DUAA 2025 : catégories particulières de données et protection des enfants au UK

Cet article est le septième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.

Catégories particulières de données : pouvoir d’élargir la définition

Dans une démarche prospective, le gouvernement britannique disposera de nouveaux pouvoirs pour élargir la définition des « catégories particulières de données ».

Si les catégories actuelles visée à l’article 9 du « RGPD britannique », telles les données relatives à la santé et à l’origine ethnique, restent inchangées (y compris par rapport au RGPD européen), la porte est désormais ouverte à l’inclusion future d’autres domaines sensibles, tels les données personnelles des enfants ou les informations de paiement. Cette mesure anticipe l’évolution des préoccupations du public et les risques émergents dans l’économie numérique, permettant au régime britannique de rester réactif sans nécessiter de nouvelle législation primaire.

Toutefois, toute modification de la définition des catégories particulières de données doit être suivie de près, car elle pourrait avoir des répercussions importantes sur certaines entreprises, nécessitant la mise en place de bases juridiques supplémentaires, la mise à jour des registres des activités de traitement et des avis d’information sur le traitement des données et, dans certains cas, la réalisation d’analyses d’impact sur la protection des données additionnelles et la désignation d’un délégué à la protection des données.

Protection des enfants

Le précédent projet de réforme avait envisagé d’inclure les données personnelles relatives à des enfants comme une catégorie spéciale de donnés. Ceci n’a pas été repris dans la Loi DUA.

En revanche la loi impose aux organisations fournissant des services en ligne susceptibles d’être utilisés par des enfants de prendre explicitement en compte leurs besoins lorsqu’elles décideront de l’utilisation de leurs données personnelles. Dans le cadre de ses orientations sur la Loi DUA, l’ICO a indiqué que les organisations devraient déjà satisfaire à cette exigence si elles se conforment au Age Appropriate Design Code (code de conception adapté à l’âge) de l’ICO.

L’autorité de contrôle devra adopter une stratégie spécifique pour la protection des enfants et effectuer des rapports réguliers

[1] Lire aussi :

1- Le Data (Use and Access) Act 2025 réforme le droit de la protection des données au UK

2 – DUAA 2025 : prise de décision individuelle automatisée au UK

3 – DUAA 2025 : introduction de « l’intérêt légitime reconnu » au UK

4 – DUAA 2025 : droits des personnes concernées et mécanismes de réclamation au UK

5 – DUAA 2025 : vie privée et communications électroniques au UK

6 – DUAA 2025 : transferts internationaux de données – refonte de l’évaluation des risques au UK

7 – DUAA 2025 : catégories particulières de données et protection des enfants au UK

8 – DUAA 2025 : principe de limitation des finalités et présomption de compatibilité au UK

9 – DUAA 2025 : utilisation des données à des fins de recherche scientifique au UK