Cet article est le premier d’une série qui examinera les changements apportés par le « Data (Use and Access) Act 2025 » au Royaume-Uni par comparaison au RGPD.

La réforme

Le régime britannique de protection des données connaît actuellement sa plus importante transformation depuis l’adoption du « RGPD britannique ». Le « Data (Use and Access) Act 2025 » ou « DUAA » – en français, loi de 2025 sur les données (utilisation et accès) – a été adopté par la Chambre des lords et la Chambre des communes le 11 juin 2025 et a reçu la validation royale le 19 juin 2025. Présentée comme une évolution plutôt qu’une réforme majeure, la loi anglaise, que nous désignerons par « Loi DUA », vise à répondre à l’objectif du gouvernement britannique de rééquilibrer la protection de la vie privée, l’innovation et le pragmatisme réglementaire dans le but ultime de promouvoir la croissance économique.

La Loi DUA contient des dispositions sur d’autres sujets, comme par exemple, les services de vérification digitale par des tiers de confiance.  

Cette loi est moins radicale que le projet de loi du gouvernement précédent (conservateur) qui avait suscité des inquiétudes quant au fait que le Royaume-Uni puisse perdre la décision d’adéquation de la Commission européenne au titre du RGPD de l’UE. Le gouvernement actuel s’est attaché à mettre en œuvre une réforme préservant le statut d’adéquation du Royaume-Uni.

Textes modifiés par la loi DUA

Les principaux textes régissant la protection des données personnelles au Royaume-Uni sont :

  • Le « UK GDPR » ou « RGPD britannique », qui est la transposition du RGPD de l’UE
  • La Data Protection Act 2018 (loi de 2018 sur la protection des données)
  • La Privacy and Electronic Communications Regulations ou « PECR » (règlementation sur la vie privée et les communications électroniques) qui transpose la Directive européenne Vie Privée et Communications Electroniques

Changement pour l’autorité de contrôle

Évolution de la structure et gouvernance de l’autorité de contrôle

Jusqu’à présent la fonction de l’autorité de contrôle était exercée par une personne physique (« corporate sole »), le « Information Commissioner », assisté dans son travail par différents comités, et selon les pouvoirs délégués par le Commissioner à son entière discrétion, l’ensemble étant désigné par « Information Commissioner’s Office » ou « ICO ».  

Dorénavant, l’autorité sera une entité légale (« body corporate”), l’ « Information Commission » ou « IC ». L’IC sera composée de membres non exécutifs, et de membres exécutifs dirigés par un directeur général.

Ce changement structurel ne modifiera pas la continuité des fonctions actuelles de l’ICO, mais renforcera sa capacité réglementaire.

Des pouvoirs d’enquête élargis

l’IC disposera de pouvoirs élargis pour exiger des informations des organisations, y compris la production de documents spécifiques ou des rapports d’experts externes de son choix aux frais de l’organisation. A la suite d’une suspicion de violation, l’autorité pourra aussi convoquer des personnes à des entretiens (y compris les anciens employés des organisations faisant l’objet d’une enquête), mais ne pourra pas les obliger à répondre.

Ces pouvoirs élargis sont destinés à permettre des enquêtes plus efficaces et sont le reflet d’une attitude plus ferme en matière d’application de la loi.

Entrée en vigueur

Un nombre limité de dispositions de la loi DUA sont entrées en vigueur après avoir reçu la validation royale le 19 juin 2025.  

Certaines mesures, telles que le renforcement des pouvoirs de l’autorité, devraient entrer en vigueur rapidement. Les autres dispositions de la loi DUA (qui modifieront principalement le RGPD britannique, la loi de 2018 sur la protection des données et le PECR) devraient être mises en œuvre par le biais d’une législation secondaire d’ici à juin 2026 (le calendrier précis est encore incertain).

Certaines dispositions prévoient la possibilité pour le Secretary of State de compléter ou préciser le texte.  Par ailleurs l’autorité de contrôle, nouvellement dénommée « IC », révisera ces lignes directrices sur un certain nombre de sujets.

Décision d’adéquation de la Commission européenne

Il semble que le gouvernement britannique ait atteint son objectif : la Commission a annoncé le 22 juillet 2025 qu’elle lançait le processus d’adoption de nouvelles décisions d’adéquation afin de permettre la poursuite de la libre circulation des données personnelles entre l’Espace économique européen et le Royaume-Uni. Le projet de décision d’adéquation revoit en détail les modifications apportées par la loi DUA et les juge compatible avec le RGPD. Les projets doivent encore être formellement approuvés par les représentants des gouvernements des États membres de l’UE et sont également soumis à un avis non contraignant du Comité européen de la protection des données (CEPD).

Complexité pour les groupes internationaux

Bien que la loi DUA vise à réduire les exigences de conformité réglementaire dans certains domaines, cela ne signifie pas que la conformité deviendra plus simple dans tous les cas. Il convient de garder à l’esprit que bon nombre des avantages introduits par la loi DUA ne bénéficieront très probablement qu’aux organisations ou activités centrées sur le Royaume-Uni. Pour les organisations qui exercent également des activités dans l’UE, les avantages pratiques de la loi DUA seront probablement limités, compte tenu de la charge supplémentaire que représente la mise en conformité avec un régime britannique qui diverge à bien des égards (parfois subtils) du régime prévu par le RGPD.

Nous examinerons différents changements apportés par la Loi DUA et leurs conséquences pratiques :

Voir aussi notre article en anglais. The Data (Use and Access) Act 2025: A New Chapter in the UK’s Data Protection