Omnibus : après un accord en commission, rejet du compromis par le Parlement européen

Par Marion Seranne, Thomas Delille et Adèle Bourgin, le Publié dans CONFORMITE - ESG, GENERAL

Contexte et objectifs de la proposition Omnibus

La Commission européenne avait présenté le 26 février 2025 de nouvelles propositions ayant vocation à faciliter la mise en œuvre des règles de durabilité pour les entreprises, regroupées sous le terme de proposition « Omnibus ». Cette proposition visait principalement à simplifier et rendre plus pragmatiques les obligations imposées par la directive Corporate Sustainability Reporting Directive (CSRD), la directive Corporate Sustainability Due Diligence Directive (CS3D), le Règlement Taxonomie et le mécanisme d’ajustement carbone aux frontières, afin de réduire la charge administrative qu’elles font peser sur les entreprises.

Continuer la lecture

DUAA 2025 : utilisation des données à des fins de recherche scientifique au UK

Par Stéphanie Faber, le Publié dans PROTECTION DES DONNEES PERSONNELLES

Cet article est le neuvième et dernier d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.

La loi DUA regroupe dans un nouveau chapitre 8A du RGPD britannique les garanties pour les traitements à des fins de recherche scientifique ou historique ou à des fins statistiques (auquel il est fait référence sous les termes “RAS purposes”). Ce chapitre décrit les garanties fondamentales à mettre en place et à respecter.

La loi DUA donne une définition de la recherche scientifique qui reprend les termes du considérant 159 RGPD européen, et qui comprend aussi la recherche scientifique « privée » ou « commerciale ».

Continuer la lecture

DUAA 2025 : principe de limitation des finalités et présomption de compatibilité au UK

Par Stéphanie Faber, le Publié dans PROTECTION DES DONNEES PERSONNELLES

Cet article est le huitième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.

La loi DUA réécrit les dispositions du RGPD britannique (modelées sur le RGPD européen) relatives à la limitation des finalités. Elle réorganise quelque peu les règles sur la limitation des finalités articles 5, 6 et 23 RGDP, en créant un article 8 paragraphe 4 qui complète l’article 5 (et y transfère l’article 6 (4)).

Le principal objectif est de lister un certain nombre de cas dans lesquels le traitement ultérieur est présumé compatible.

Le principe général est qu’un nouveau traitement (sur des données collectées directement ou indirectement auprès d’une personne concernée) ne puisse avoir lieu que s’il est compatible avec les finalités du traitement initial. La compatibilité ne suffit pas pour autant à la légalité du traitement

Continuer la lecture

DUAA 2025 : catégories particulières de données et protection des enfants au UK

Par Stéphanie Faber, le Publié dans PROTECTION DES DONNEES PERSONNELLES

Cet article est le septième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.

Catégories particulières de données : pouvoir d’élargir la définition

Dans une démarche prospective, le gouvernement britannique disposera de nouveaux pouvoirs pour élargir la définition des « catégories particulières de données ».

Si les catégories actuelles visée à l’article 9 du « RGPD britannique », telles les données relatives à la santé et à l’origine ethnique, restent inchangées (y compris par rapport au RGPD européen), la porte est désormais ouverte à l’inclusion future d’autres domaines sensibles, tels les données personnelles des enfants ou les informations de paiement. Cette mesure anticipe l’évolution des préoccupations du public et les risques émergents dans l’économie numérique, permettant au régime britannique de rester réactif sans nécessiter de nouvelle législation primaire.

Continuer la lecture

DUAA 2025 : transferts internationaux de données – refonte de l’évaluation des risques au UK

Par Stéphanie Faber, le Publié dans PROTECTION DES DONNEES PERSONNELLES

Cet article est le sixième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.

L’approche du RGPD britannique en matière de transferts internationaux de données sera révisée.

La loi conserve l’exigence fondamentale selon laquelle les données personnelles ne peuvent être transférées vers un pays tiers ou une organisation internationale que lorsque le transfert est fondé sur :

  • une décision du Secretary of Sate « approuvant le transfert » vers le pays tiers ou l’organisation internationale en question (nouvelle terminologie pour remplacer la référence aux « décisions d’adéquation »), lorsque le « test de protection des données » est satisfait, ou
  • des garanties appropriées, ou
  • une dérogation pour des situations particulières.

L’obligation pour les exportateurs de prendre en compte les risques posés par le transfert, en plus de mettre en œuvre une mesure de sauvegarde, est également maintenue. Cependant cette obligation est quelque peu allégée.

Continuer la lecture

DUAA 2025 : vie privée et communications électroniques au UK

Par Stéphanie Faber, le Publié dans PROTECTION DES DONNEES PERSONNELLES

Cet article est le cinquième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD et la Directive Vie Privée et Communication Electronique (« e-Privacy »).

Sanctions plus sévères

Le plafond de 500.000 livres sterling applicable depuis de nombreuses années aux amendes prévues par la Privacy and Electronic Communications Regulations ou « PECR » (règlementation sur la vie privée et les communications électroniques) sera aligné sur les niveaux du RGPD britannique, soit jusqu’à 17,5 millions de livres sterling ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Il s’agit là d’un signal clair de l’intention du gouvernement britannique de renforcer ses capacités d’application dans des domaines tels que le démarchage téléphonique abusif, SMS et e-mails indésirables et l’utilisation de cookies et de technologies similaires en violation des exigences de consentement du PECR.

Continuer la lecture

Le droit de préemption commercial : un pouvoir communal discret mais décisif sur les opérations de cession

Par Estelle Vernejoul et Angelique Charrier, le Publié dans DROIT IMMOBILIER

Pour enrayer la vacance commerciale et préserver la diversité commerciale des centres-villes, les communes peuvent préempter certains fonds, baux ou terrains. Un droit discret, mais aux effets concrets sur les opérations de cession portant sur les fonds de commerce et les baux commerciaux.

Alors que la vacance commerciale et le recul du commerce de proximité fragilisent de nombreux centres-villes, le droit de préemption commercial offre aux communes un outil d’intervention ciblé qui ne doit pas être négligé par les acteurs économiques dans le cadre de leurs opérations.

Instauré par la loi n°2005-882 du 2 août 2005 dite « Dutreil » en faveur des petites et moyennes entreprises et codifié aux articles L. 214-1 et suivants du Code de l’urbanisme, ce mécanisme permet aux collectivités ayant délimité un périmètre de sauvegarde sur leur commune de bénéficier d’un droit de préemption et ainsi de se substituer à l’acquéreur lors de la cession de certains actifs : fonds de commerce, baux commerciaux, ou terrains à usage commercial.

Continuer la lecture

DUAA 2025 : droits des personnes concernées et mécanismes de réclamation au UK

Par Stéphanie Faber, le Publié dans PROTECTION DES DONNEES PERSONNELLES

Cet article est le quatrième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.

Mécanismes internes de réclamation

La loi DUA renforce les droits individuels en introduisant un droit formel pour les personnes concernées de déposer des réclamations directement auprès des responsables du traitement.

Dans la pratique, cela obligera les organisations à réviser leurs politiques de traitement des données (« privacy policy ») afin de mentionner ce nouveau droit et à mettre en place des mécanismes internes de réclamation accessibles et appropriés, généralement sous la forme de formulaires ou de portails en ligne.

Cette mesure devrait, à terme, alléger la charge réglementaire qui pèse sur l’autorité de contrôle anglaise en obligeant les personnes concernées à épuiser les procédures internes de réclamations auprès des responsables du traitement avant de saisir directement l’autorité de contrôle.

Continuer la lecture

L’UE sollicite des contributions sur le paquet numérique de simplification (Omnibus numérique)

Par Stéphanie Faber, David Naylor et Simon Sepesi, le Publié dans DROIT DU NUMERIQUE, PROTECTION DES DONNEES PERSONNELLES

Le train de mesures omnibus sur le numérique (ou paquet numérique sur la simplification) vise à réduire la lourdeur de certaines formalités grâce à des services « numériques par défaut » et la mise en œuvre du principe « once only » (« Une seule fois ») qui permettra aux entités publiques de mutualiser les données des citoyens et des entreprises au lieu de les exiger séparément à chacune de leurs démarches.

Le 16 septembre 2025, la Commission européenne a lancé un appel à contributions afin de recueillir des avis et informations sur les meilleures pratiques pour son futur paquet numérique de simplification. Il s’agit d’un nouvel appel à commentaires qui fait suite à des consultations antérieures sur la stratégie pour une Union des données, la révision du règlement sur la cybersécurité et la stratégie pour l’application de l’IA.

Continuer la lecture

DUAA 2025 : introduction de « l’intérêt légitime reconnu » au UK

Par Stéphanie Faber, le Publié dans PROTECTION DES DONNEES PERSONNELLES

Cet article est le troisième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.

La loi DUA introduit la notion d’« intérêt légitime reconnu » comme nouvelle base juridique qui permettra à certains types de traitements d’être effectués sans qu’il soit nécessaire de procéder à une évaluation de l’équilibre avec les droits et libertés des personnes.  

Une liste est incluse en annexe 1 du RGPD britannique. Il s’agit notamment du traitement à des fins telles que la protection de la sécurité nationale, la réponse aux situations d’urgence, la détection de crimes ou l’enquête sur des crimes ou criminels, la protection des personnes vulnérables, ou encore la divulgation aux autorités publiques lorsque celles-ci déclarent avoir besoin des données pour une mission d’intérêt public (sans qu’il soit nécessaire de vérifier la légitimité de la demande par les autorités). Le Secretary of State pourra modifier cette liste.

Continuer la lecture

LexBlog