Cet article est le cinquième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD et la Directive Vie Privée et Communication Electronique (« e-Privacy »).
Sanctions plus sévères
Le plafond de 500.000 livres sterling applicable depuis de nombreuses années aux amendes prévues par la Privacy and Electronic Communications Regulations ou « PECR » (règlementation sur la vie privée et les communications électroniques) sera aligné sur les niveaux du RGPD britannique, soit jusqu’à 17,5 millions de livres sterling ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Il s’agit là d’un signal clair de l’intention du gouvernement britannique de renforcer ses capacités d’application dans des domaines tels que le démarchage téléphonique abusif, SMS et e-mails indésirables et l’utilisation de cookies et de technologies similaires en violation des exigences de consentement du PECR.
Nouvelles exemptions pour les cookies
En parallèle, la loi DUA introduira de nouvelles exemptions aux règles existantes du PECR en matière de consentement aux cookies[8].
Les cookies fonctionnels utilisés à des fins d’analyse, de gestion des préférences, d’optimisation du site ou de sécurité ne nécessiteront plus le consentement explicite de l’utilisateur, mais les organisations devront toujours fournir des informations claires et complètes sur les cookies utilisés et proposer des mécanismes de désactivation.
Ces modifications visent à moderniser les règles britanniques en matière de vie privée et communications électroniques afin de refléter les réalités opérationnelles de la fourniture de services numériques, tout en renforçant l’autonomie des individus grâce à la transparence et au contrôle.
Toutefois, pour les entreprises exerçant également leurs activités au sein de l’UE et au-delà, nombre des changements à venir ne devraient pas offrir d’avantages pratiques significatifs et pourraient même engendrer des contraintes supplémentaires, compte tenu de la nécessité probable de se conformer à des obligations divergentes.
Pour autant cet assouplissement des règles pourrait, par exemple, s’avérer particulièrement bénéfique pour les activités spécifiques au Royaume-Uni hors du champ d’application du RGPD de l’UE, notamment en ce qui concerne le recrutement national et le traitement des données liées aux ressources humaines par les entreprises britanniques.
Nouveau délai de notification des violations de données
Les obligations de notification des violations de données personnelles pour les « fournisseurs de services de communications électroniques accessibles au public » (c’est-à-dire les entités qui fournissent tout service permettant au public d’envoyer des messages électroniques, y compris les fournisseurs de télécommunications et les fournisseurs d’accès à Internet) en vertu du PECR seront assouplies et alignées sur les obligations du RGPD britannique.
En particulier, les modifications introduites dans le cadre de la loi DUA signifieront qu’au lieu d’être tenus de notifier toute violation de données personnelles dans les 24 heures, ces fournisseurs seront tenus de notifier la nouvelle IC sans retard injustifié et, dans la mesure du possible, au plus tard 72 heures après avoir pris connaissance d’une violation.
C’est une modification bienvenue !
« Soft Opt-in » pour les organisations caritatives
Dans le cadre d’une modification attendue depuis longtemps, les organisations caritatives pourront bénéficier de l’exemption de consentement explicite lorsque elles envoient des e-mails marketing à des particuliers, à condition (et sous réserve des exigences normales en matière de désabonnement) que ces e-mails aient pour seul objectif de promouvoir les objectifs caritatifs concernés et que les coordonnées aient été collectées dans le cadre du soutien ou de l’intérêt manifesté par le destinataire pour le travail de l’organisation caritative.
Voir aussi notre article en anglais
The Data (Use and Access) Act 2025: A New Chapter in the UK’s Data Protection
[1] Lire aussi :
1- Le Data (Use and Access) Act 2025 réforme le droit de la protection des données au UK
2 – DUAA 2025 : prise de décision individuelle automatisée au UK
3 – DUAA 2025 : introduction de « l’intérêt légitime reconnu » au UK
4 – DUAA 2025 : droits des personnes concernées et mécanismes de réclamation au UK
5 – DUAA 2025 : vie privée et communications électroniques au UK
6 – DUAA 2025 : transferts internationaux de données – refonte de l’évaluation des risques au UK
7 – DUAA 2025 : catégories particulières de données et protection des enfants au UK
8 – DUAA 2025 : principe de limitation des finalités et présomption de compatibilité au UK
9 – DUAA 2025 : utilisation des données à des fins de recherche scientifique au UK
