La loi britannique sur l'utilisation et l'accès aux données (DUAA) actualise les politiques de protection des données du Royaume-Uni, modifiant le RGPD et le PECR (Règlement sur la vie privée et les communications électroniques). L'objectif de la DUAA est de faciliter le traitement des données pour favoriser l'innovation et la croissance. Êtes-vous prêt pour la DUAA ?
Le Règlement général sur la protection des données (RGPD) britannique est la version britannique du RGPD de l'UE. Suite au Brexit, le RGPD de l'UE a été intégré au droit britannique par la loi de 2018 sur la protection des données, avec de légères modifications. Si les principes fondamentaux restent quasiment identiques à ceux du RGPD de l'UE, il existe des distinctions importantes que les entreprises britanniques, et toute organisation traitant les données de résidents britanniques, doivent connaître. En 2025, ce RGPD britannique est devenu la loi sur l'utilisation et l'accès aux données (DUAA).
À l'instar du RGPD de l'UE, la DUAA définit des exigences strictes concernant la collecte, le traitement et la protection des données personnelles par les entreprises. Pour être conformes, les organisations doivent :
Traiter les informations personnelles de manière juste et légale :
La collecte et l’utilisation des données doivent être légales, équitables et transparentes.
Collecter des données à des fins spécifiques :
Les données personnelles ne peuvent être collectées que pour des finalités clairement définies et légitimes.
Nommer un responsable du traitement des données :
Une personne (ou une organisation) doit être désignée comme responsable de la démonstration de la conformité.
Limiter la collecte et le stockage :
Suivez le principe de minimisation des données : collectez uniquement ce qui est nécessaire et stockez-le uniquement aussi longtemps que nécessaire.
Maintenir l'exactitude :
Assurez-vous que les données personnelles sont exactes et mises à jour.
Protéger la sécurité des données :
Appliquer des mesures techniques et organisationnelles appropriées pour garantir l’intégrité, la confidentialité et la disponibilité.
Le DUAA/RGPD britannique s'applique à :
Toute organisation basée au Royaume-Uni qui traite des données personnelles.
Toute organisation non britannique qui propose des biens ou des services à des résidents du Royaume-Uni ou surveille leur comportement.
Cela signifie que même si votre entreprise est située hors du Royaume-Uni, vous pourriez être tenu(e) de vous conformer aux exigences si vous traitez des données de citoyens britanniques.
Le DUAA/UK GDPR accorde aux individus un ensemble solide de droits en matière de confidentialité des données :
Les particuliers peuvent demander une copie de leurs données personnelles.
Les personnes concernées peuvent corriger des données inexactes ou incomplètes.
Les particuliers peuvent demander la suppression de leurs données personnelles.
Les gens peuvent limiter la manière dont leurs données sont utilisées.
Les données doivent être fournies dans un format utilisable et transférable.
Les individus peuvent refuser l’utilisation de leurs données à des fins de profilage, de marketing ou à d’autres fins.
Les personnes sont protégées contre les décisions prises uniquement par des moyens automatisés sans intervention humaine.
Les cookies demeurent un enjeu crucial de conformité. Conformément au DUAA/RGPD britannique et au Règlement sur la confidentialité et les communications électroniques (PECR) du Royaume-Uni, les sites web doivent obtenir un consentement valide avant d'installer la plupart des types de cookies.
Conformité requise :
Consentement éclairé : les utilisateurs doivent accepter les cookies non essentiels.
Transparence : indiquer clairement les catégories, les finalités et les durées de conservation des données collectées via les cookies.
Retrait facile : permettre aux utilisateurs de retirer leur consentement à tout moment.
Pour la plupart des sites web britanniques, cela implique la mise en place d'une bannière de consentement aux cookies offrant aux utilisateurs un choix clair et précis.
Le Bureau du Commissaire à l'information (ICO) est chargé de l'application du RGPD britannique. Les amendes peuvent atteindre 17,5 millions de livres sterling ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Outre les sanctions financières, la non-conformité présente les risques suivants :
Perte de confiance des consommateurs
Risques contractuels si les partenaires exigent des preuves de conformité
Actions en justice de la part des particuliers
Les entreprises doivent prendre des mesures proactives pour réduire les risques de non-conformité :
Examiner les pratiques en matière de données :
Auditer la manière dont les données sont collectées, traitées et partagées, en garantissant la conformité avec la DUAA.
Mettre en œuvre la gestion du consentement :
Utilisez une plateforme de gestion du consentement (CMP) telle que CookieHub pour rationaliser la conformité des cookies et du consentement.
Vérifiez les contrats des partenaires :
Mettez à jour les contrats tiers pour vous assurer qu'ils reflètent les obligations du RGPD britannique.
Mettre à jour les politiques de confidentialité :
Expliquez clairement comment les données personnelles sont utilisées, stockées et partagées.
Former les employés :
Sensibiliser le personnel aux obligations de la DUAA et à son rôle en matière de conformité.
En tant que plateforme fiable de gestion du consentement, CookieHub aide les entreprises à simplifier leur conformité aux normes DUAA et PECR. Du consentement aux cookies à la transparence des données, CookieHub permet aux organisations de gérer les choix des utilisateurs sans avoir à créer de toutes pièces des processus de conformité complexes.
Des milliers d'entreprises font déjà confiance à CookieHub pour identifier les cookies cachés, afficher des bannières de consentement transparentes et se protéger contre les amendes de l'ICO.
La DUAA établit les règles régissant l'accès, le partage et l'utilisation des données personnelles par les organisations britanniques, conformément au RGPD. Elle s'applique aux entreprises et organismes publics opérant au Royaume-Uni, ainsi qu'aux entités étrangères qui traitent les données de résidents britanniques dans le cadre de biens, de services ou d'activités de surveillance. La DUAA complète le RGPD en établissant des normes plus claires pour l'accès aux données, notamment dans les secteurs réglementés ou à haut risque.
Les données personnelles désignent toute information permettant d'identifier une personne vivante, directement ou indirectement. Cela inclut des informations telles que le nom, la date de naissance, l'adresse, les numéros d'identification, les identifiants en ligne (comme les cookies ou les adresses IP), ou tout élément relatif à l'identité physique, culturelle ou sociale d'une personne.
Les données sensibles (juridiquement appelées données de catégorie spéciale) comprennent les informations révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques utilisées à des fins d'identification, les informations de santé et les détails sur la vie sexuelle ou l'orientation sexuelle. Le traitement de ce type de données en vertu de la DUAA et du RGPD britannique requiert des garanties renforcées et généralement un consentement explicite.
Le Bureau du Commissaire à l'information (ICO) est l'autorité indépendante de régulation de la protection des données au Royaume-Uni. Il veille au respect du RGPD, de la loi de 2018 sur la protection des données et des lois connexes, telles que la DUAA. L'ICO est habilité à mener des enquêtes, à émettre des directives et à infliger des amendes en cas de non-conformité.
La DUAA ne s'applique généralement pas aux personnes utilisant des données personnelles à des fins strictement personnelles ou domestiques. Certaines exemptions peuvent également s'appliquer aux données traitées à des fins journalistiques, de recherche universitaire ou de sécurité nationale. De plus, des dispositions légales spécifiques peuvent autoriser une utilisation limitée des données personnelles sans obligation de la DUAA dans des cas exceptionnels.
Des conseils et des mises à jour officielles sont disponibles sur le site web du Bureau du Commissaire à l'information (ICO) (ico.org.uk). Selon votre secteur d'activité, des organismes de réglementation tels que le NHS (pour la santé) ou la FCA (pour la finance) peuvent fournir des ressources supplémentaires. Pour des conseils approfondis, il est recommandé de consulter un juriste ou un professionnel de la conformité spécialisé dans la législation britannique sur la protection des données.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
