Loi de 2025 sur l’utilisation et l’accès aux données : Guide pratique à l’intention des entreprises britanniques

données personnelles
Written By Nathalie Pouderoux

La loi de 2025 sur l’utilisation et l’accès aux données introduit de nouvelles règles concernant la manière dont les entreprises collectent, partagent et protègent les données. Elle constitue un document indispensable pour les sociétés britanniques, les équipes juridiques et toute personne responsable de la conformité ou de la gestion des données.

Qu’est-ce que la loi de 2025 sur l’utilisation et l’accès aux données ?

La loi de 2025 sur l’utilisation et l’accès aux données (souvent désignée par son acronyme anglais DUAA) est un texte législatif majeur, ayant reçu la sanction royale au Royaume-Uni le 19 juin 2025.


Elle apporte un large éventail de changements touchant à la protection des données, à la vie privée et à l’innovation numérique.

 

Sans remplacer le Règlement général sur la protection des données (RGPD) en vigueur au Royaume-Uni ni la loi de 2018 sur la protection des données, elle actualise et simplifie certaines règles, encourage le partage responsable des données, soutient l’innovation et renforce la capacité des services à lutter contre la criminalité.

 

Pour les entreprises britanniques, comprendre les nouveautés introduites par la DUAA est essentiel afin de rester en conformité et d’exploiter les nouvelles opportunités de manière responsable.

Dispositions clés de la loi de 2025 sur l’utilisation et l’accès aux données

Cette loi couvre plusieurs domaines qui influencent la façon dont les entreprises collectent, utilisent et partagent les données. En comprendre les points essentiels est crucial pour rester conforme et prendre des décisions éclairées. En voici les principaux aspects :

 

Décisions automatisées (Automated Decision-Making – ADM)
La loi élargit les situations dans lesquelles une organisation peut prendre des décisions concernant une personne sur la seule base d’un traitement automatisé ayant des conséquences juridiques ou similaires significatives. Toutefois, des garanties demeurent indispensables. Les entreprises doivent informer les personnes concernées, leur offrir la possibilité de contester la décision et permettre une intervention humaine si nécessaire.

 

Demandes d’accès aux données (Subject Access Requests – SAR)
La DUAA précise la manière dont les organisations doivent répondre aux demandes d’accès aux données à caractère personnel. Elle instaure la règle du « stop the clock », permettant de suspendre le délai de réponse le temps de recueillir des informations complémentaires auprès du demandeur. Les réponses doivent être proportionnées et se concentrer sur les données pertinentes, ce qui facilite la gestion des SAR.

 

Protection des données des enfants

De nouvelles obligations imposent aux services en ligne susceptibles d’être utilisés par des mineurs d’intégrer des mesures de protection dès la conception, afin de garantir des expériences en ligne plus sûres.

 

Recherche scientifique et commerciale
La loi reconnaît explicitement la recherche commerciale dans le champ de la recherche scientifique, permettant un recours plus large au consentement, tout en prévoyant des garanties pour protéger les données à caractère personnel utilisées à des fins de recherche.

 

Intérêts légitimes reconnus


La DUAA introduit une nouvelle base légale pour le traitement des données dans le cadre de la prévention de la criminalité, de la protection, des interventions d’urgence et d’autres intérêts légitimes définis. Cela donne aux entreprises un fondement juridique plus clair pour un usage responsable des données dans ces domaines.

 

Transferts internationaux de données


La loi simplifie et clarifie les règles relatives aux transferts de données à caractère personnel à l’étranger, réduisant la complexité tout en maintenant un niveau de protection adéquat.

 

Gestion des réclamations


Les entreprises doivent désormais proposer des mécanismes de réclamation accessibles, par exemple via des formulaires en ligne, et informer les personnes concernées du résultat. Cela renforce la transparence et la responsabilité.

 

Technologies de stockage et d’accès

Sous certaines conditions à faible risque, la loi autorise l’utilisation de cookies et de technologies similaires sans consentement explicite, allégeant ainsi les obligations pour certaines opérations courantes.

 

 

Modifications concernant les forces de l’ordre et les services de renseignement

La DUAA modifie certaines dispositions de la loi de 2018 sur la protection des données applicables aux forces de l’ordre et aux services de renseignement, afin d’assurer la cohérence avec les modifications apportées au RGPD britannique et de rationaliser les processus afin de soutenir les efforts en matière de sécurité nationale.

Ce que la loi de 2025 sur l’utilisation et l’accès aux données signifie pour votre entreprise : aperçu pratique

La loi apporte des changements pratiques qui peuvent avoir une incidence sur les opérations quotidiennes, la prise de décision et la gestion des données. Savoir ce que cela signifie pour votre entreprise vous aide à rester en conformité et à utiliser les données plus efficacement.

 

Encourager l’innovation et la croissance

L’un des objectifs principaux de la loi est de soutenir l'innovation sans compromettre la protection des données. Par exemple, elle clarifie les conditions dans lesquelles les données à caractère personnel peuvent être utilisées à des fins de recherche scientifique, y compris pour des projets commerciaux. Elle introduit également la possibilité d'obtenir un consentement général pour les activités de recherche connexes, ce qui facilite la réalisation d'études utiles qui profitent aux entreprises.

 

En outre, les entreprises peuvent désormais réutiliser les données à caractère personnel à des fins de recherche sans avoir à envoyer systématiquement des avis individuels, à condition que les droits des personnes soient protégés par d'autres mesures de transparence, telles que la publication d'informations claires sur votre site internet.

En matière de décisions automatisées, la DUAA élargit les bases légales possibles (y compris l’intérêt légitime) tout en garantissant aux individus le droit de contester et de demander une révision humaine si nécessaire.


Enfin, la loi facilite l'utilisation des cookies en autorisant certains types de cookies qui servent des finalités essentielles (telles que l'analyse de sites internet) sans consentement explicite, ce qui simplifie la mise en conformité pour les opérateurs de sites internet.

 

Simplifier la conformité et les opérations

 

La DUAA rationalise plusieurs aspects pratiques de la conformité en matière de protection des données. Par exemple, elle introduit une nouvelle base légale, celle des « intérêts légitimes reconnus », pour le traitement des données dans des domaines tels que la prévention de la criminalité et la sécurité publique, ce qui évite aux entreprises d'avoir à effectuer des vérifications complexes dans ces contextes.

 


Elle transfère également la responsabilité aux destinataires des données, tels que la police, lorsque des organisations partagent des informations à caractère personnel à des fins d'exécution de missions publiques, ce qui réduit le risque et l'incertitude pour les entreprises lorsqu'elles répondent à des demandes d'informations légitimes.

En outre, la loi permet aux entreprises de supposer que certaines réutilisations des données sont compatibles avec leur finalité initiale, en particulier pour l'archivage dans l'intérêt public, ce qui réduit les frais administratifs.

Les organisations caritatives bénéficient d'une nouvelle règle de « consentement tacite » qui leur permet d'envoyer des e-mails marketing à leurs sympathisants, sauf si ces derniers s'y opposent, ce qui aide ces organisations à interagir plus efficacement avec leurs communautés.

En ce qui concerne les demandes d'accès des personnes concernées, la loi précise que les organisations ne sont tenues d'effectuer que des recherches raisonnables et proportionnées, ce qui contribue à réduire la charge administrative liée au traitement des demandes d'accès aux données.

 

Nouvelles obligations à anticiper

Si la DUAA crée de nombreuses opportunités, elle impose également de nouvelles exigences importantes auxquelles il convient de se préparer. Si votre entreprise exploite des services en ligne susceptibles d'être consultés par des mineurs, la loi vous oblige expressément à concevoir vos pratiques en matière de données en tenant compte des besoins des enfants. Cela s'aligne sur les normes existantes telles que le Code de conception adapté à l'âge, mais souligne que les entreprises doivent activement prendre en compte la protection des enfants dans la conception de leurs services.

En outre, la loi impose aux organisations des obligations plus claires en matière de facilitation et de gestion des plaintes liées à l'utilisation des données. Les entreprises doivent mettre en place des canaux de plainte accessibles, tels que des formulaires électroniques, et sont tenues d'accuser réception des plaintes dans un délai de 30 jours et de les résoudre sans retard inutile. Ce changement favorise la transparence et contribue à instaurer la confiance des personnes préoccupées par la manière dont leurs données sont traitées.

Liste de contrôle pratique : préparer votre entreprise à la loi de 2025 sur l’utilisation et l’accès aux données

Les changements apportés par la DUAA seront mis en œuvre progressivement au cours des 12 prochains mois. Pour prendre de l'avance, les entreprises doivent prendre les mesures énumérées ci-dessous.

  1. Mettre à jour les politiques et mentions de confidentialité

○       Intégrez des informations claires sur l’utilisation des données à des fins de recherche scientifique, y compris le consentement général.

○       Garantissez la transparence via votre site internet lorsque les notifications individuelles ne sont pas envoyées.

 

  1. Évaluer les pratiques en matière de prise de décisions automatisées (ADM)

○       Identifiez les traitements ADM actuels ou prévus ayant des effets juridiques ou significatifs.

○       Vérifiez que des garanties sont en place, expliquez les décisions ADM, fournissez aux personnes concernées des moyens de contester les résultats et garantissez l'accès à un contrôle humain.

○       Vérifiez les bases légales de l'ADM, y compris les intérêts légitimes, en veillant à ce que les données de catégorie spéciale soient traitées de manière appropriée.

 

  1. Préparer la gestion des demandes d’accès (SAR)

○       Mettez en place des procédures pour effectuer des recherches raisonnables et proportionnées lorsque vous répondez à des SAR.

○       Mettez à jour les délais et les processus internes afin de tenir compte de la règle du « gel du compte à rebours », qui consiste à suspendre le délai de réponse en attendant des informations supplémentaires de la part des demandeurs.

 

  1. Évaluer l'utilisation des données dans les services en ligne destinés aux enfants

○       Auditez les services en ligne susceptibles d'être utilisés par des enfants et évaluez les mesures de protection des données conformément aux exigences explicites de la loi.

○       Alignez vos pratiques sur le Code de conception adapté à l'âge afin de garantir le respect des droits et des besoins des enfants.

 

  1. Mettre à jour les procédures de traitement des réclamations

○       Mettez en place ou améliorer les canaux de réclamation accessibles, tels que les formulaires électroniques, pour les questions relatives à la protection des données.

○       Définissez des processus pour accuser réception des réclamations dans un délai de 30 jours et les résoudre rapidement.

○       Formez le personnel aux procédures de gestion et de transmission des réclamations.

 

  1. Examiner l’usage des cookies et des technologies de suivi

○       Identifiez les cookies à faible risque (par exemple, ceux utilisés à des fins d'analyse ou de fonctionnalité) qui ne nécessitent plus de consentement explicite.

○       Mettez à jour les bannières relatives aux cookies et les mécanismes de consentement en conséquence.

 

  1. Comprendre et appliquer les nouvelles bases légales de traitement

○       Familiarisez-vous avec la nouvelle base des « intérêts légitimes reconnus » pour des activités de traitement spécifiques, telles que la prévention de la criminalité et la sécurité publique.

○       Évaluer vos pratiques en matière de partage de données avec les forces de l'ordre et d'autres organismes publics afin de vous assurer qu'elles sont conformes à la loi.

 

  1. Se préparer aux transferts internationaux de données

○       Examinez les mécanismes existants de transfert transfrontalier de données.

○       Tenez-vous informé des règles et des tests révisés pour le transfert de données à caractère personnel en dehors du Royaume-Uni.

 

  1. Suivre le calendrier de mise en œuvre et les lignes directrices

○       Suivez les dates d'entrée en vigueur des règlements et les dates de mise en œuvre progressive.

○       Consultez régulièrement le site internet du Bureau du commissaire à l'information (ICO) pour obtenir des lignes directrices réglementaires actualisées.

 

En prenant ces mesures dès maintenant, les entreprises peuvent non seulement garantir leur conformité, mais aussi tirer parti des gains d'efficacité et des innovations encouragés par la loi.

Comment Gerrish Legal peut vous aider?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Marina Danielyan, Paralegal de Gerrish Legal, et de Nathalie Pouderoux, Consultante pour Gerrish Legal

Nathalie Pouderoux
Next

L’UE étend les règles relatives à la responsabilité du fait des produits aux fournisseurs de logiciels et d’IA