Le statut d’adéquation du Royaume-Uni, initialement accordé en juin 2021, a été prorogé jusqu’au 27 décembre 2025 afin de permettre au législateur britannique de finaliser un vaste mouvement de réformes, notamment autour du Retained EU Law (Revocation and Reform) Act 2023 [1] et du Data (Use and Access) Act 2025 (DUAA) [2]. Dans cette perspective, la Commission européenne a sollicité le 22 juillet 2025 l’avis du CEPD [3] sur un projet de décision prolongeant l’adéquation jusqu’au 21 décembre 2031, tant pour les traitements régis par le RGPD [4] que pour ceux relevant de la directive (UE) 2016/680.
Les deux avis adoptés le 16 octobre 2025 confirment qu’un niveau globalement équivalent de protection demeure assuré au Royaume-Uni. Toutefois, le CEPD attire l’attention sur plusieurs inflexions structurelles du droit britannique : modification du test d’adéquation applicable aux transferts internationaux, recul de références juridiques fondamentales issues du droit de l’Union, réorganisation de l’autorité de contrôle, élargissement des pouvoirs de surveillance étatique ou encore assouplissement du cadre de la décision automatisée.
L’analyse qui suit propose une lecture pratique de ces avis, destinée aux juristes, avocats, DPO et responsables conformité amenés à sécuriser leurs flux de données vers le Royaume-Uni.
I. Un maintien de l’adéquation placé sous le signe d’une convergence encore suffisante mais fragilisée par les réformes du droit britannique.
1. La disparition de la primauté et des principes généraux du droit de l’Union.
Le Retained EU Law Act 2023 marque une rupture majeure : suppression de la primauté du droit de l’Union, disparition des principes généraux du droit de l’UE et fin de la référence à la Charte des droits fondamentaux.
Le CEPD demande à la Commission d’examiner plus précisément les conséquences de cette transformation de l’ordre juridique britannique. Si certaines garanties législatives préservent la supériorité du « main data protection legislation », deux exceptions permettent au Parlement ou à certaines dispositions du Data Protection Act (DPA) [5] de prévaloir sur le UK GDPR. Cette évolution constitue un facteur d’incertitude pour l’avenir de l’équivalence.
2. Un droit en recomposition : nouvelles prérogatives du Secretary of State.
Le DUAA confère au Secretary of State un pouvoir réglementaire large et peu encadré pour modifier par voie secondaire des éléments clé : régime des transferts, décision automatisée, gouvernance de l’autorité de contrôle.
Le CEPD invite la Commission à identifier explicitement ces zones de risque et à assurer un suivi renforcé lors des réexamens périodiques prévus à l’article 45(4) RGPD.
II. Des évolutions substantielles suscitant des réserves : transfert international, décision automatisée et pouvoirs des autorités publiques.
1. Un nouveau test d’adéquation moins exigeant pour les transferts internationaux.
Le nouveau test britannique vise un niveau de protection « non substantiellement inférieur » à celui garanti par la loi nationale. Plusieurs critères essentiels de l’ancien dispositif ont été retirés :
- encadrement de l’accès des autorités publiques du pays tiers,
- existence de recours effectifs,
- présence d’une autorité de contrôle indépendante.
Ce changement risque d’autoriser des transferts vers des environnements dont les garanties se situent en deçà des standards européens. Le CEPD recommande une analyse spécifique par la Commission et un suivi étroit de la mise en œuvre pratique.
2. Une approche plus permissive de la décision automatisée.
Le Royaume-Uni abandonne l’approche restrictive du RGPD fondée sur une interdiction de principe.
Pour les données non sensibles, la prise de décision entièrement automatisée devient possible, sous réserve de garanties telles qu’une intervention humaine sur demande ou la possibilité pour la personne concernée de présenter des observations.
Le CEPD appelle à surveiller la portée réelle de ces « garanties », ainsi que les futurs règlements que le Secretary of State pourrait adopter pour définir ce qui constitue une intervention humaine « significative ».
3. Des pouvoirs renforcés des autorités publiques : surveillance, exemptions et accès aux données.
Plusieurs aspects attirent une vigilance particulière :
- l’Investigatory Powers Act 2016 [6], notamment la faculté d’ordonner la levée du chiffrement, susceptible de générer des vulnérabilités systémiques ;
- la notion d’« attente faible ou inexistante en matière de vie privée », introduite pour justifier des traitements de masse ;
- les limites persistantes du UK-US Cloud Act Agreement [7] par rapport aux garanties existant dans l’« Umbrella Agreement » UE–États-Unis.
S’agissant de la directive Police-Justice, les exemptions fondées sur la sécurité nationale couvrent désormais une partie des principes fondamentaux, des règles de transfert international et même des pouvoirs d’enquête de l’autorité de contrôle. Le CEPD souligne la nécessité de contrôler étroitement ces dérogations au regard des exigences de nécessité et proportionnalité.
III. Une gouvernance de la protection des données à surveiller : restructuration de l’ICO et effectivité des recours.
1. L’Information Commissioner’s Office : vers une gouvernance collégiale.
L’ICO [8] devient une « Information Commission » structurée autour d’un board.
Le CEPD n’y voit pas en soi une atteinte à l’indépendance, mais demande une analyse plus détaillée des modalités de nomination, de révocation et de prévention des conflits d’intérêts, essentiels pour évaluer la robustesse du contrôle.
2. Le traitement des plaintes et la portée réelle des pouvoirs correctifs.
Une consultation publiée après la décision de la Commission prévoit un système de triage des plaintes, laissant aux organisations une responsabilité accrue pour traiter les réclamations en première ligne.
Le CEPD demande un suivi spécifique afin de s’assurer que les droits des personnes restent effectifs et que les sanctions conservent un caractère dissuasif.
Conclusion.
Les avis rendus le 16 octobre 2025 confirment que le Royaume-Uni peut, à ce stade, continuer à être considéré comme offrant un niveau adéquat de protection au sens de l’article 45 RGPD et de la directive « Police-Justice ». Pour autant, cette adéquation repose désormais sur un équilibre plus fragile qu’en 2021, en raison d’un droit britannique en mutation rapide et doté de marges d’adaptation substantielle par voie réglementaire.
Les organisations européennes peuvent donc maintenir leurs transferts de données vers le Royaume-Uni sans formalité supplémentaire, mais doivent s’attendre à une surveillance accrue de la Commission et du CEPD au cours des six années à venir. Pour les praticiens, l’enjeu sera de suivre l’évolution des dispositifs britanniques, notamment en matière de transferts internationaux, d’accès gouvernemental aux données et de décision automatisée, afin d’anticiper toute réévaluation du statut d’adéquation.
