Loi britannique sur l'utilisation et l'accès aux données (DUAA) 2026 — Ce que les organisations doivent savoir

Presentation

• Le Data (Use and Access) Act 2025 (DUAA) est la nouvelle loi de réforme des données du Royaume-Uni, introduisant des lois innovantes sur la protection des données qui modifient (mais ne remplacent pas) le RGPD britannique, la DPA 2018 et le PECR.
• Les modifications apportées par la DUAA visent à promouvoir l'innovation, le partage des données et la modernisation de la réglementation tout en préservant la confidentialité.
• Les principales mises à jour incluent une nouvelle base juridique « intérêt légitime reconnu » (pas de test d'équilibre), une utilisation plus large de la prise de décision automatisée avec des garanties, un délai DSAR passible (« stop-the-clock ») et des règles assouplies en matière de cookies pour les analyses.
• Les organisations gagnent en flexibilité (par exemple, en matière de recherche et de partage de données) mais doivent mettre à jour leur gouvernance (nouvelles règles relatives aux plaintes, obligations en matière de protection de l'enfance, etc.).
• Les changements seront mis en œuvre par étapes (mi-2025 à 2026).

Qu'est-ce que le DUAA ?

La Loi de 2025 sur les données (utilisation et accès) (DUAA) est la dernière loi britannique sur la protection des données. Elle a obtenu la sanction royale le 19 juin 2025 (et est souvent qualifiée de loi de 2025) et entrera en grande partie en vigueur d'ici 2026. Il a commencé comme un projet de loi de réforme des données et est maintenant devenu une loi (citation : c.18). La DUAA ne remplace pas les lois existantes ; elle modifie le RGPD britannique, la loi britannique sur la protection des données 2018 (DPA 2018) et les règles britanniques de confidentialité électronique. Le titre complet confirme que DUAA couvre l'accès aux données des clients, les communications électroniques et bien plus encore. Les dispositions de la DUAA mettent à jour la manière dont les données personnelles peuvent être utilisées, en mettant particulièrement l'accent sur la promotion de l'innovation et l'allègement des charges pesant sur les organisations.

Aperçu - Du projet de loi à la loi en 2025

La DUAA a été présentée au Parlement en tant que projet de loi sur les données en 2024-2025 et est devenue loi à la mi-2025. Il englobe de nombreux changements techniques, notamment la modernisation du partage des données pour les services (par exemple, la vérification numérique, le système bancaire ouvert en tant que systèmes de « données intelligentes »). Bien qu'il ait été adopté en 2025, de nombreuses dispositions devraient entrer en vigueur par étapes au cours de 2025-2026. En d'autres termes, les entreprises doivent surveiller les ordres de début détaillant les dates de début exactes. Il est important de noter que la DUAA est une mise à jour de la législation britannique sur les données, et non une refonte complète. Il laisse intact le cadre de base basé sur le RGPD, en peaufinant des domaines spécifiques pour rendre le traitement des données plus flexible et plus clair.

Objectif de la DUAA : innovation en matière de données, flexibilité et modernisation de la réglementation

La nouvelle loi sur la protection des données vise à encourager l'innovation axée sur les données et la croissance économique tout en préservant les droits des individus. Pour ce faire, il assouplit ou clarifie certaines règles afin que les organisations puissent utiliser les données de manière plus efficace.

Par exemple, la DUAA soutient explicitement la recherche scientifique et commerciale en autorisant un large consentement et en assouplissant les exigences de préavis. Elle modernise également la gouvernance : en conférant de nouveaux pouvoirs à l'ICO et en la restructurant en tant que Commission de l'information, tout en exigeant des procédures plus claires pour les plaintes.

L'esprit général est de « faciliter les choses pour les organisations », par exemple en permettant un partage de données plus permissif et en supprimant certains obstacles juridiques redondants. Pourtant, elle maintient des normes de protection des données élevées, garantissant une utilisation responsable avec des garanties et une responsabilité appropriées.

Principaux changements introduits par la DUAA (2025)

Les dispositions de la DUAA concernent de nombreux aspects du droit des données. Les changements les plus importants qui touchent les entreprises sont notamment les suivants :

Intérêt légitime élargi : allégement de la charge

La DUAA crée une nouvelle base d' « intérêts légitimes reconnus » pour le traitement des données personnelles. Cela signifie que pour certains objectifs socialement importants (par exemple, la prévention de la criminalité, la sauvegarde, les urgences), les organisations n'ont plus besoin d'effectuer un test d'équilibre détaillé par rapport aux intérêts des individus. Si le traitement est nécessaire pour l'un de ces fins spécifiées, vous pouvez procéder sur cette nouvelle base sans avoir à effectuer l'exercice d'équilibre habituel. Cela allège les frais de mise en conformité dans ces cas, même si les entreprises doivent tout de même documenter l'utilisation de cette base et appliquer des normes générales de nécessité et de proportionnalité.

Prise de décision automatisée (ADM) : nouvelle flexibilité, avec garanties

Dans le cadre de la DUAA, le cadre des décisions automatisées ayant des effets légaux/similaires (par exemple, le profilage automatisé) devient plus permissif. Les organisations peuvent s'appuyer sur un plus large éventail de bases légales (y compris des intérêts légitimes) pour prendre des décisions automatisées importantes, à condition qu'elles mettent en œuvre des garanties strictes (telles que la fourniture d'informations, l'autorisation de contestation et l'intervention humaine). (Les données de catégories spéciales font toujours l'objet d'une protection supplémentaire.) Cela ouvre de nouvelles utilisations de l'IA et de l'automatisation pour les services, mais cela oblige les entreprises à garantir la transparence et à permettre un examen humain.

Demandes d'accès des personnes concernées (DSAR) : nouvelle règle « stop-the-clock » :

La DUAA clarifie et assouplit les obligations de réponse à la RAS. Il a notamment introduit une disposition « chronométrant » : si vous avez besoin de plus d'informations de la part du demandeur (par exemple, pour vérifier l'identité ou clarifier la portée), vous pouvez suspendre le délai de réponse d'un mois jusqu'à ce que ces informations soient fournies. Une fois clarifié, le chronomètre reprend. La DUAA codifie également que les recherches de données personnelles doivent uniquement être « raisonnables et proportionnées ».

Recherche scientifique et commerciale : des possibilités élargies

La DUAA redéfinit explicitement la « recherche » dans la législation sur la protection des données pour inclure la recherche scientifique commerciale. Il permet aux chercheurs d'obtenir un large consentement pour un domaine de recherche général, plutôt que d'exiger une formulation d'objectif entièrement spécifique. Cela officialise les pratiques souvent nécessaires en R&D (par exemple, la recherche sur les médicaments ou l'IA) et abaisse les obstacles. La DUAA autorise également la réutilisation des données personnelles à des fins de recherche sans préavis dans les cas où un préavis serait disproportionné, à condition que d'autres protections soient en place.

Réforme des règles de confidentialité électronique/PECR (cookies, suivi, consentement)

La DUAA assouplit certaines exigences en matière de consentement en matière de cookies et de suivi. Il permet explicitement aux organisations de définir certains cookies à faible risque (par exemple, de simples cookies d'analyse ou de fonctionnalité) sans avoir besoin d'un consentement exprès. Cela reflète les changements intervenus en Europe (législation sur la confidentialité numérique) et reconnaît que les cookies de base destinés à l'amélioration du site peuvent être exemptés si les utilisateurs peuvent facilement se désinscrire. Cependant, le suivi à haut risque (par exemple, les publicités ciblées) nécessitera toujours un consentement dans le cadre du PECR. Dans la pratique, attendez-vous à des mises à jour des bannières de cookies et des systèmes de gestion du consentement.

Partage de données, schémas de données intelligents et nouvelles utilisations des données

Au-delà de ces domaines, la DUAA facilite également des initiatives plus larges de partage de données. Il prend en charge de nouveaux Données intelligentes des projets (tels que les extensions de l'Open Banking) et des systèmes d'identité numérique en alignant les règles de protection des données sur ces systèmes.

Ce que la DUAA signifie pour les organisations : opportunités et responsabilités

Le DUAA offre aux entreprises britanniques une flexibilité et une innovation accrues, mais également de nouvelles tâches de conformité.

Flexibilité et innovation accrues : utilisation simplifiée des données

Pour de nombreux services et projets de recherche, le DUAA élimine les frictions. La nouvelle base d'intérêts légitimes reconnus signifie que les projets (tels que le développement de systèmes de sécurité ou de technologies de santé) peuvent être réalisés sans un long test d'équilibre, réduisant ainsi les délais. La reconnaissance explicite d'un large consentement pour la recherche et d'options ADM étendues permet aux entreprises d'utiliser les données de manière créative (sous réserve de transparence). Même le marketing est légèrement assoupli : les organisations caritatives, par exemple, peuvent utiliser un « soft opt-in » pour envoyer des e-mails à leurs partisans à moins que ceux-ci ne s'y opposent.

Attentes de conformité révisées et nouvelle gouvernance

D'un autre côté, les organisations doivent mettre à jour leur gouvernance pour qu'elle corresponde à la DUAA. Les nouvelles exigences incluent des processus formels de traitement des plaintes : vous devez aider les personnes à soumettre des plaintes relatives à la protection des données (par exemple, au moyen d'un formulaire en ligne), en accuser réception dans les 30 jours et y répondre « dans les meilleurs délais ». Si vous proposez un service en ligne susceptible d'être utilisé par des enfants, vous devez explicitement tenir compte de leurs intérêts (conformément au code de conception adapté à l'âge). Les avis et politiques de confidentialité devront être révisés pour mentionner les nouvelles bases légales (intérêts légitimes, large consentement, etc.) et les dispositions relatives à la recherche.

Calendrier de transition et de mise en œuvre : ce qu'il faut surveiller

Les principales mesures de la DUAA sont mises en œuvre progressivement entre mi-2025 et mi-2026. Certains changements initiaux (par exemple, les dispositions relatives aux plaintes relatives aux données) ont débuté en août 2025, tandis que d'autres (tels que les modifications des règles relatives aux cookies ou les nouvelles bases légales) suivront par le biais de réglementations d'entrée en vigueur. Les organisations devraient suivre de près les directives officielles (L'ICO met à jour ses ressources) pour voir quand chaque modification entre en vigueur. Une prise de conscience précoce est cruciale : même si une date limite ferme peut ne pas être immédiate pour les petites entités, démarrer la planification de la conformité dès maintenant permet d'éviter les surprises. (À titre de référence, la fiche d'information du gouvernement sur la DUAA indique que les dates de mise en œuvre seront publiées sur GOV.UK au fur et à mesure qu'elles seront fixées.)

Défis et risques liés à la DUAA

Les changements apportés par la DUAA sont positifs mais comportent des défis :

Complexité et interprétation erronée

Une flexibilité accrue comporte le risque d'une mauvaise application de la loi. Par exemple, le fait de s'appuyer sur la nouvelle base d'intérêts légitimes sans garantir un contexte approprié ou de s'appuyer sur des exemptions relatives aux cookies sans en informer correctement les utilisateurs pourrait inciter à un examen réglementaire. Les organisations doivent clairement documenter quand et comment elles utilisent les nouvelles bases légales afin d'éviter les lacunes accidentelles en matière de conformité.

Ajustements des ressources et des processus

Certaines entreprises, en particulier les plus petites, peuvent manquer d'expérience dans la mise en œuvre des nouvelles règles. Par exemple, la mise à jour Procédés DSAR et la formation du personnel au mécanisme « chronomètre » pourrait constituer un obstacle logistique. De même, l'adaptation des avis de confidentialité et des bannières relatives aux cookies aux exigences assouplies de la DUAA nécessite une coordination entre les équipes juridiques et informatiques. Les entreprises devront allouer des ressources à ces transitions.

Application et surveillance

La DUAA confère à l'ICO (aujourd'hui le commissaire à l'information) des pouvoirs et des responsabilités supplémentaires. Le fait de ne pas gérer les nouvelles procédures de plainte ou de ne pas traiter les données relatives aux enfants de manière appropriée peut entraîner des mesures coercitives. En fait, Morgan Lewis note que la DUAA a introduit de nouvelles nuances en exigeant un « examen juridique minutieux » de la part des conseillers juridiques internes et des équipes chargées de la protection de la vie privée. Essentiellement, si la DUAA est une opportunité, elle constitue également une incitation à renforcer la gouvernance des données pour satisfaire les régulateurs.

Trouver le juste équilibre entre innovation et confidentialité

Les mêmes innovations que la DUAA vise à permettre (par exemple, un partage de données plus large) doivent tout de même respecter la confidentialité. Par exemple, l'automatisation des décisions de manière plus générale peut accélérer les opérations mais également accroître les risques liés à la confidentialité si les garanties sont faibles. Les organisations doivent trouver un juste équilibre entre les dispositions relatives à la facilité d'utilisation de la DUAA et les principes durables de minimisation et de sécurité des données.

Comment se préparer : étapes pratiques pour se conformer à la DUAA

Les organisations peuvent suivre ces étapes et se préparer à la DUAA :

Mettre à jour l'inventaire des données et revoir les activités de traitement des données

La première étape serait de cartographier tous les flux de données personnelles au sein de votre organisation. Identifiez les données que vous détenez, pourquoi et où elles vont. Cet inventaire des données mettra en évidence les nouvelles dispositions applicables. Par exemple, si vous menez des recherches, notez les domaines dans lesquels un large consentement pourrait être utilisé ; si vous vous basez sur des intérêts légitimes, documentez ces objectifs. Assurez-vous également de postuler principes de minimisation des données partout : collectez et conservez uniquement les données dont vous avez réellement besoin pour chaque objectif.

Revoir les avis de confidentialité, les politiques en matière de cookies et les mécanismes de consentement

Vos déclarations de confidentialité et bannières relatives aux cookies doivent être actualisées pour refléter la DUAA. Décrivez clairement toute nouvelle base légale que vous utiliserez (par exemple, « intérêts légitimes reconnus ») et expliquez les options de recherche et de consentement. Mettez à jour les notifications relatives aux cookies afin que les cookies d'analyse/de service entrent clairement dans la catégorie décontractée de la DUAA, tout en permettant aux utilisateurs de se désinscrire facilement.

Adaptez les procédures relatives à la DSAR et aux droits des personnes concernées grâce à la nouvelle règle du chronomètre

Formez de nouveau votre équipe chargée de la protection de la vie privée à la disposition « arrêter le temps ». Par exemple, lorsqu'un DSAR arrive, vous pouvez désormais demander au demandeur des éclaircissements ou une preuve d'identité avant de procéder à une recherche complète. Assurez-vous que votre flux de travail DSAR comporte une étape permettant de faire une pause et de reprendre le délai en conséquence. En outre, documentez clairement ce qui est considéré comme des recherches « raisonnables et proportionnées » en vertu de la DUAA, afin que votre équipe sache quand des recherches étendues ne sont pas nécessaires.

Passez en revue les contrats avec les fournisseurs et les tiers et les accords de partage de données

Tous les tiers ou sous-traitants doivent également se conformer à la DUAA. Vérifiez les contrats existants pour vous assurer que les obligations couvrent les nouvelles exigences (par exemple, gestion des droits des personnes concernées, procédures de plainte). Conduite minutieuse management des risques liés aux fournisseurs. Vérifiez la capacité des fournisseurs à gérer les DSAR, les violations de données et les nouvelles bases légales. Mettez à jour les accords de partage de données pour autoriser de nouvelles formes de transferts (par exemple, vous pouvez vous fier à des intérêts légitimes pour partager des données avec des partenaires). Dans tous les cas, insistez pour que les conditions contractuelles soient conformes aux normes de la DUAA, y compris pour toute modification du transfert de données transfrontalier.

Former les équipes à la sensibilisation à la confidentialité, à la sécurité et à la conformité

Votre équipe joue un rôle essentiel dans le respect des lois sur la protection des données. Ce sont eux qui collecteront ou géreront les données. Il est donc essentiel de les informer des changements apportés à la DUAA. Par exemple, le marketing doit comprendre la nouvelle règle du « soft opt-in » pour les organisations caritatives, le service informatique doit être au courant des exemptions relatives aux cookies et le service client doit être prêt à répondre aux exigences en matière de traitement des plaintes. Des formations régulières permettent à chacun de connaître son rôle dans la mise en œuvre de ces nouveaux processus.

Entendez l'assistance d'experts externes pour l'analyse des lacunes et la feuille de route de conformité

De nombreuses organisations trouvent utile d'obtenir des conseils spécialisés. Un cabinet de conseil en confidentialité des données ou un service de DPO (Data Protection Officer) peut effectuer une analyse des lacunes DUAA et fournir des conseils sur un plan de mise en œuvre détaillé. Nos conseils en matière de DPO Services de conformité au RGPD au Royaume-Uni peut vous aider à intégrer les modifications apportées à la DUAA dans votre cadre RGPD existant. Nos experts peuvent rationaliser votre transition, en veillant à ce que vos politiques, vos processus et votre documentation soient conformes à la nouvelle loi.

Pourquoi la DUAA est importante : des avantages stratégiques au-delà de la conformité

Vous demandez peut-être « comment la loi sur la protection des données affecte-t-elle les entreprises ». La réponse est que si la DUAA crée de nouveaux travaux de conformité, elle offre également des avantages stratégiques. En alignant la législation britannique sur les données avec les objectifs d'innovation, la DUAA permet aux organisations de créer de nouveaux produits et services. Par exemple, une utilisation plus facile des données dans la recherche peut accélérer le développement de technologies médicales ou d'IA. Des dispositions plus strictes en matière de partage des données soutiennent les projets collaboratifs (tels que les infrastructures intelligentes ou la finance ouverte). De plus, en clarifiant les règles (par exemple, en clarifiant les exigences en matière de rédaction), la DUAA a réduit l'incertitude juridique. Une organisation tournée vers l'avenir peut saisir cette opportunité pour renforcer la confiance de ses clients et créer un avantage concurrentiel. Démontrer que vous gérez les données de manière responsable, dans le cadre modernisé de la DUAA, peut améliorer votre image de marque.

Conclusion : naviguer dans la DUAA avec confiance et prévoyance stratégique

La DUAA représente la première réforme majeure des données au Royaume-Uni depuis le Brexit. Il s'agira d'une nouvelle loi modernisée sur la protection des données, la rendant plus flexible pour les entreprises tout en préservant les droits fondamentaux en matière de confidentialité. Pour naviguer efficacement dans la DUAA, les entreprises doivent mettre à jour leurs programmes de protection des données de manière proactive dès maintenant, plutôt que d'attendre leur candidature. Cela inclut la révision des politiques, des processus et des contrats conformément aux nouvelles dispositions.

Prenez contact avec nos experts pour en savoir plus sur la façon dont nous pouvons vous aider !

FAQ

Le DUAA remplace-t-il le RGPD britannique ?

Non La DUAA modifie le RGPD britannique (ainsi que la loi britannique sur la protection des données de 2018 et le PECR) mais ne les remplace pas. Le cadre actuel du RGPD reste en place. La DUAA a simplement mis à jour certaines règles dans ce cadre afin de simplifier les processus et de permettre de nouvelles utilisations des données.

Quelle est la nouvelle base de l' « intérêt légitime reconnu » ?

La DUAA ajoute une nouvelle base légale à des fins spécifiques (par exemple, la sécurité publique, la prévention de la criminalité, la sauvegarde, les urgences). Pour le traitement qui relève de ces « intérêts légitimes reconnus », vous n'avez plus besoin de trouver un équilibre entre vos intérêts commerciaux et les intérêts des individus ni d'obtenir leur consentement. Vous devez toujours satisfaire à une exigence de nécessité, mais la DUAA supprime le test d'équilibre détaillé pour ces cas désignés

Les organisations peuvent-elles poursuivre le traitement basé sur le consentement existant ?

Oui, rien dans la DUAA ne vous oblige à renoncer à votre consentement en tant que base légale. You can continue to use the consent when he is valid. En fait, la DUAA codifie même le « large consentement » pour la recherche en droit, ce qui donne plus de flexibilité pour les scénarios de recherche. Assurez-vous simplement que vos mécanismes de consentement et vos avis de confidentialité sont mis à jour pour mentionner les modifications apportées par la DUAA (par exemple, le fait que les projets de recherche peuvent reposer sur un large consentement à l'avenir).

Comment la DUAA affecte-t-elle le consentement aux cookies et au suivi dans le cadre du PECR ?

La DUAA assouplit certaines règles relatives aux cookies. Plus précisément, il permet de configurer certains cookies à faible risque (tels que les cookies analytiques de base ou fonctionnels) sans consentement préalable. Vous devez toujours faire preuve de transparence (par exemple, via une notification ou une option de désinscription), mais l'utilisateur n'est pas tenu de donner son consentement actif pour ces cookies exemptés. Les cookies de suivi à haut risque (à des fins de marketing, etc.) nécessitent toujours un consentement dans le cadre du PECR, comme auparavant.

Quand les modifications apportées par la DUAA entrent-elles en vigueur ?

Les dispositions de la DUAA sont mises en œuvre progressivement. Certaines parties ont commencé à la fin de 2025, et d'autres suivront jusqu'en 2026. Le gouvernement publiera des règlements d'entrée en vigueur spécifiant les dates exactes de chaque modification. D'ici là, les organisations doivent se préparer, mais sachez que toutes les exigences ne sont pas immédiates. Vous pouvez suivre les annonces sur GOV.UK ou sur les conseils de l'ICO.

Les petites entreprises doivent-elles agir immédiatement ?

La DUAA s'applique à tous les responsables du traitement des données, mais de nombreuses obligations se font par étapes. Les petites entreprises devraient commencer à planifier les changements dès maintenant (par exemple, en revoyant les flux de travail de la DSAR et les avis de confidentialité), mais elles peuvent avoir plus de temps avant de les appliquer. Le déploiement progressif signifie que certaines exigences (comme le traitement formel des plaintes) sont entrées en vigueur plus tôt, tandis que d'autres (comme l'assouplissement des règles relatives aux cookies) peuvent être appliquées plus tard. Dans tous les cas, familiarisez-vous avec les principaux changements et intégrez-les dans vos efforts de conformité continus dans la mesure où vos ressources le permettent.

DPO Consulting : votre partenaire en matière d'IA et de conformité au RGPD

Investir dans les efforts de conformité au RGPD peut peser lourdement sur les grandes entreprises ainsi que sur les petites et moyennes entreprises (PME). Le recours à une ressource ou à une assistance externe peut alléger la charge d'un audit interne pour l'ensemble des entreprises et alléger la pression sur les finances, les capacités technologiques et l'expertise de l'entreprise.

Les auditeurs externes et les partenaires experts tels que DPO Consulting sont bien placés pour aider les organisations à gérer efficacement la nature complexe des audits du RGPD. Ces professionnels formés agissent comme une extension de votre équipe, aidant à rationaliser les processus d'audit, à identifier les domaines à améliorer, à mettre en œuvre les changements nécessaires et à garantir la conformité au RGPD.

Confier le bon partenaire offre l'avantage de l'impartialité et du respect des normes du secteur et permet de débloquer une multitude de ressources telles que des informations spécifiques au secteur, ce qui se traduit par des évaluations impartiales et une conformité réussie. Travailler avec DPO Consulting se traduit par un gain de temps précieux et allège la charge de travail du personnel interne, tout en réduisant considérablement les coûts de l'entreprise.

Nos solutions

RGPD et conformité

• Logiciel GDPR (MyDPO)
• Audits de conformité au RGPD
• Évaluations de l'impact sur la vie privée (PIA)
• Audits initiaux de cybersécurité
• Conformité aux essais cliniques

DPO et représentation externalisés

• DPO externalisé
• DPO international
• CISO en tant que service
• Représentant de l'UE
• Représentant du Royaume-Uni

Formation et assistance

• Coaching DPO personnalisé
• Formation sur le RGPD