Aller au contenu
Regard sur l'actualité

Mises à jour sur la protection des données et considérations clés pour les entreprises

9-07-2025

Accueil / Perspectives / Mises à jour sur la protection des données et considérations clés pour les entreprises

Le Royaume-Uni s'est engagé à maintenir des normes élevées de protection des données pour les individus, et les entreprises peuvent subir de graves répercussions si elles n'adhèrent pas aux lois pertinentes. Toutefois, cet engagement est équilibré par l'objectif d'encourager l'innovation, ce qui est particulièrement évident avec l'introduction de la nouvelle loi sur la protection des données. Loi de 2025 sur les données (utilisation et accès). Dans cette mise à jour, nous aborderons les changements significatifs apportés par cette législation et d'autres mises à jour importantes en matière de protection des données à connaître, afin que votre entreprise reste en conformité.  

Le GDPR britannique et la loi sur la protection des données 2018

Lorsque l'on considère les réglementations britanniques en matière de protection des données, il est essentiel de prendre en compte à la fois le GDPR et le Data Protection Act 2018, qui constituent la pierre angulaire du régime de protection des données du Royaume-Uni. Ces lois dictent la manière dont les données personnelles doivent être stockées, traitées et collectées.

Le GDPR britannique a été introduit à la suite du Brexit et décrit plusieurs principes de traitement des données, notamment la légalité, l'équité et la transparence. Il définit les droits des individus (y compris les droits d'accès et d'effacement) et les règles relatives aux transferts internationaux de données. Il s'applique à toutes les organisations au Royaume-Uni et aux entités à l'étranger qui traitent les données personnelles des individus britanniques.

La loi sur la protection des données de 2018 complète le GDPR britannique et comprend des dispositions telles que des exemptions aux obligations du GDPR britannique dans certains cas.

Loi de 2025 sur l'utilisation et l'accès aux données (DUAA)

La DUAA a reçu la sanction royale le 19 juin 2025 et est mise en œuvre par étapes, certaines dispositions étant déjà en vigueur et d'autres devant l'être au cours de l'année prochaine. La DUAA apporte des changements importants au régime actuel.

Les objectifs de la DUAA sont d'encourager l'innovation, d'améliorer le cadre de protection des données existant au Royaume-Uni et de permettre aux entreprises d'améliorer leurs services tout en maintenant la protection des droits individuels.  

Outre la mise en conformité, évoquée ci-dessous, les organisations doivent réfléchir à la manière dont elles peuvent tirer parti des changements apportés par la loi sur la protection des données. soutien l'innovation.

L'innovation

L'ICO se félicite des changements apportés par le DUAA et note que le DUAA peut aider les entreprises à innover de la manière suivante :

1. Recherche : la clarification du fait qu'un "consentement large" peut être donné pour un domaine de recherche scientifique lorsque des organisations utilisent des informations personnelles à des fins de recherche.

2. Avis de confidentialité : si la fourniture d'un avis de confidentialité pour la réutilisation d'informations à caractère personnel à des fins de recherche scientifique représente un effort disproportionné, les organisations ne devront pas publier un nouvel avis, qui devra toujours être disponible sur le site web de l'organisation et dont les droits seront toujours protégés comme d'habitude.

3. Prise de décision automatisée (ADM) : la possibilité pour les entreprises de s'appuyer sur l'ensemble des bases légales lorsqu'elles utilisent les informations personnelles des personnes pour prendre des décisions automatisées à leur sujet, en utilisant les garanties appropriées.  

4. Cookies : certains types de cookies peuvent être installés sans nécessiter de consentement, par exemple ceux qui sont utilisés pour collecter des informations en vue d'améliorer la fonctionnalité du site web.  

Principaux changements

Les principaux changements apportés par la DUAA sont les suivants :

  • Prise de décision automatisée (ADM) : permet aux organisations de prendre des décisions fondées uniquement sur un traitement automatisé dans des circonstances plus larges, à condition que certaines garanties soient mises en place. Ces garanties comprennent l'information de la personne et le droit à une intervention humaine dans le cadre de la prise de décision. Cependant, il existe des restrictions sur l'ADM pour des catégories spéciales de données.
  • Accès au sujetla règle du "stop the clock", qui permet d'interrompre les délais de réponse si le demandeur a besoin d'informations complémentaires. En outre, lorsqu'une personne demande l'accès à ses données, les organisations ne doivent effectuer que des recherches raisonnables et proportionnées.
  • Intérêts légitimes reconnus : un nouveau motif légitime pour le traitement des données à caractère personnel. Si ce motif légal s'applique, il n'est pas nécessaire de mettre en balance l'impact sur les personnes dont les données à caractère personnel sont utilisées et les avantages. Habituellement, cela se fait par le biais d'une évaluation des intérêts légitimes (Legitimate Interests Assessment - LIA). La DUAA établit une liste de bases pré-approuvées, qui comprend la sécurité nationale, la réponse aux situations d'urgence et la protection des enfants ou des personnes à risque.
  • Protection des données des enfantsLes organisations qui fournissent un service en ligne susceptible d'être utilisé par des enfants doivent réfléchir à la manière d'aider et de protéger les enfants lorsqu'elles envisagent l'utilisation de leurs données à caractère personnel.   
  • Plaintes : l'obligation d'aider les personnes qui souhaitent déposer une plainte concernant le traitement de leurs données à caractère personnel et un délai de réponse (dans les 30 jours et "sans retard injustifié").

Nouveaux pouvoirs de l'ICO

Les entreprises doivent savoir qu'en vertu de la DUAA, l'ICO sera restructuré d'une manière comparable aux autres régulateurs britanniques, avec un PDG et un conseil d'administration. Paul Arnold a été annoncé comme le premier directeur général. Les pouvoirs de l'ICO sont également étendus, avec de nouveaux pouvoirs d'enquête et d'exécution, et la possibilité d'imposer des sanctions pouvant aller jusqu'à 17,5 millions de livres sterling ou 4% du chiffre d'affaires mondial. L'un des nouveaux pouvoirs de l'ICO est la possibilité d'émettre des "avis d'entretien" et des "avis d'information" par lesquels l'ICO évaluera si les dispositions relatives à la protection des données ont été enfreintes. L'ICO devra trouver un équilibre entre ces pouvoirs élargis et ses nouvelles obligations et exigences en matière de rapports.

Il est donc plus important que jamais de s'assurer que les organisations sont conformes et peuvent produire des enregistrements appropriés et justifier leurs processus. En ce qui concerne l'utilisation des systèmes d'IA, les entreprises doivent comprendre les risques associés, la manière d'atténuer ces risques et les problèmes de protection de la vie privée qui pourraient survenir.

L'ICO confirme dans ses orientations qu'il continuera à opérer en tant que "régulateur fiable, équitable et indépendant" et qu'il s'efforcera de continuer à offrir des conseils et des services tout en "réduisant les charges réglementaires" et en encourageant "l'innovation et la croissance".

Garantir la conformité

Comprendre les exigences

Les entreprises devraient passer en revue toutes les dispositions clés et se tenir au courant des changements existants et à venir afin de s'assurer que les politiques et pratiques pertinentes sont mises à jour si nécessaire. Nous suggérons également aux entreprises de lire les conseils appropriés mentionnés ci-dessous et de rester à l'affût des commentaires et conseils ultérieurs (à noter que d'autres conseils de l'ICO seront publiés en temps utile).

Il est essentiel de comprendre quels changements s'appliquent à votre modèle d'entreprise spécifique et quelles parties de votre entreprise seront affectées pour répondre aux exigences.

La DUAA est vaste et il peut être utile de demander un avis juridique pour s'assurer que votre entreprise est en conformité avec les réglementations actuelles en matière de protection des données et qu'elle est prête à faire face aux changements à venir.

Mise à jour des politiques, des contrats, du matériel de formation et des systèmes

Il est également important de déterminer si les documents de formation des employés et les contrats avec les clients doivent être mis à jour. La mise à jour des politiques et des contrats contribuera non seulement à garantir la conformité, mais aussi à renforcer la confiance des clients et à minimiser les risques.

Des exemples spécifiques à l'entreprise sur la manière de mettre à jour les systèmes et les politiques :

  • Mettre en place un système adéquat pour traiter les plaintes relatives à l'utilisation des données, si ce n'est pas déjà fait.
  • Mise en place d'un système adéquat de protection des enfants utilisant des systèmes en ligne.
  • enregistrer et répertorier tous les traitements fondés sur des intérêts légitimes reconnus et mettre à jour les politiques de protection de la vie privée pour en tenir compte.
  • Examiner et enregistrer l'utilisation que fait votre organisation de l'IA dans la prise de décision automatisée, le fonctionnement de ces systèmes, les types de données introduites et le raisonnement qui sous-tend l'utilisation de la prise de décision automatisée.
  • Si vous modifiez vos processus afin d'améliorer l'innovation, mettez à jour les politiques de confidentialité et les contrats pertinents en conséquence.
  • Veiller à ce que les politiques précisent les garanties mises en place en matière de prise de décision automatisée.
  • Envisagez de nommer un délégué à la protection des données (DPD) chargé de superviser les efforts de mise en conformité et de servir de point de contact pour les questions relatives aux données.

Orientations de l'ICO: Les organisations britanniques devraient bénéficier des nouvelles lois sur la protection des données - ICO

Orientations du gouvernement: Loi de 2025 sur les données (utilisation et accès) : changements en matière de protection des données et de la vie privée GOV.UK

Autres nouvelles

23andMe

23andMe, une société de tests génétiques, a été condamnée à une amende de 2,31 millions de livres sterling par l'ICO pour avoir mis en place des mesures de sécurité inadéquates pour protéger les informations personnelles. Cette décision fait suite à une cyberattaque survenue en 2023, qui a entraîné l'exposition des données personnelles (y compris les données génétiques) de plus de 150 000 utilisateurs au Royaume-Uni et de millions d'autres dans le monde. Bien qu'il y ait eu des plaintes pour vol de données au début de l'année 2023, qui ont été rejetées comme n'étant pas légitimes, il n'y a pas eu d'enquête approfondie jusqu'à ce que les données volées soient mises en vente sur Reddit en octobre 2023. Cette affaire souligne l'importance de mettre en place des mesures de sécurité adéquates, telles que l'authentification multifactorielle, et de prendre des précautions supplémentaires lorsque l'on détient des données de catégorie spéciale.

L'UE prolonge de six mois les décisions d'adéquation pour le Royaume-Uni  

La Commission européenne a prolongé de six mois ses décisions d'adéquation concernant les transferts de données avec le Royaume-Uni, qui expirent désormais le 27 décembre 2025. Ce délai permettra de procéder à l'évaluation de la DUAA. Le terme "adéquation" est utilisé par l'UE pour décrire la capacité des pays jugés aptes à fournir un niveau de protection des données "essentiellement équivalent" à celui de l'UE.

Internet des objets - mise à jour des orientations de l'ICO

L'ICO a publié des orientations actualisées concernant le traitement des données à caractère personnel dans les produits de l'Internet des objets (IdO) destinés aux consommateurs, et la manière dont la loi britannique sur la protection des données et le règlement de 2003 sur la protection de la vie privée et les communications électroniques (Privacy and Electronic Communications Regulations 2003) sont appliqués. Les types de produits IoT grand public comprennent les ampoules intelligentes et les montres intelligentes. Voir le guide complet ici : A propos de ce guide | ICO.

Nouvelles lois brésiliennes sur l'IA

Le Brésil propose un projet de loi sur la réglementation de l'IA qui est axé sur le risque et l'établissement des droits individuels. Il considère certains systèmes d'IA comme présentant un risque excessivement élevé, par exemple ceux qui sont mis en place à des fins de "notation sociale" (utilisation de l'IA pour attribuer aux individus une valeur basée sur leur valeur en les surveillant, détermination de vos droits).

Comment nous pouvons vous aider

Nous pouvons vous aider à comprendre comment les lois britanniques sur les données affectent votre entreprise et comment protéger au mieux votre organisation. Si vous avez besoin d'une révision ou d'une mise à jour de vos politiques et contrats, n'hésitez pas à contacter notre équipe.

Auteur

image de la personne clé

Olivia Crolla

Avocat associé

Téléphone :

+442039478891

Courriel

o.crolla@rfblegal.co.uk
logo linkedin LinkedIn

Nous contacter

    Le cabinet dispose d'avocats exceptionnels à tous les niveaux. Lorsque vous faites appel à un avocat de RFB, vous sentez toute la force de l'équipe qui vous soutient.

    The Legal 500 (en anglais)

    (2024)

    RFB offre des services du cercle magique sans pratiquer les tarifs du cercle magique.

    The Legal 500 (en anglais)

    (2024)

    Il s'agit de l'équipe d'avocats la plus dévouée, la plus motivée et la plus passionnée avec laquelle j'ai eu le plaisir de travailler.

    The Legal 500 (en anglais)

    (2024)

    Ronald Fletcher Baker fournit des services de contentieux immobilier extrêmement déterminés et motivés, avec une attitude axée sur le client. L'équipe de contentieux est bien motivée, structurée et superbement supervisée.

    The Legal 500 (en anglais)

    (2024)

    Très compétents, bien informés et enthousiastes, ils se mettent en quatre pour leurs clients, bien plus que la moyenne des cabinets. J'aime travailler avec eux, car ils ont souvent des idées et des angles inhabituels pour résoudre un problème. Ils travaillent bien en interne et complètent les avocats pour assurer une représentation efficace en matière de litiges immobiliers et de litiges entre propriétaires et locataires.

    The Legal 500 (en anglais)

    (2024)

    Très sympathique et serviable. Temps de réponse rapide et clarté de chaque étape. Il m'a proposé des options et des alternatives et m'a donné l'impression que j'étais en mesure d'examiner mes choix et de prendre des décisions en connaissance de cause.

    The Legal 500 (en anglais)

    (2024)

Prenons les choses en main

Prenez contact avec nous pour obtenir des solutions juridiques inégalées. Notre équipe dévouée est prête à vous aider. Prenez contact avec nous dès aujourd'hui et faites l'expérience de l'excellence dans chaque interaction.

Appelez-nous Envoyez-nous un courriel

Formulaire de contact
Si vous souhaitez qu'un membre de notre personnel vous contacte, veuillez remplir le formulaire ci-dessous.

Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.
Quel bureau de l'appel d'offres souhaitez-vous contacter ?

Articles en vedette

Explorez les dernières informations juridiques de RFB. Restez informé grâce à des analyses d'experts qui vous guident dans le paysage juridique dynamique.

Visitez la section Insights