RGPD vs RGPD britannique : comment le Data (Use and Access) Act 2025 crée une véritable divergence
Le RGPD de l'UE et le RGPD britannique ont débuté comme des textes identiques après le Brexit. Le Data (Use and Access) Act 2025, en vigueur depuis février 2026, a créé la première divergence matérielle : les intérêts légitimes reconnus, des règles réformées sur la décision automatisée, un mécanisme de suspension du délai pour les demandes d'accès, et des exemptions de cookies analytiques ne s'appliquent désormais qu'au cadre britannique.
Lorsque le Royaume-Uni a quitté l'Union européenne le 31 janvier 2020, le RGPD de l'UE n'a pas simplement cessé de s'appliquer. L'European Union (Withdrawal) Act 2018 l'a conservé en droit interne britannique, créant le RGPD britannique. Complété par le Data Protection Act 2018, le RGPD britannique reflétait initialement le RGPD de l'UE presque mot pour mot.
Pendant quatre ans, la comparaison est restée largement théorique. Puis est arrivé le Data (Use and Access) Act 2025 (DUAA). Ayant reçu la sanction royale le 19 juin 2025 et entré en vigueur par phases jusqu'au début de 2026, le DUAA a introduit des changements structurels concernant le traitement fondé sur l'intérêt légitime, la décision automatisée, les droits d'accès des personnes concernées, le consentement aux cookies, et la gouvernance même de l'ICO. Les deux régimes ne se ressemblent désormais plus.
Ce guide explique comment le RGPD britannique est né, ce que le DUAA a modifié, l'état de la décision d'adéquation de l'UE, et à quoi ressemble la double conformité en 2026.
Comment le RGPD britannique est né
Le RGPD de l'UE s'est appliqué directement au Royaume-Uni du 25 mai 2018 au 31 décembre 2020, période durant laquelle le Royaume-Uni était d'abord un État membre, puis en période de transition après son départ. Le 1er janvier 2021, le RGPD conservé est devenu le RGPD britannique.
Le mécanisme technique était simple. Le Withdrawal Act a intégré le RGPD au droit interne britannique et a autorisé des instruments statutaires pour corriger les références devenues obsolètes : « l'Union » est devenue « le Royaume-Uni », les institutions de l'UE ont trouvé leurs équivalents britanniques, et l'Information Commissioner's Office (ICO) est devenu l'autorité de contrôle unique pour l'ensemble du pays, plutôt que l'autorité de contrôle nationale britannique au sein d'un réseau de plus de 30 autorités de contrôle européennes.
Le Data Protection Act 2018 s'articule avec le RGPD britannique selon une relation qui reflète la structure de l'UE : le DPA 2018 fournit des dispositions et dérogations propres au Royaume-Uni, à l'instar de la manière dont les États membres de l'UE ont adopté une législation nationale de mise en œuvre. L'ensemble formé par le RGPD britannique et le DPA 2018, au 1er janvier 2021, était substantiellement identique au RGPD de l'UE.
Le gouvernement britannique a annoncé très tôt son intention de réformer ce cadre. Après plusieurs faux départs, le Data Protection and Digital Information (DPDI) Act a reçu la sanction royale le 24 octobre 2024, apportant des changements modestes. Le DUAA 2025, une loi plus large et plus ambitieuse, a suivi huit mois plus tard.
La quasi-identité historique
De 2021 jusqu'à la majeure partie de 2025, le RGPD britannique et le RGPD de l'UE étaient fonctionnellement équivalents pour presque tous les usages pratiques. Les six fondements juridiques du traitement étaient identiques. Les droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition) étaient les mêmes. L'obligation de notification de violation dans les 72 heures était identique. La protection des données dès la conception, les analyses d'impact, les exigences relatives au DPD, les contrats de sous-traitance et les règles applicables aux données de catégories particulières suivaient tous le texte de l'UE.
Les principales différences pratiques durant cette période étaient d'ordre structurel : l'ICO en tant qu'autorité de contrôle unique (contre plus de 30 autorités de contrôle de l'UE), les propres décisions d'adéquation du Royaume-Uni pour les transferts internationaux, l'International Data Transfer Agreement (IDTA) britannique en tant qu'équivalent national des clauses contractuelles types de l'UE, et l'utilisation de la livre sterling plutôt que l'euro pour les amendes.
Cette quasi-identité constituait le fondement sur lequel la Commission européenne a accordé au Royaume-Uni une décision d'adéquation en juin 2021.
Le Data (Use and Access) Act 2025 : là où la divergence commence
Le DUAA a été adopté le 19 juin 2025. Le gouvernement britannique l'a présenté comme une réforme pro-innovation qui préserve des normes élevées de protection des données tout en réduisant les charges de conformité inutiles. Des critiques, dont le CEPD, ont noté que certains changements s'éloignent sensiblement des principes du RGPD de l'UE.
La plupart des dispositions relatives à la protection des données de la loi sont entrées en vigueur le 5 février 2026. L'obligation de traitement des réclamations entre en vigueur le 19 juin 2026. La restructuration de la gouvernance de l'ICO suivra une fois le nouveau conseil d'administration nommé, prévu pour fin 2026.
Les intérêts légitimes reconnus
Le changement le plus significatif sur le plan structurel est la création d'un nouveau fondement juridique : les « intérêts légitimes reconnus » (recognised legitimate interests) au titre de l'article 6 du RGPD britannique (inséré par la section 70 et l'annexe 4 du DUAA).
Sous le RGPD de l'UE, toute utilisation des intérêts légitimes comme fondement juridique exige une analyse d'intérêt légitime (Legitimate Interests Assessment, LIA) mettant en balance l'intérêt du responsable de traitement et les droits et libertés de la personne concernée. Il n'existe aucun raccourci. Le RGPD britannique conserve cette exigence complète de mise en balance pour les demandes générales d'intérêt légitime.
Toutefois, l'annexe 4 du DUAA insère une liste d'« intérêts légitimes reconnus » spécifiques pour lesquels aucun test de mise en balance n'est requis. Les catégories énumérées sont :
- La prévention et la détection de la criminalité, y compris la prévention de la fraude
- La protection des personnes vulnérables (protéger une personne contre la négligence, ou un préjudice physique, mental ou émotionnel)
- La réponse aux urgences, telle que définie par le Civil Contingencies Act 2004
- La sécurité nationale, la sécurité publique et la défense
- L'assistance aux organismes publics dans des missions d'intérêt public prévues par la loi
- La transmission intragroupe de données personnelles à des fins administratives internes
Pour ces catégories spécifiques, un responsable de traitement peut s'appuyer sur le fondement d'intérêt légitime reconnu sans réaliser ni documenter de test de mise en balance. La personne concernée conserve le droit de s'opposer au titre de l'article 21, mais le traitement est présumé licite.
Le RGPD de l'UE ne comporte pas de disposition équivalente. Le traitement fondé sur des intérêts légitimes dans l'UE exige toujours un test de mise en balance, quelle que soit la finalité. Il s'agit d'un domaine de véritable divergence substantielle.
La prise de décision automatisée
L'article 22 du RGPD accorde aux personnes concernées de l'UE le droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou similaires, sous réserve d'exceptions limitées. Cela a historiquement constitué une contrainte importante sur le profilage entièrement automatisé, la notation de crédit et les systèmes similaires.
Le DUAA remplace l'article 22 du RGPD britannique par de nouveaux articles 22A à 22D (section 80 et annexe 6). Le cadre britannique réformé est décrit par le gouvernement comme « plus permissif ». Principaux changements :
- L'interdiction de la prise de décision entièrement automatisée (ADM) ne s'applique désormais que lorsque la décision repose entièrement ou partiellement sur des données de catégories particulières et produit des effets juridiques ou similaires.
- Pour les autres décisions automatisées, les organisations doivent assurer la transparence, permettre à la personne concernée de présenter des observations, et offrir une voie d'intervention humaine sur demande.
- Dans les contextes d'application de la loi, une nouvelle « exemption d'examen humain actif » permet des décisions automatisées défavorables sans examen humain immédiat si cela devait entraver une enquête ou compromettre la sécurité nationale, à condition qu'un réexamen humain intervienne dès que raisonnablement possible.
L'effet pratique est qu'un éventail plus large de décisions automatisées devient licite au Royaume-Uni sans déclencher les protections complètes de l'article 22. Un système conçu selon le cadre britannique plus permissif pourrait ne pas être conforme au RGPD de l'UE pour les personnes concernées de l'UE. L'ICO a ouvert une consultation sur des lignes directrices actualisées relatives à l'ADM début 2026.
La suspension du délai pour les demandes d'accès (SAR stop-the-clock)
Les sections 75 à 78 du DUAA introduisent un mécanisme de « suspension du délai » pour les demandes d'accès (subject access requests, SAR) qui n'a pas d'équivalent dans le RGPD de l'UE.
Sous les deux cadres, les responsables de traitement doivent répondre aux SAR dans un délai d'un mois calendaire (prorogeable de deux mois supplémentaires pour les demandes complexes ou nombreuses). Sous le RGPD de l'UE, ce délai court en continu dès réception de la demande.
Sous le RGPD britannique modifié, le délai de réponse est suspendu lorsque le responsable de traitement a besoin que la personne concernée clarifie ou précise sa demande, ou fournisse des informations supplémentaires pour localiser les données pertinentes. Le délai s'arrête lorsque la clarification est demandée et reprend dès qu'elle est reçue.
Ces mêmes sections codifient également que les recherches menées dans le cadre d'une SAR n'ont besoin d'être que « raisonnables et proportionnées », un principe précédemment établi uniquement par la jurisprudence britannique.
Ce mécanisme de suspension du délai offre aux responsables de traitement britanniques davantage de flexibilité dans le traitement des SAR complexes. Les responsables de traitement de l'UE ne disposent d'aucun outil équivalent ; toute demande de clarification doit être gérée dans le délai d'un mois qui continue de courir.
Les réformes relatives aux cookies et au PECR
Le Privacy and Electronic Communications Regulations 2003 (PECR) met en œuvre en droit britannique la directive européenne ePrivacy et régit les cookies et technologies de suivi similaires. Le PECR a historiquement exigé un consentement préalable pour tous les cookies non essentiels, produisant les bannières de consentement aux cookies familières sur les sites Internet au Royaume-Uni comme dans l'UE.
Le DUAA modifie le PECR pour créer trois nouvelles catégories de technologies de stockage et d'accès exemptées de consentement (en vigueur depuis le 5 février 2026) :
- Les cookies statistiques : cookies analytiques utilisés pour mesurer et améliorer la performance du site Internet, à condition que les données ne soient pas utilisées à d'autres fins et qu'une possibilité de refus gratuite soit proposée aux utilisateurs.
- Les cookies d'apparence : cookies mémorisant les préférences de l'utilisateur, telles que la langue ou les paramètres d'affichage, lorsqu'une possibilité de refus gratuite est proposée.
- Les cookies d'assistance d'urgence : cookies nécessaires pour permettre un service d'assistance d'urgence.
Pour les cookies statistiques et d'apparence, l'exemption ne s'applique que si le responsable de traitement offre un mécanisme gratuit et simple permettant aux utilisateurs de s'y opposer. L'ICO a publié un projet de lignes directrices à l'automne 2025 ; des lignes directrices définitives sont attendues au printemps 2026.
Dans l'UE, la directive ePrivacy n'a pas été modifiée. Tous les cookies non essentiels exigent toujours un consentement préalable explicite. Le règlement ePrivacy, débattu de longue date, demeure non adopté. Les sites Internet britanniques peuvent désormais utiliser des cookies analytiques sans bannière de consentement (sous réserve d'offrir une option de refus), tandis que les mêmes cookies sur une page destinée à l'UE exigent toujours un consentement préalable.
Par ailleurs, le DUAA relève l'amende PECR maximale de 500 000 £ à 17,5 millions de livres sterling ou 4 % du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu), alignant ainsi l'application en matière de communications électroniques sur les niveaux de sanction du RGPD.
Les dispositions relatives à la recherche scientifique
Les sections 67 et 68 du DUAA clarifient et élargissent les dispositions britanniques sur la recherche. Deux changements importent.
Premièrement, la définition de la « recherche scientifique » est inscrite dans la législation primaire (elle figurait auparavant dans les considérants) et inclut explicitement la recherche scientifique commerciale, par exemple une société pharmaceutique menant des essais cliniques. Cela supprime l'ambiguïté quant à savoir si les entités de recherche commerciales bénéficient des flexibilités de traitement liées à la recherche.
Deuxièmement, le DUAA permet un « consentement large » pour la recherche scientifique : lorsqu'il n'est pas raisonnablement possible de définir des finalités de recherche spécifiques dès le départ, un consentement plus large couvrant des domaines de recherche connexes est valide. Cela reflète une pratique courante dans les études longitudinales et les biobanques.
Sous le RGPD de l'UE, ces principes existent dans les considérants et à l'article 89, mais ont été interprétés de manière plus restrictive dans certains États membres. La codification britannique offre une plus grande sécurité juridique.
Les dispositifs de données intelligentes (smart data)
La partie 1 du DUAA établit un cadre statutaire pour les « dispositifs de données intelligentes » (smart data schemes). Ceci est distinct des changements essentiels du RGPD britannique mais pertinent pour les praticiens des données.
Les dispositifs de données intelligentes étendent le modèle britannique d'Open Banking, qui permet aux clients de partager leurs données financières avec des tiers autorisés via des API, à d'autres secteurs. Le Secretary of State et le Trésor peuvent désigner des « détenteurs de données » dans tout secteur (énergie, prêts hypothécaires, assurance, retraites et autres) pour rendre les données des clients disponibles, sur demande, à des tiers autorisés.
Depuis 2025, environ un consommateur et une entreprise britanniques sur cinq utilisent des services d'Open Banking. Le DUAA place l'Open Banking sur une base statutaire et crée l'infrastructure juridique pour étendre ce modèle à l'ensemble de l'économie. L'objectif du gouvernement est de créer plus de 20 nouveaux dispositifs de données intelligentes d'ici 2035.
Les dispositifs de données intelligentes ne modifient pas directement le RGPD britannique, mais les données partagées dans le cadre d'un tel dispositif doivent respecter les exigences du RGPD britannique pour chaque responsable de traitement impliqué.
L'ICO devient l'Information Commission
La partie 6 du DUAA renomme l'Information Commissioner's Office en Information Commission (IC) et restructure sa gouvernance. L'ICO sera dirigé par un conseil d'administration doté d'un président et d'un directeur général distincts, plutôt que par un Information Commissioner unique.
L'Information Commission portera également un devoir statutaire de tenir compte de l'opportunité de promouvoir l'innovation dans l'exercice de ses fonctions. Des critiques notent que cela crée une tension avec l'exigence du RGPD de l'UE selon laquelle les autorités de contrôle doivent agir en « toute indépendance » (art. 52) et sans objectifs commerciaux concurrents.
La transition complète de gouvernance dépend des nominations au nouveau conseil d'administration, prévues au second semestre 2026. D'ici là, la structure actuelle de l'ICO fonctionne sous le nouveau nom.
Le DUAA a également conféré à l'ICO des outils d'application renforcés : le pouvoir d'exiger des responsables de traitement qu'ils commandent des audits indépendants à leurs frais, et le pouvoir de contraindre des témoins à des entretiens par le biais d'avis d'information.
La décision d'adéquation de l'UE : renouvelée jusqu'en 2031
Lorsque le Royaume-Uni a quitté le marché unique de l'UE le 1er janvier 2021, l'article 46 du RGPD de l'UE exigeait des organisations qu'elles disposent d'une décision d'adéquation, de clauses contractuelles types, de règles d'entreprise contraignantes, ou d'un autre mécanisme approuvé avant de transférer des données personnelles de l'UE vers le Royaume-Uni.
La Commission européenne a adopté une décision d'adéquation pour le Royaume-Uni en juin 2021, déterminant que le cadre britannique offrait une protection essentiellement équivalente. La décision initiale comportait une clause de caducité de quatre ans, expirant en juin 2025 sauf renouvellement.
Le renouvellement de décembre 2025
La Commission a renouvelé les deux décisions d'adéquation du Royaume-Uni, l'une au titre du RGPD de l'UE, l'autre au titre de la directive relative aux forces de l'ordre, le 19 décembre 2025. Les décisions renouvelées s'étendent jusqu'au 27 décembre 2031 : une prolongation de six ans.
En procédant à ce renouvellement, la Commission a évalué le cadre britannique de protection des données, y compris le DUAA 2025 nouvellement adopté, et a conclu que la protection demeurait « essentiellement équivalente » aux normes de l'UE, nonobstant les réformes du DUAA.
Le CEPD avait adopté ses avis sur les projets de décisions d'adéquation le 20 octobre 2025, soutenant la prolongation tout en soulevant des préoccupations spécifiques :
- Pouvoirs du Secretary of State : le pouvoir de modifier les règles de décision automatisée, les mécanismes de transfert international et la gouvernance de l'ICO par voie de législation secondaire, avec un contrôle parlementaire limité, devrait faire l'objet d'une surveillance.
- Critère d'adéquation ultérieur britannique : la nouvelle norme britannique pour les évaluations d'adéquation des pays tiers (protection « non matériellement inférieure ») omet des éléments qui figuraient dans l'ancien critère britannique, ce qui pourrait permettre des transferts ultérieurs vers des pays ne répondant pas aux normes d'adéquation de l'UE.
- Structure et indépendance de l'ICO : les changements apportés à la gouvernance de l'ICO et son nouveau devoir de prendre en compte l'innovation nécessitent une évaluation continue.
- Exemptions de sécurité nationale : les Technical Capability Notices permettant de contourner le chiffrement, et les exemptions de sécurité nationale aux principes de protection des données, méritent une surveillance étroite.
La présidente du CEPD, Anu Talus, a déclaré que le Comité « se félicite de la poursuite de l'alignement entre les cadres de protection des données du Royaume-Uni et de l'Europe », tout en appelant à une surveillance effective sur la période de six ans.
Ce que l'adéquation signifie en pratique
La décision d'adéquation couvre les transferts de données personnelles des États membres de l'UE et de l'EEE vers le Royaume-Uni. En pratique :
- Les organisations britanniques recevant des données personnelles de responsables de traitement de l'UE/EEE n'ont pas besoin de CCT, de règles d'entreprise contraignantes, ni d'autres garanties de transfert.
- Les responsables de traitement de l'UE envoyant des données à des sous-traitants ou co-responsables britanniques peuvent le faire librement.
- Si la décision devait être révoquée ou suspendue, chacun de ces transferts nécessiterait immédiatement un mécanisme alternatif.
Les transferts du Royaume-Uni vers l'UE sont traités séparément : le Royaume-Uni a reconnu l'UE/EEE comme adéquate en vertu de sa réglementation britannique sur l'adéquation, de sorte que ces transferts circulent également sans garanties supplémentaires.
Application : ICO contre autorités de contrôle de l'UE
| ICO / Information Commission (Royaume-Uni) | Autorités de contrôle de l'UE | |
|---|---|---|
| Nombre d'autorités | 1 (nationale) | 30+ (une par État membre) |
| Modèle d'autorité chef de file | Non applicable | Guichet unique : autorité de contrôle chef de file pour le traitement transfrontalier |
| Amende maximale au titre du RGPD / RGPD britannique | 17,5 M£ ou 4 % du chiffre d'affaires mondial | 20 M€ ou 4 % du chiffre d'affaires mondial |
| Amende PECR maximale (à compter de février 2026) | 17,5 M£ ou 4 % du chiffre d'affaires mondial | Directive ePrivacy : variable selon l'État membre |
| Indépendance de l'autorité de contrôle | Devoir statutaire de prendre en compte l'innovation | « Toute indépendance » (art. 52) |
| Pouvoirs d'audit post-DUAA | Peut exiger des audits externes aux frais du responsable de traitement | Variable selon l'État membre |
Les niveaux de sanction sont globalement équivalents en termes monétaires. Pour les organisations soumises aux deux régulateurs, une violation affectant à la fois des personnes concernées britanniques et de l'UE nécessite une notification distincte à l'ICO et à l'autorité de contrôle chef de file de l'UE compétente, dans les 72 heures suivant sa découverte.
La divergence menace-t-elle l'adéquation ?
Le renouvellement de décembre 2025 confirme que les niveaux actuels de divergence entrent dans la tolérance de la Commission au critère d'« équivalence substantielle ». Les six domaines les plus susceptibles d'attirer l'attention sur la période 2025-2031 sont :
Les transferts ultérieurs : la nouvelle norme britannique de « protection non matériellement inférieure » pour l'adéquation des pays tiers pourrait permettre des transferts ultérieurs, côté britannique, vers des pays que l'UE n'a pas reconnus. Les données de l'UE entrant au Royaume-Uni puis transférées ultérieurement vers un pays offrant une protection moindre pourraient compromettre le fondement de l'adéquation.
Les pouvoirs de législation secondaire : le Secretary of State peut modifier davantage le cadre du RGPD britannique, y compris les règles ADM et les mécanismes de transfert international, sans législation primaire. Tout exercice de ces pouvoirs qui réduirait les protections des personnes concernées pourrait déclencher un réexamen par la Commission.
L'indépendance de l'ICO : si les schémas d'application de l'Information Commission semblent façonnés par des considérations commerciales ou d'innovation plutôt que par le droit de la protection des données, cela pourrait susciter des commentaires du CEPD.
Les pratiques ADM : si des organisations britanniques commencent à exploiter des systèmes de prise de décision automatisée qui seraient illicites au titre de l'article 22 du RGPD de l'UE mais autorisés au titre des articles 22A-D britanniques, et que ces décisions affectent des résidents de l'UE, des frictions en matière d'adéquation pourraient survenir.
La décision d'adéquation peut être suspendue ou révoquée à tout moment avant 2031. Les organisations disposant de flux de données significatifs entre l'UE et le Royaume-Uni devraient maintenir des CCT ou des IDTA de secours par précaution.
Comparaison côte à côte
| Caractéristique | RGPD de l'UE | RGPD britannique (post-DUAA, 2026) |
|---|---|---|
| En vigueur depuis | 25 mai 2018 | 1er janv. 2021 (conservé) ; DUAA : 5 fév. 2026 |
| Autorité de contrôle | Autorités de contrôle nationales (30+) | ICO (devenant Information Commission) |
| Intérêts légitimes reconnus | Pas d'équivalent ; analyse d'intérêt légitime toujours requise | Liste de l'annexe 4 (criminalité, protection, urgences, sécurité nationale, intragroupe) : aucune analyse requise |
| Décisions automatisées (art. 22) | Droit de ne pas faire l'objet d'une ADM entièrement automatisée (avec exceptions) | Remplacé par les art. 22A-D ; interdiction restreinte aux données de catégories particulières ; droits de transparence et de contestation applicables largement |
| Délai de réponse aux demandes d'accès | 1 mois (courant en continu) | 1 mois (suspension du délai pendant les demandes de clarification) |
| Cookies analytiques | Consentement préalable requis | Exemptés si une option de refus gratuite est proposée |
| Cookies d'apparence | Consentement préalable requis | Exemptés si une option de refus gratuite est proposée |
| Amende PECR maximale | Sans objet (ePrivacy variable selon l'État membre) | 17,5 M£ ou 4 % du chiffre d'affaires mondial (à compter de fév. 2026) |
| Portée de la recherche scientifique | Art. 89, fondé sur les considérants ; recherche commerciale débattue | Codifiée ; recherche commerciale explicitement incluse ; consentement large autorisé |
| Critère d'adéquation pour les transferts ultérieurs | « Essentiellement équivalent » | « Non matériellement inférieur » |
| Indépendance de l'autorité de contrôle | « Toute indépendance » (art. 52) | Devoir de prendre en compte l'innovation |
| Amende maximale (RGPD / RGPD britannique) | 20 M€ ou 4 % du chiffre d'affaires mondial | 17,5 M£ ou 4 % du chiffre d'affaires mondial |
| Notification de violation de données | 72 heures à l'autorité de contrôle | 72 heures à l'ICO |
| Exigence de DPD | Oui (certaines organisations) | Oui (certaines organisations) |
| Mécanismes de transfert | Décisions d'adéquation, CCT, REC | Mêmes mécanismes ; nouveau critère d'adéquation « non matériellement inférieur » |
| Portabilité des données / données intelligentes | Art. 20 du RGPD (droit individuel uniquement) | Art. 20 plus dispositifs de données intelligentes du DUAA (portabilité au niveau sectoriel) |
Double conformité : appliquer les deux cadres en 2026
Les organisations qui collectent des données personnelles de résidents britanniques et de l'UE doivent satisfaire simultanément aux deux cadres. Principales mesures pratiques suite à l'entrée en vigueur du DUAA :
Avis de confidentialité : mettez à jour pour refléter les fondements juridiques du RGPD britannique et du RGPD de l'UE lorsqu'ils diffèrent. Le traitement s'appuyant sur des intérêts légitimes reconnus au titre du droit britannique exige toujours une analyse d'intérêt légitime complète pour le traitement destiné à l'UE. Les avis doivent préciser clairement quelle autorité de contrôle (ICO ou autorité de l'UE compétente) s'applique à quel traitement.
Analyses d'intérêt légitime : maintenez des analyses distinctes pour le traitement destiné à l'UE, même lorsque le traitement britannique équivalent s'appuie sur un intérêt légitime reconnu. L'absence d'exigence d'analyse au Royaume-Uni ne supprime pas l'obligation de l'UE.
Prise de décision automatisée : examinez toute prise de décision entièrement automatisée au regard à la fois de l'article 22 (UE) et des nouveaux articles 22A-D britanniques. Les systèmes licites au titre du cadre britannique plus permissif doivent tout de même respecter les règles plus strictes de l'UE pour les personnes concernées de l'UE.
Procédures de demande d'accès : le mécanisme de suspension du délai ne s'applique qu'aux SAR relevant du RGPD britannique. Les SAR relevant du RGPD de l'UE courent sur un délai continu d'un mois. Lorsqu'une même demande couvre des données personnelles britanniques et de l'UE, considérez le délai du RGPD de l'UE comme contraignant.
Consentement aux cookies : les pages destinées à l'UE continuent d'exiger un consentement préalable complet pour les cookies analytiques et d'apparence. Les pages destinées au Royaume-Uni peuvent passer à un modèle d'opposition pour ces catégories de cookies en vertu des exemptions PECR. Envisagez des approches fondées sur la géolocalisation ou les préférences pour les audiences mixtes.
Transferts internationaux : les transferts de l'UE vers le Royaume-Uni sont couverts par la décision d'adéquation. Les transferts du Royaume-Uni vers l'UE sont couverts par la réglementation britannique sur l'adéquation. Maintenez des CCT de secours pour les flux UE-Royaume-Uni afin de vous prémunir contre une éventuelle suspension de l'adéquation.
Représentants : les organisations établies uniquement au Royaume-Uni (et non dans l'UE) ont besoin d'un représentant dans l'UE pour le traitement destiné à l'UE, en vertu de l'article 27 du RGPD de l'UE. Les organisations établies uniquement dans l'UE ont besoin d'un représentant au Royaume-Uni en vertu de l'article 27 du RGPD britannique. Ces représentants peuvent être des entités distinctes.
Notification de violation : un même incident affectant des personnes concernées britanniques et de l'UE nécessite une notification à la fois à l'ICO et à l'autorité de contrôle chef de file de l'UE compétente, dans les 72 heures suivant sa découverte.
Pour un examen détaillé du cadre britannique seul, consultez notre guide sur les lois britanniques de protection des données. Pour le volet de l'UE, consultez notre guide des lois européennes de protection des données.
Développements récents (2024-2026)
Mai 2026 : les lignes directrices définitives de l'ICO sur les cookies sont attendues de manière imminente. La consultation de l'ICO sur les lignes directrices ADM se poursuit.
Février 2026 : les principales dispositions du DUAA relatives à la protection des données entrent en vigueur. Les intérêts légitimes reconnus, le nouveau cadre ADM, la suspension du délai pour les SAR et les exemptions de cookies sont désormais opérationnels. Les amendes PECR passent au palier de 17,5 M£.
Décembre 2025 : la Commission européenne renouvelle les décisions d'adéquation du Royaume-Uni pour le RGPD et la directive relative aux forces de l'ordre, valables jusqu'au 27 décembre 2031.
Octobre 2025 : le CEPD adopte des avis soutenant le renouvellement de l'adéquation tout en signalant des préoccupations de surveillance concernant les pouvoirs du Secretary of State, le critère britannique de transfert ultérieur, et l'indépendance de l'ICO.
Juin 2025 : le DUAA reçoit la sanction royale (19 juin 2025). L'ICO annonce une approche proportionnée et bienveillante à mesure que les nouvelles dispositions entrent en vigueur.
Octobre 2024 : le DPDI Act reçoit la sanction royale, introduisant une première série de réformes post-Brexit du RGPD britannique précédant le DUAA.
Juin 2021 : la Commission européenne adopte les décisions d'adéquation initiales pour le Royaume-Uni.
Janvier 2021 : le RGPD britannique voit le jour en tant que droit de l'UE conservé.
Frequently Asked Questions
Le Royaume-Uni est-il toujours couvert par le RGPD après le Brexit ?
Le RGPD de l'UE ne s'applique plus directement au Royaume-Uni. Le Royaume-Uni dispose désormais de son propre RGPD britannique, conservé en droit interne au titre de l'European Union (Withdrawal) Act 2018 et complété par le Data Protection Act 2018. Les deux lois ont débuté presque identiques mot pour mot, mais le Data (Use and Access) Act 2025, en vigueur depuis février 2026, a introduit des différences matérielles concernant les intérêts légitimes, la prise de décision automatisée, le traitement des demandes d'accès et le consentement aux cookies.
Qu'est-ce que le Data (Use and Access) Act 2025 et quand est-il entré en vigueur ?
Le Data (Use and Access) Act 2025 (DUAA) a reçu la sanction royale le 19 juin 2025. Ses principales dispositions relatives à la protection des données sont entrées en vigueur le 5 février 2026. La loi modifie le RGPD britannique et le DPA 2018 pour introduire les intérêts légitimes reconnus (aucune analyse d'intérêt légitime requise pour les catégories listées), des règles réformées sur la prise de décision automatisée, un mécanisme de suspension du délai pour les demandes d'accès, de nouvelles exemptions de cookies au titre du PECR, des amendes PECR plus élevées, des dispositions élargies sur la recherche scientifique, et la transition de l'ICO vers l'Information Commission.
Les données personnelles peuvent-elles toujours circuler librement entre l'UE et le Royaume-Uni ?
Oui. La Commission européenne a renouvelé les deux décisions d'adéquation du Royaume-Uni le 19 décembre 2025, couvrant les transferts au titre du RGPD de l'UE et de la directive relative aux forces de l'ordre. Les décisions renouvelées sont valables jusqu'au 27 décembre 2031. Les transferts de données personnelles de l'UE vers le Royaume-Uni ne nécessitent pas de clauses contractuelles types ni d'autres mécanismes de transfert pendant cette période, à condition que le traitement sous-jacent respecte par ailleurs le RGPD de l'UE.
Que sont les intérêts légitimes reconnus au titre du RGPD britannique ?
Les intérêts légitimes reconnus constituent une nouvelle catégorie de traitement licite, insérée par l'annexe 4 du DUAA dans l'article 6 du RGPD britannique. Ils couvrent la prévention et la détection de la criminalité, la protection des personnes vulnérables, la réponse aux urgences, la sécurité nationale et publique, l'assistance à des missions d'intérêt public prévues par la loi, et les transferts intragroupes de données. Contrairement au traitement ordinaire fondé sur l'intérêt légitime, ces catégories n'exigent pas d'analyse d'intérêt légitime. Le RGPD de l'UE n'a pas d'équivalent : toute utilisation d'un intérêt légitime dans l'UE exige un test de mise en balance complet.
Qu'est-ce qui a changé pour les demandes d'accès des personnes concernées au titre du DUAA ?
Le DUAA a introduit un mécanisme de suspension du délai : le délai de réponse d'un mois pour les SAR est suspendu lorsqu'un responsable de traitement demande une clarification ou des informations supplémentaires à la personne concernée, et reprend dès réception de cette clarification. La loi codifie également que les recherches menées dans le cadre d'une SAR n'ont besoin d'être que raisonnables et proportionnées. Ces changements ne s'appliquent qu'aux SAR relevant du RGPD britannique. Les SAR relevant du RGPD de l'UE continuent de courir sur un délai continu d'un mois, quels que soient les échanges de clarification.
Les entreprises doivent-elles se conformer à la fois au RGPD britannique et au RGPD de l'UE ?
Oui, si elles traitent des données personnelles de résidents britanniques et de l'UE. Une entreprise basée au Royaume-Uni vendant à des clients de l'UE doit se conformer au RGPD de l'UE pour ces clients et au RGPD britannique pour les résidents britanniques. Cela nécessite désormais une gestion distincte des analyses d'intérêt légitime reconnu (analyse complète pour l'UE, potentiellement aucune analyse pour le Royaume-Uni), des délais de SAR, de la logique de décision automatisée, et des approches de consentement aux cookies pour les audiences britannique et de l'UE.
Le DUAA menace-t-il la décision d'adéquation de l'UE ?
Pas immédiatement. La Commission a renouvelé l'adéquation en décembre 2025 après avoir évalué le DUAA, et a jugé acceptable la divergence actuelle. Toutefois, le CEPD a signalé des domaines à surveiller en continu : le nouveau critère britannique d'adéquation pour les transferts ultérieurs, les pouvoirs du Secretary of State pour modifier davantage le cadre par voie de législation secondaire, et le devoir de l'ICO de prendre en compte l'innovation. Si ces pouvoirs étaient exercés de manière à affaiblir les protections des personnes concernées, l'adéquation pourrait faire l'objet d'un réexamen avant son expiration en 2031.
Sources and References
- Data (Use and Access) Act 2025, c.18(legislation.gov.uk).gov
- Data Protection Act 2018(legislation.gov.uk).gov
- Data (Use and Access) Act 2025 : changements en matière de protection des données et de vie privée — GOV.UK(gov.uk).gov
- Fiche d'information sur le Data (Use and Access) Act : RGPD britannique et DPA — GOV.UK(gov.uk).gov
- Data (Use and Access) Act 2025 — ICO(ico.org.uk).gov
- Déclaration sur l'entrée en vigueur du DUAA — ICO, février 2026(ico.org.uk).gov
- Intérêt légitime reconnu — ICO(ico.org.uk).gov
- La Commission renouvelle les décisions permettant la libre et sûre circulation des données personnelles avec le Royaume-Uni — Commission européenne, décembre 2025(ec.europa.eu).gov
- Projets de décisions d'adéquation britanniques : le CEPD adopte ses avis — CEPD, octobre 2025(edpb.europa.eu).gov
- Décisions d'adéquation de l'UE — Commission européenne(commission.europa.eu).gov
- Réception d'informations personnelles en provenance de l'EEE — ICO(ico.org.uk).gov
- International Data Transfer Agreement britannique — ICO(ico.org.uk).gov