Cet article est le quatrième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.
Mécanismes internes de réclamation
La loi DUA renforce les droits individuels en introduisant un droit formel pour les personnes concernées de déposer des réclamations directement auprès des responsables du traitement.
Dans la pratique, cela obligera les organisations à réviser leurs politiques de traitement des données (« privacy policy ») afin de mentionner ce nouveau droit et à mettre en place des mécanismes internes de réclamation accessibles et appropriés, généralement sous la forme de formulaires ou de portails en ligne.
Cette mesure devrait, à terme, alléger la charge réglementaire qui pèse sur l’autorité de contrôle anglaise en obligeant les personnes concernées à épuiser les procédures internes de réclamations auprès des responsables du traitement avant de saisir directement l’autorité de contrôle.
Plus précisément, si un responsable du traitement reçoit une réclamation, il sera tenu d’en accuser réception dans un délai de 30 jours et, sans retard injustifié, de prendre les mesures appropriées pour y répondre et informer la personne en question de la suite donnée à la réclamation. Cela inclut de procéder, dans la mesure appropriée, à une enquête sur l’objet de la réclamation et l’information de la personne ayant déposé la réclamation sur l’état d’avancement interne.
Ces dispositions renforcent la nécessité pour les responsables du traitement de mettre en place des processus et des procédures de traitement des réclamations rapides, transparents et proactifs.
L’ICO a lancé une consultation publique sur un projet de lignes directrices sur la gestion des réclamations qui prend fin le 19 octobre 2025.
Le Secretary of State aura également le pouvoir d’introduire de nouvelles réglementations obligeant les responsables du traitement à notifier à l’IC le nombre de réclamations reçues sur des durées à déterminer.
Droit d’accès
La loi DUA codifie les aspects essentiels des lignes directrices existantes de l’ICO (ancien nom de l’autorité de contrôle) sur les demandes d’accès des personnes concernées (en anglais « DSAR »).
Elle confirme notamment que les responsables du traitement ne sont tenus d’effectuer que des recherches « raisonnables et proportionnées », et non exhaustives, lorsqu’ils répondent à des demandes d’accès.
Contrairement aux autres modifications introduites par la loi DUA décrites dans cet article, cette modification ne nécessite pas de règlementation d’application mais est entrée en vigueur dès l’adoption de la loi DUA le 19 juin 2025 (et est en fait considérée comme ayant un effet rétroactif au 1er janvier 2024).
Autres clarifications
La loi DUA introduira également des modifications visant à clarifier les cas dans lesquels le délai de réponse à une demande d’exercice de droit par une personne concernée commence ou peut être suspendu (principe de « mise sur pause » ou « stop the clock »), par exemple lors de la vérification de l’identité ou de demandes de clarification, offrant ainsi aux organisations une sécurité procédurale bienvenue
Voir aussi notre article en anglais
The Data (Use and Access) Act 2025: A New Chapter in the UK’s Data Protection
[1] Lire aussi :
1- Le Data (Use and Access) Act 2025 réforme le droit de la protection des données au UK
2 – DUAA 2025 : prise de décision individuelle automatisée au UK
3 – DUAA 2025 : introduction de « l’intérêt légitime reconnu » au UK
4 – DUAA 2025 : droits des personnes concernées et mécanismes de réclamation au UK
5 – DUAA 2025 : vie privée et communications électroniques au UK
6 – DUAA 2025 : transferts internationaux de données – refonte de l’évaluation des risques au UK
7 – DUAA 2025 : catégories particulières de données et protection des enfants au UK
8 – DUAA 2025 : principe de limitation des finalités et présomption de compatibilité au UK
9 – DUAA 2025 : utilisation des données à des fins de recherche scientifique au UK
