Réforme du cadre législatif de la protection des données au Royaume-Uni : une adéquation en sursis ? Par Hélène Brandela, Déléguée à la protection des données.

Réforme du cadre législatif de la protection des données au Royaume-Uni : une adéquation en sursis ?

Par Hélène Brandela, Déléguée à la protection des données.

247 lectures 1re Parution: 5  /5

Explorer : # protection des données personnelles # transfert international de données # décision d'adéquation # réforme législative

« Nous pouvons aujourd’hui donner l’assurance aux citoyens de l’Union que leurs données à caractère personnel seront protégées lorsqu’elles seront transférées vers le Royaume-Uni. » annonçait Didier Reynders, alors commissaire chargé de la justice, suite à l’adoption par la Commission européenne le 28 juin 2021 de deux décisions relatives à l’adéquation du niveau de protection des données au Royaume-Uni. Néanmoins, le projet de loi britannique sur l’utilisation des données, actuellement débattu, pourrait remettre en cause ce statut.

-

Pour rappel, une décision d’adéquation est un mécanisme prévu par l’article 45 du Règlement Général sur la Protection des Données (« RGPD ») permettant de transférer des données personnelles vers un pays tiers (c’est-à-dire un Etat hors de l’EEE). Cette décision est adoptée par la Commission européenne à la suite d’une analyse du droit applicable dans le pays tiers : lorsqu’elle constate que la réglementation de l’Etat assure un niveau de protection adéquat, la Commission adopte une décision d’adéquation. Elle est par la suite chargée de réévaluer régulièrement la validité de cette décision en suivant les évolutions réglementaires dans les Etats qui en bénéficient.

Les deux décisions d’adéquation adoptées [1] étaient relatives pour l’une au RGPD, pour l’autre à la Directive Police-Justice. Elles furent notamment le fruit d’un constat : le Royaume-Uni venant de quitter l’Union européenne, son cadre juridique – notamment en matière de protection des données – était similaire au cadre juridique européen et offrait donc des garanties similaires.

Ces deux décisions d’adéquation incluaient des mesures de sauvegarde en cas de divergences futures, et contenaient donc une clause de « suppression automatique » (sunset clause) : elles étaient ainsi adoptées pour une durée de 4 ans (expiration le 27 juin 2025).

Néanmoins, un projet de loi déposé devant le Parlement britannique en octobre 2024 et depuis débattu au Royaume-Uni, est susceptible d’emporter des changements importants dans le cadre réglementant la protection des données personnelles outre-Manche. Ce projet de loi (Data Use and Access Bill, « DUA ») vient modifier un certain nombre de dispositions issues de la loi britannique de protection des données de 2018 (« loi de protection des données ») qui reprenait les dispositions du RGPD. Une fois adoptée, cette loi pourrait donc avoir un impact sur l’appréciation du niveau de protection des données personnelles par la Commission européenne.

Cette dernière a proposé de prolonger la validité des décisions d’adéquation pour une durée de six mois – jusqu’au 27 décembre 2025 – en attendant que le nouveau cadre juridique britannique soit adopté et que l’évaluation de celui-ci puisse avoir lieu.

Le 27 décembre 2025 représente donc la date butoir pour ces deux décisions d’adéquation, qui expireront automatiquement. Le projet de loi britannique, dont le vote est attendu pour la fin de l’été au plus tard, sera déterminant pour que la Commission européenne décide, ou non, d’adopter une nouvelle décision d’adéquation en prenant en compte ce nouveau cadre juridique.

La question est ainsi de savoir si le niveau de protection adéquat reconnu au Royaume-Uni pourrait subsister dans l’hypothèse où le projet de loi était adopté en l’état. Dès 2021, les avis publiés par le Comité Européen sur la Protection des données (« CEPD ») interrogeaient le niveau de protection « adéquat » des données au Royaume-Uni (I), interrogation qui se renforce au vu des évolutions législatives prévues dans le projet de loi DUA, qui viendraient affaiblir le niveau de protection des données. (II)

I. Les avis critiques du CEPD relatifs aux décisions d’adéquation du Royaume-Uni.

Dès 2021, lorsqu’il publiait ses deux avis relatifs aux projets de décision d’adéquation pour le Royaume-Uni, [2] le CEPD relevait plusieurs éléments qui pouvaient s’avérer problématiques et indiquait qu’il convenait, selon lui, que la Commission européenne approfondisse son analyse.

Ce dernier alertait ainsi sur le caractère vague de certaines dispositions ainsi que sur les transferts ultérieurs de données. Il considérait notamment que la dérogation concernant l’immigration, visée à l’annexe 2, partie 1, paragraphe 4, de la loi de protection des données était formulée de manière générale (“The relevant UK GDPR provisions do not apply to personal data processed by the Secretary of State for any of the following purposes : (a) the maintenance of effective immigration control, or (b) the investigation or detection of activities that would undermine the maintenance of effective immigration control, to the extent that the application of those provisions would be likely to prejudice any of the matters mentioned in paragraphs (a) and (b)”).

De même, le CEPD considérait que si le Royaume-Uni avait en grande partie repris le chapitre V du RGPD, certains aspects du cadre juridique britannique relatifs aux transferts ultérieurs pouvaient compromettre le niveau de protection des données personnelles transférées depuis l’EEE.

Concernant les accords internationaux conclus entre le Royaume-Uni et des pays tiers, le CEPD invitait la Commission européenne à examiner les interactions entre le cadre juridique du Royaume-Uni relatif à la protection de données personnelles et ses engagements internationaux.

L’objectif est de garantir la continuité du niveau de protection lorsque des données personnelles sont transférées depuis l’Union vers le Royaume-Uni puis transférées ultérieurement vers d’autres pays tiers. Selon le CEPD, la Commission devait donc s’assurer que les données personnelles continuaient à bénéficier d’un niveau de protection équivalent lors des transferts ultérieurs. Sur ce point, il rappelait qu’elle était tenue d’assurer un suivi continu et de prendre des mesures, le cas échéant, si la conclusion d’accords internationaux entre le Royaume-Uni et des pays tiers risquait de compromettre le niveau de protection des données personnelles garanti dans l’Union. Le CEPD mentionnait par exemple le UK-US Communication Intelligence Agreement (accord entre le Royaume-Uni et les États-Unis relatif à la communication de renseignements) qui pouvait, selon lui, entraîner un contournement des garanties liées à l’accès aux données personnelles et à leur utilisation à des fins de sécurité nationale.

De manière plus générale, le CEPD soulignait dès 2021 que : « Le premier élément problématique […] a trait au suivi de l’évolution du système juridique britannique en matière de protection des données […]. En effet, le gouvernement britannique a fait part de son intention d’élaborer des politiques distinctes et indépendantes en matière de protection des données, et d’une éventuelle volonté de s’écarter du droit de l’Union en la matière. De telles déclarations politiques n’ont pas encore pris corps dans le cadre juridique du Royaume-Uni. Cette possible divergence future pourrait toutefois être source de risques pour le maintien du niveau de protection des données à caractère personnel transférées depuis l’Union. ». Il se disait également préoccupé par les interceptions en masse par les autorités britanniques.

Dans son dernier avis en date du 5 mai 2025 relatif à la proposition de la Commission européenne de prolonger les deux décisions d’adéquation, [3] le CEPD rappelle la validité de ses avis sur les deux décisions d’adéquation et invite la Commission européenne à en tenir compte dans ses futures évaluations.

Le CEPD a reconnu qu’une prolongation de ces décisions était nécessaire pour laisser le temps à la Commission européenne d’évaluer le cadre juridique britannique mis à jour à la suite du vote du projet de loi, rappelant néanmoins que cette extension était exceptionnelle et ne devait pas être prolongée à nouveau par la suite.

II. Les évolutions législatives issues du projet de loi DUA : un affaiblissement de la protection des données personnelles.

Certaines évolutions majeures, prévues dans le projet de loi actuel, amèneront – si elles sont votées – à une mutation importante du cadre juridique britannique relatif à la protection des données personnelles.

Certaines de ces évolutions ont déjà pu faire l’objet de contestation outre-Manche. Ainsi, l’association « Big Brother Watch » a publié, en février 2025, un rapport concernant le projet de loi en discussion. [4] Plusieurs éléments – non exhaustifs – pouvant mettre à mal le niveau de protection adéquat aujourd’hui reconnu au Royaume-Uni ont été dénoncés par l’association dans son rapport.

(i) La création d’intérêts légitimes reconnus.

Actuellement, le droit britannique prévoit, tout comme le RGPD, qu’un traitement de données personnelles doive être fondé sur une des bases légales prévues à l’article 6 de la loi de protection des données. Cela inclut l’intérêt légitime du responsable du traitement.

Toutefois, l’article 70(2) du projet de loi DUA crée une nouvelle base légale, celle des « intérêts légitimes reconnus » (recognised legitimate interests). Cette nouvelle base légale permettrait ainsi au responsable du traitement de traiter les données personnelles sans procéder à l’exercice de mise en balance, dans le cas où il s’agit d’un intérêt plus large désigné par le Secrétaire d’Etat. Ces « intérêts légitimes reconnus » seraient listés directement dans la loi et incluraient la sécurité nationale, les urgences, les crimes, etc.

Néanmoins, ces catégories sont très larges et ne sont pas exhaustives. Le Secrétaire d’Etat serait en effet en mesure d’ajouter de nouveaux « intérêts » à cette liste, laissant ainsi planer une certaine incertitude quant au champ d’application des ces nouveaux intérêts légitimes reconnus.

(ii) La création de larges exceptions à la limitation du traitement.

L’article 71 du projet de loi prévoit d’ajouter un article 8A à la loi de protection des données, autorisant le Secrétaire d’Etat d’exempter préventivement le traitement des données du principe de limitation de la finalité. Cela pourrait être rendu possible dans le cas où le traitement entre dans le champ d’une nouvelle annexe de la loi de protection des données.

Néanmoins, les finalités actuellement énoncées dans cette annexe sont larges : elles comprennent l’archivage dans l’intérêt public, la sécurité publique, la criminalité, la protection des personnes vulnérables et la fiscalité.

De plus, elles sont modifiables. Par conséquent, ce dispositif permettrait de ne pas être soumis au principe de limitation de finalité, et ainsi d’utiliser les données pour des finalités autres que celle ayant justifié leur collecte, et ce dans le cadre de conditions mal définies.

(iii) L’élargissement de la prise de décision automatisée.

En vertu de l’actuel article 22 de la loi de protection des données, le principe est que les personnes concernées ont le droit de ne pas être soumises à une décision ayant un effet juridique ou un effet significatif similaire reposant uniquement sur un traitement automatisé ou un profilage.

Le projet de loi a vocation à créer un article 22A-D, qui permettrait une prise de décision automatisée dans des circonstances beaucoup plus larges. L’article 22B réduirait le champ de l’interdiction existante, de sorte que cette interdiction ne s’appliquerait qu’aux décisions automatisées fondées sur des catégories particulières de données personnelles. Ces dernières seraient tout de même rendues possibles si la personne concernée consentait au traitement, ou si le traitement était requis par un contrat ou autorisé par la loi et que le traitement était « nécessaire pour des raisons d’intérêt public important ».

Le recours à la prise de décision automatisée s’en trouverait donc considérablement élargi.

(iv) L’affaiblissement des garanties pour les traitements effectués par les autorités judiciaires.

Concernant les traitements effectués par les autorités judiciaires, l’article 50C(3)-(4) exempterait ces autorités de la nécessité d’appliquer les garanties minimales de transparence et leur permettrait de recourir à la prise de décision automatisées pour un large éventail de motifs tels que « pour éviter de nuire à la prévention, à la détection, à la recherche ou à la poursuite d’infractions pénales ou à l’exécution de sanctions pénales ».

Concrètement, cela signifierait que les prises de décisions automatisées des autorités, qui peuvent avoir des effets négatifs importants - notamment en cas d’erreur, pourraient avoir lieu en secret, en l’absence de réelles garanties, et en traitant des catégories particulières de données personnelles (données biométriques, données génétiques, données de santé, etc.). La seule garantie serait qu’un examen humain de la décision puisse être effectué a posteriori, si cela est raisonnablement réalisable.

(v) L’affaiblissement de l’autorité de protection des données.

Le projet de loi prévoit que l’actuelle autorité nationale de protection des données (Information Commission Office) serait remplacée par une Commission de l’information composée d’un comité entre 3 et 14 membres. Le texte précise que cette Commission devrait exercer ses fonctions en tenant compte de certains intérêts définis, tels que « l’opportunité de promouvoir l’innovation et la concurrence » ou encore la « prévention, l’investigation, la détection et la poursuite des crimes ».

De fait, le risque est que les données personnelles soient abordées comme une opportunité d’exploitation, plutôt que comme des informations privées devant être protégées. Ainsi, imposer la prise en compte de certains intérêts – y compris économiques – à la Commission est susceptible de nuire à l’objectif initial de protection des données.

Concernant sa composition, la Commission se trouverait sous l’autorité renforcée du secrétaire d’État. Une nouvelle annexe (12A) serait introduite dans la loi de protection des données et confèrerait à ce dernier de nouveaux pouvoirs pour nommer les membres de la Commission. Il y a donc un risque de politisation de cet organisme – qui contrôle notamment les traitements de données par les autorités publiques - ce qui compromettrait sa capacité à agir de manière indépendante.

Conclusion.

Les deux décisions d’adéquation adoptées pour le Royaume-Uni arriveront à échéance le 27 décembre 2025. D’ici là, le projet de loi DUA devrait être adopté et apporter des modifications importantes au cadre juridique applicable à la protection des données personnelles au Royaume-Uni.

Il n’est pas certain que l’adéquation du pays passe l’hiver, et il faut donc d’ores et déjà que les entreprises envisagent le recours aux clauses contractuelles types pour pouvoir continuer à transférer des données personnelles en conformité avec les exigences du RGPD.

La Commission européenne pourrait également décider d’adopter une nouvelle décision d’adéquation pour le Royaume-Uni, prenant ainsi le risque de voir sa décision invalidée par la Cour de Justice de l’Union Européenne. Il serait tout de même souhaitable que la Commission européenne mette de côté les considérations politiques pour se livrer à un examen objectif du cadre législatif britannique, afin que les décisions d’invalidation de la Cour, comme celles ayant visé le Safe Harbor et le Privacy Shield (toutes deux des décisions d’adéquation en faveur des Etats-Unis), ne deviennent pas monnaie courante.

Hélène Brandela, Déléguée à la protection des données

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

3 votes

L'auteur déclare ne pas avoir utilisé l'IA générative pour la rédaction de cet article.

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

Notes de l'article:

[2CEPD, avis 14/2021 et avis 15/2021

[3CEPD, avis 06/2025

A lire aussi :

Explorer : # protection des données personnelles # transfert international de données # décision d'adéquation # réforme législative

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit européen et international

"Chocolat Dubaï" : quand les tribunaux allemands tranchent entre marketing viral et indication géographique protégée. Par Marie-Avril Roux Steinkuehler, Avocate et Anya Rouveyre, Juriste.

27 mai 2025

IA Act et l’Acte européen sur l’accessibilité : deux nouvelles réglementations numériques à adopter. Par Jochen Bauerreis, Avocat.

27 mai 2025

Preuve déloyale, cause légitime : la fin justifie-t-elle (encore) les moyens ? Par Zakaria Garno, Professeur.

26 mai 2025

Contrats internationaux : étude comparative de la force majeure et de la clause de change en droit français et droit coréen. Par Teresa Inverso, Juriste.

22 avril 2025

La directive CSRD : les enjeux et obligations pour les entreprises en 2025. Par Jochen Bauerreis, Avocat.

27 mai 2025

Que reste-t-il de la Constitution face au droit européen ? Plaidoyer pour l’institution d’une cassation interprétative. Par François Viangalli, Maître de Conférences.

16 avril 2025

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 550 membres, 28175 articles, 127 292 messages sur les forums, 2 600 annonces d'emploi et stage... et 1 500 000 visites du site par mois en moyenne. *


FOCUS SUR...

• 1er Guide synthétique des solutions IA pour les avocats.

• [Dossier] Le mécanisme de la concurrence saine au sein des équipes.




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Agir en faveur de l’accès au droit

 

Cabinet d'avocat

 

Réseau de professionnels du Droit

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

Réseau de cabinets d’avocats indépendants

 

Facilite l'accès aux professions du Droit

 

Bien plus que du droit.

 

Association pour la prévention positive des cyberviolences

 

 

Collectif d'avocats et de médiateurs

 

Cabinet d'Avocats

Solutions

Previous Next

 

1er service entièrement en ligne pour externaliser vos appels

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

Logiciels de conformité, risques et éthique

 

AI-powered Contract Management

 

Destruction et recyclage de documents confidentiels

 

Maintenance informatique spécialisée pour les professionnels du droit

 

Logiciels pour professionnels du droit.

 

Lettre recommandée électronique

 

Association de gestion et de comptabilité pour Avocats

 

Offres pour les métiers du droit

 

Traducteurs assermentés

 

Editeur juridique

 

Aides et Conseils à l'installation des avocats.

 

Créateur de confiance juridique

 

Solutions d'informations pour professionnels du droit.

Formateurs

Previous Next

 

La Compétence juridique se recrute !

 

Formation, recherche et innovation

 

Se former aux métiers du Droit

 

L’école des nouveaux juristes !

 

Cabinet juridique et organisme de formation

 

Formations courtes ou longues à destination des professionnels du droit

 

Se former est une chance !

 

Des formations spécialisées

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Sélection Liberalis : la Commanderie templière de Peyrassol.

[Nouvelle parution] "Juger à hauteur d’homme". Rencontre avec Jean-Pierre Getti.

Sélection Liberalis du week-end : l’âme effervescente de Troyes.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Podcast] Juger le Droit : la Cour de cassation.
- Dans les coulisses des directions juridiques de EDF et L’ORÉAL.
- [Audio] Discussion sur les études privées de Droit.
- [Podcast] Comment défendre la Justice ? Réponse avec l’ancien garde des Sceaux Didier Migaud.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.