernance. Avec l’AI Act (UE 2024/1689), les organisations doivent désormais structurer et démontrer la conformité de leurs systèmes d’IA dans un cadre exigeant et évolutif.\n\nFace à la complexité réglementaire et à la multiplication des usages, beaucoup peinent à passer à l’opérationnel. Les initiatives restent souvent dispersées, générant des risques juridiques, opérationnels et réputationnels.\n\nL’AI Management System (AIMS) apporte une réponse structurée. Ce guide propose une méthode en 6 étapes pour déployer une gouvernance IA efficace, alignée avec les exigences de l’AI Act.",true,{"id":109,"displayName":110,"avatarUrl":111,"bio":12,"blogUrl":12,"color":12,"userId":109,"creationDate":112},38,"Paul-Emmanuel Bidault","https://static.dastra.eu/tenant-27/avatar/38/paul-emmanuel-bidault-150.jpg","2019-12-03T19:09:28","2026-03-30T20:17:00","2026-03-30T20:17:09.7405659","2026-04-20T12:08:34.6382717",{"id":117,"name":118,"description":12,"url":119,"color":120,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":121,"translations":122},70,"Livre blanc","white-papers","#1795d3",3,[],[124,132,137,142,144,150],{"id":125,"name":126,"description":127,"url":128,"color":129,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":125,"translations":130},1,"Actualités & veille","Toutes les dernières actualités sur la conformité GDPR dans l'application.","watch","#6c1414",[131],{"lang":13,"name":126,"description":127},{"id":26,"name":27,"description":33,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":133},[134,135,136],{"lang":13,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},{"id":68,"name":69,"description":81,"url":71,"color":72,"parentId":26,"count":12,"imageUrl":12,"parent":12,"order":78,"translations":138},[139,140,141],{"lang":13,"name":69,"description":81},{"lang":38,"name":83,"description":84},{"lang":35,"name":86,"description":87},{"id":117,"name":118,"description":12,"url":119,"color":120,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":121,"translations":143},[],{"id":145,"name":146,"description":12,"url":147,"color":148,"parentId":125,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":149},155,"AI","ai","#37c71a",[],{"id":151,"name":152,"description":153,"url":147,"color":154,"parentId":68,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":155},213,"Intelligence artificielle","Tout les articles relatifs à l'intelligence artificielle","#5856d6",[156,157,160],{"lang":13,"name":152,"description":153},{"lang":38,"name":158,"description":159},"Künstliche Intelligenz","Alle Artikel zum Thema künstliche Intelligenz",{"lang":35,"name":161,"description":162},"Inteligencia artificial","Todos los artículos sobre el tema de la inteligencia artificial",[164],{"typeMetaDataId":165,"value":166,"id":167},4,"https://static.dastra.eu/backofficefilescontainer/9c636312-c372-468b-9059-72f09b4963e7/Livret AI Act - 6 étapes pour déployer AIMS.pdf",117357,"https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-original.png",[170,171,172,173,174,175,176],"https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-1000.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-1500.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-800.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-600.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-300.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-100.webp",59947]