Fait partie de notre série Compliance & Regulation
Lire le guide completProtection des données au Royaume-Uni après le Brexit : RGPD vs RGPD britannique
Le Brexit a fondamentalement modifié le paysage de la protection des données au Royaume-Uni. Depuis le 1er janvier 2021, le Royaume-Uni a quitté le cadre juridique de l'UE et le RGPD de l'UE a cessé de s'appliquer directement. Le Royaume-Uni a conservé le RGPD de l'UE dans son droit national sous le nom de « RGPD du Royaume-Uni » (en vertu de la loi de 2018 sur l'Union européenne (retrait), complété par la loi de 2018 sur la protection des données (DPA 2018). Le résultat est un cadre substantiellement similaire au RGPD de l’UE, mais avec des différences importantes – et une relation d’adéquation fragile entre le Royaume-Uni et l’UE que les entreprises doivent surveiller de près.
Comprendre les différences exactes entre le RGPD britannique et le RGPD européen, et gérer la double conformité pour les entreprises opérant dans les deux juridictions, est essentiel pour les entreprises basées au Royaume-Uni et les entreprises internationales exposées au Royaume-Uni et à l'UE.
Points clés à retenir
- Le RGPD du Royaume-Uni est dérivé du RGPD de l'UE mais constitue désormais une loi nationale distincte — le RGPD de l'UE ne s'applique plus directement au Royaume-Uni.
- L'UE a accordé au Royaume-Uni des décisions d'adéquation en juin 2021, autorisant les flux de données UE → Royaume-Uni – mais elles sont soumises à une clause d'extinction et à un réexamen périodique.
- Flux de données Royaume-Uni → UE : le Royaume-Uni a également accordé aux pays de l'UE l'adéquation en vertu de la loi britannique, autorisant les flux de données UE → Royaume-Uni dans le cadre du RGPD britannique
- Principales différences : le RGPD britannique a différents CCT, différents mécanismes de transfert, une supervision de l'ICO (et non de l'EDPB) et des positions évolutives spécifiques au Royaume-Uni.
- La loi de 2025 sur la protection des données et les informations numériques (DPDI) a réformé le RGPD britannique — les changements incluent des intérêts légitimes assouplis, de nouveaux intérêts légitimes reconnus et une tenue de registres simplifiée.
- Les amendes de l'ICO atteignent 17,5 millions de livres sterling, soit 4 % du chiffre d'affaires mondial — même structure que le RGPD de l'UE
- Les entreprises soumises à la fois au RGPD britannique et au RGPD européen doivent satisfaire aux deux cadres indépendamment
Le cadre britannique de protection des données après le Brexit
RGPD britannique et loi sur la protection des données de 2018
Le cadre de protection des données du Royaume-Uni comprend deux instruments principaux :
RGPD du Royaume-Uni : le RGPD de l'UE tel que retenu dans la loi britannique, modifié par le DPA 2018 et les instruments réglementaires ultérieurs. Il préserve les six bases juridiques, les droits des personnes concernées, le cadre du contrôleur/sous-traitant, les exigences DPIA et les obligations DPO du RGPD de l'UE avec quelques modifications spécifiques au Royaume-Uni.
Loi sur la protection des données 2018 : complète le RGPD britannique par :
- Mettre en œuvre des dérogations spécifiques au Royaume-Uni (par exemple, pour les forces de l'ordre, la sécurité nationale, le journalisme)
- Établir les pouvoirs et le rôle de l'ICO
- Fournir des conditions supplémentaires pour le traitement de catégories particulières de données
- Fixation des exigences DPO pour les autorités publiques
- Créer le cadre pour les infractions pénales et leur application
Loi de 2025 sur la protection des données et les informations numériques (DPDI) : une réforme importante qui a modifié le RGPD britannique, introduisant des dispositions plus flexibles pour le traitement des affaires, des dispositions assouplies sur les intérêts légitimes, des « intérêts légitimes reconnus » (nouvelle catégorie évitant le test de mise en balance), des exigences DPIA simplifiées et un nouveau cadre réglementaire pour les services d'identité numérique.
Différences clés : RGPD britannique et RGPD européen
| Zone | RGPD UE | RGPD britannique (tel que modifié par DPDI) |
|---|---|---|
| Autorité de contrôle | APD nationales + coordination EDPB | ICO (unique autorité britannique, pas d'adhésion à l'EDPB) |
| Seuil obligatoire DPO | Pouvoirs publics + surveillance systématique à grande échelle ou catégories particulières | Même seuil mais « individu ou équipe désigné » acceptable |
| Intérêts légitimes | Test en trois parties requis (objectif, nécessité, équilibrage) | Idem, plus une nouvelle catégorie « intérêts légitimes reconnus » évitant un test de mise en balance complet |
| Intérêts légitimes reconnus | Aucun | Nouvelle catégorie à des fins commerciales spécifiques, notamment : marketing direct, transferts intragroupe, sécurité des réseaux, surveillance des employés à des fins de protection |
| Exigence DPIA | Traitement à haut risque (article 35) | Retenu mais DPDI crée un concept « d'évaluation des risques élevés » avec des directives mises à jour |
| Tenue de dossiers | Toutes les organisations de plus de 250 employés ou de traitement à haut risque | Exigences simplifiées dans le cadre du DPDI pour les petites organisations |
| Mécanisme de transfert : SCC | EU SCCs (juin 2021, trois modules) | Accords internationaux de transfert de données (IDTA) — SCC spécifiques au Royaume-Uni |
| Mécanisme de transfert : TIA | Évaluation de l'impact du transfert requise | Pas explicitement requis (mais l'ICO recommande une évaluation des risques) |
| Décisions d'adéquation | Processus EDPB/Commission | Évaluation ICO + désignation du secrétaire d'État |
| Mécanisme de guichet unique | Autorité de contrôle principale pour les opérations de l'UE | Pas d'équivalent – ICO a juridiction sur les entités établies au Royaume-Uni |
| Consentement aux cookies | Directive ePrivacy (distincte du RGPD) | PECR 2003 (distincte du RGPD britannique) ; réforme sous DPDI |
Statut d'adéquation au Royaume-Uni et transferts de données UE → Royaume-Uni
Décisions d'adéquation de l'UE pour le Royaume-Uni (juin 2021)
La Commission européenne a accordé au Royaume-Uni deux décisions d'adéquation le 28 juin 2021 :
- Décision d'adéquation en vertu du RGPD de l'UE : permet la libre circulation des données personnelles de l'UE/EEE vers le Royaume-Uni sans nécessiter de mécanismes de transfert supplémentaires.
- Décision d'adéquation en vertu de la directive relative à l'application des lois : permet le partage de données relatives aux forces de l'ordre
La clause d'extinction : les décisions d'adéquation de l'UE pour le Royaume-Uni contiennent une clause d'extinction de quatre ans — elles expirent le 27 juin 2025, à moins qu'elles ne soient renouvelées. La Commission européenne a procédé à un examen et a indiqué son intention de renouveler, mais le processus de renouvellement et les conditions qui y sont attachées sont soumis à l'évolution politique et juridique.
Risques pour la relation d'adéquation UE → Royaume-Uni :
- La divergence entre la loi britannique sur la protection des données et le RGPD (via la loi DPDI et une future réforme) pourrait déclencher un examen par la Commission
- La législation britannique en matière de surveillance et les pratiques de collecte massive de données ont été des domaines soumis à un examen minutieux de l'UE.
- Toute décision de justice britannique ou toute modification législative réduisant considérablement les normes de protection des données pourrait inciter la Commission à suspendre l'adéquation
Implication pratique : les entreprises qui comptent sur l'adéquation du Royaume-Uni pour les flux de données UE → Royaume-Uni devraient disposer d'un plan d'urgence (IDTA ou BCR britanniques) si l'adéquation était retirée ou suspendue, même si un renouvellement semble probable.
Royaume-Uni → Flux de données de l'UE
En vertu des dispositions relatives aux transferts internationaux du RGPD britannique, le secrétaire d'État britannique a accordé des réglementations adéquates pour les pays de l'UE/EEE, ce qui signifie que les données personnelles peuvent circuler du Royaume-Uni vers les pays de l'UE/EEE sans mécanismes de transfert supplémentaires.
Accords internationaux de transfert de données (IDTA)
Pour les transferts du Royaume-Uni vers des pays sans décision d'adéquation du Royaume-Uni, le RGPD britannique exige des garanties appropriées. L'ICO a publié l'Accord international de transfert de données (IDTA) et un Addendum IDTA aux SCC de l'UE en mars 2022, remplaçant les anciennes clauses modèles pour les transferts au Royaume-Uni.
Principales fonctionnalités IDTA :
- Clauses contractuelles types spécifiques au Royaume-Uni couvrant les quatre scénarios du module EU SCC (C2C, C2P, P2P, P2C) dans un seul document
- Cadre « d'évaluation des risques » (plutôt que le TIA obligatoire de l'UE SCC)
- Définitions spécifiques au Royaume-Uni et références aux autorités de contrôle
- Mentions obligatoires qui ne doivent pas être modifiées ; clauses facultatives disponibles
Addendum IDTA aux SCC de l'UE : permet aux entreprises d'utiliser les SCC de l'UE comme base pour les transferts au Royaume-Uni en ajoutant un addendum qui les adapte aux besoins du Royaume-Uni. Il s’agit de l’approche privilégiée par de nombreuses entreprises multinationales qui ont déjà mis en œuvre les SCC de l’UE et souhaitent couvrir les transferts au Royaume-Uni sans documentation distincte.
Transition des SCC de l'UE : L'ICO a prolongé le délai de mise à jour des anciens contrats SCC de l'UE vers les IDTA britanniques — les entreprises qui ont conclu des contrats SCC de l'UE avant le 21 septembre 2022 avaient jusqu'au 21 mars 2024 pour les remplacer par des IDTA britanniques (prolongé par les directives de l'ICO).
Sélection du mécanisme de transfert approprié :
| Scénario | Mécanisme de transfert britannique |
|---|---|
| Royaume-Uni → UE/EEE | Règlements d'adéquation — aucun mécanisme supplémentaire n'est nécessaire |
| Royaume-Uni → États-Unis | IDTA britannique ou addendum IDTA aux SCC de l'UE (accord d'accès aux données entre les États-Unis et le Royaume-Uni pour l'application de la loi) |
| Royaume-Uni → autres pays adéquats | Aucun mécanisme supplémentaire n'est nécessaire |
| Royaume-Uni → pays non adéquats | IDTA britannique ou addendum IDTA |
| Intragroupe | IDTA britannique, addendum IDTA ou BCR |
Pouvoirs et approche d'application de l'ICO
Le Information Commissioner's Office (ICO) est l'autorité indépendante de contrôle de la protection des données du Royaume-Uni. Après le Brexit, l'ICO ne fait plus partie de l'EDPB et agit de manière indépendante à tous égards.
Pouvoirs d'application de l'ICO :
- Émettre des avis d'information obligeant les organisations à fournir des informations
- Émettre des avis de cotisation (audits)
- Émettre des avis d'exécution (nécessitant des actions de conformité)
- Émettre des avis de pénalité :
- Niveau inférieur : jusqu'à 8,7 millions de livres sterling ou 2 % du chiffre d'affaires annuel mondial (selon le montant le plus élevé) – pour les violations les moins graves
- Niveau supérieur : jusqu'à 17,5 millions de livres sterling ou 4 % du chiffre d'affaires annuel mondial (selon le montant le plus élevé) – pour les violations les plus graves
- Poursuites pénales pour délits délibérés liés aux données (en vertu de la DPA 2018, partie 3 et infractions)
Approche d'application de l'ICO : L'ICO a historiquement adopté une approche proportionnée et basée sur les risques : elle s'engage auprès des organisations par le biais de réprimandes et de conseils informels avant de passer aux amendes. Cependant, l'ICO a infligé des amendes importantes : 20 millions de livres sterling à British Airways (plus tard réduites à 20 millions de livres sterling en appel), 18,4 millions de livres sterling à Marriott International et plusieurs amendes à sept chiffres aux autorités publiques.
Loi post-DPDI : La loi DPDI 2025 a modifié le cadre de l'ICO, en introduisant un « objectif principal » visant à promouvoir une économie numérique florissante parallèlement à la protection des données, et en créant un code de bonnes pratiques statutaire pour une IA responsable. Cela témoigne d’une approche réglementaire un peu plus favorable à l’innovation qu’avant le DPDI.
Double conformité : RGPD britannique et RGPD européen
Pour les entreprises soumises à la fois au RGPD britannique et au RGPD européen – la situation la plus courante pour les entreprises basées au Royaume-Uni ayant des activités dans l’UE – la gestion de la double conformité nécessite une conception minutieuse du programme.
Structure pour une double conformité :
-
Entités juridiques distinctes : si vos opérations au Royaume-Uni et dans l'UE sont des entités juridiques distinctes, chacune possède sa propre autorité de surveillance (ICO pour le Royaume-Uni, DPA nationale compétente pour l'UE) et doit maintenir des programmes de conformité distincts.
-
Base politique commune : le RGPD du Royaume-Uni et le RGPD de l'UE partagent environ 95 % de leurs exigences de fond. Un programme unique et complet de protection de la vie privée couvrant toutes les exigences des deux peut être construit, avec des couches spécifiques au Royaume-Uni et à l'UE par-dessus.
-
Mécanismes de transfert : les transferts Royaume-Uni → UE utilisent les réglementations d'adéquation du Royaume-Uni (aucun mécanisme n'est nécessaire actuellement). Les transferts UE → Royaume-Uni utilisent la décision d’adéquation de l’UE pour le Royaume-Uni (aucun mécanisme n’est nécessaire actuellement). Les transferts internes entre le Royaume-Uni et d’autres pays nécessitent des IDTA britanniques. Les transferts internes entre l’UE et d’autres pays nécessitent des SCC de l’UE
-
Autorité de contrôle principale : en vertu du RGPD de l'UE, les opérations de l'UE peuvent désigner une autorité de contrôle principale pour le traitement transfrontalier de l'UE via le mécanisme de guichet unique. Cela ne s'applique pas au Royaume-Uni – ICO supervise toutes les entités établies au Royaume-Uni
-
Avis de confidentialité : conservez des avis de confidentialité séparés ou distinguez clairement les bases juridiques du Royaume-Uni et de l'UE, les informations de contact (DPO, représentant du Royaume-Uni, représentant de l'UE) et les références des autorités de surveillance.
-
Nomination du DPD : Si cela est requis dans les deux cadres, un seul DPO peut servir les deux juridictions. Les coordonnées du DPD dans les avis de confidentialité du Royaume-Uni doivent faire référence aux obligations du Royaume-Uni ; Les avis de l’UE doivent faire référence aux obligations de l’UE
Considérations relatives à la protection des données spécifiques au Royaume-Uni
PECR (Règlement sur la confidentialité et les communications électroniques de 2003)
UK PECR régit les cookies, le marketing électronique et les données de trafic/localisation. Il est distinct du RGPD britannique et n'a pas été mis à jour par la loi DPDI, bien que la réforme soit en cours. Exigences clés du PECR :
- Consentement aux cookies : consentement clairement éclairé requis pour les cookies non essentiels
- Marketing par e-mail/SMS : consentement opt-in requis pour les particuliers ; opt-out (soft opt-in) disponible lorsqu'il existe une relation client existante et des produits identiques/similaires
- Appels à froid : interdits vers les numéros du Service de Préférence Téléphonique (TPS) ; les entreprises peuvent s'inscrire au TPS Entreprises
Données biométriques (catégorie spéciale en vertu du RGPD britannique)
Les données biométriques traitées pour identifier de manière unique des individus constituent une catégorie spéciale en vertu du RGPD britannique. L'annexe 1 du DPA 2018 prévoit des conditions spécifiques pour le traitement de catégories spéciales, notamment le consentement explicite et les conditions du droit du travail.
Représentant au Royaume-Uni pour les contrôleurs établis hors du Royaume-Uni
En vertu de l'article 27 du RGPD britannique, les responsables du traitement et les sous-traitants non établis au Royaume-Uni mais soumis au RGPD britannique (parce qu'ils offrent des biens/services à des particuliers britanniques ou surveillent le comportement de particuliers britanniques) doivent nommer un représentant britannique. Il s’agit d’un rôle autonome du DPD et peut être une personne physique ou morale.
Liste de contrôle de conformité à la protection des données au Royaume-Uni
- Déterminez si le RGPD britannique, le RGPD européen ou les deux s'appliquent à votre organisation.
- Représentant britannique nommé s'il est établi en dehors du Royaume-Uni et soumis au RGPD britannique
- Avis de confidentialité mis à jour pour faire référence au RGPD britannique, à l'ICO et aux droits spécifiques au Royaume-Uni
- UK IDTA ou IDTA Addendum mis en œuvre pour les transferts du Royaume-Uni vers des pays non adéquats
- Mécanisme de transfert UE → Royaume-Uni révisé (s'appuyant actuellement sur l'adéquation de l'UE au Royaume-Uni — surveiller les changements)
- DPO nommé si requis par le RGPD britannique ; coordonnées publiées
- Registre des activités de traitement tenu (article 30 du RGPD du Royaume-Uni)
- DPIA réalisées pour les activités de traitement à haut risque
- Évaluations des intérêts légitimes documentées lorsque les intérêts légitimes constituent la base juridique
- Conformité PECR examinée : consentement aux cookies, mécanismes d'adhésion au marketing électronique
- Formation du personnel terminée sur les obligations du Royaume-Uni en matière de RGPD
- Procédure de notification des violations : notification sous 72 heures à l'ICO, notification individuelle pour les violations à haut risque
- Procédures relatives aux droits des personnes concernées mises en œuvre (délai du RGPD au Royaume-Uni : un mois)
- Les anciens contrats SCC de l'UE examinés et mis à jour vers les IDTA britanniques si nécessaire
Questions fréquemment posées
Le RGPD de l'UE est-il toujours applicable au Royaume-Uni après le Brexit ?
Non. Le RGPD de l'UE a cessé de s'appliquer directement au Royaume-Uni le 1er janvier 2021. Cependant, le Royaume-Uni a conservé le RGPD de l'UE comme droit national sous la forme du « RGPD du Royaume-Uni », qui est substantiellement similaire mais qui constitue désormais une loi britannique distincte. Si vous traitez des données personnelles de personnes physiques de l'UE/EEE ou si vous avez un établissement basé dans l'UE, le RGPD de l'UE continue de s'appliquer à ces aspects de votre entreprise, quel que soit le Brexit.
Ai-je besoin d'un DPO distinct pour les opérations au Royaume-Uni et dans l'UE ?
Un seul DPD peut remplir à la fois les obligations du Royaume-Uni et de l’UE, à condition qu’il ait une connaissance suffisante des deux cadres et qu’il soit accessible aux personnes concernées et aux autorités de contrôle des deux juridictions. Les coordonnées du DPD doivent être publiées dans les avis de confidentialité des deux juridictions, et le DPD doit connaître les directives spécifiques au Royaume-Uni de l'ICO ainsi que les directives de l'EDPB concernant les obligations de l'UE.
Que se passe-t-il si l'UE retire l'adéquation du Royaume-Uni ?
Les flux de données UE → Royaume-Uni nécessiteraient un mécanisme de transfert alternatif – généralement des SCC de l’UE. Les entreprises devraient signer des clauses contractuelles types de l’UE pour les transferts UE → Royaume-Uni et mener des évaluations d’impact des transferts. Cela serait important sur le plan opérationnel, mais gérable pour les entreprises qui ont prévu des imprévus. Les perturbations pratiques seraient plus importantes pour les entreprises qui s'appuient sur des flux de données informels (données des employés, infrastructure cloud partagée entre les entités de l'UE et du Royaume-Uni) sans documentation formelle de transfert.
Que sont les « intérêts légitimes reconnus » en vertu de la loi DPDI ?
La loi DPDI 2025 a introduit les « intérêts légitimes reconnus » – une nouvelle catégorie de finalités de traitement qui ne nécessitent pas le test complet de mise en balance des intérêts légitimes en trois parties en vertu du RGPD britannique. Les intérêts légitimes reconnus comprennent : le marketing direct par l’organisation qui a collecté les données ; transferts intragroupe à des fins administratives; à des fins de sécurité des réseaux et des informations ; surveillance et gestion des employés pour la sécurité et la conformité légale. Les entreprises peuvent s'y fier sans documenter de test d'équilibrage formel, simplifiant ainsi la conformité pour ces cas d'utilisation spécifiques.
Comment la protection des données au Royaume-Uni s'applique-t-elle aux citoyens britanniques vivant à l'étranger ?
Le RGPD britannique protège les individus au Royaume-Uni – il n'est pas lié à la citoyenneté ou à la nationalité britannique. Un citoyen de l’UE vivant au Royaume-Uni est protégé par le RGPD britannique. Un citoyen britannique vivant en France est protégé par le RGPD de l'UE appliqué en France. Les lois sont territoriales dans leur application première et non fondées sur la citoyenneté. Les données des citoyens britanniques ne sont pas intrinsèquement soumises au RGPD britannique lorsqu'elles se trouvent en dehors du Royaume-Uni, à moins que le responsable du traitement/sous-traitant soit établi au Royaume-Uni ou qu'il cible des individus britanniques.
Au Royaume-Uni, les cookies sont-ils régis par le RGPD ou le PECR ?
Les cookies sont principalement régis par le Règlement sur la confidentialité et les communications électroniques de 2003 (PECR) au Royaume-Uni, et non directement par le RGPD du Royaume-Uni. PECR nécessite des informations claires sur les cookies et un consentement pour les cookies non essentiels. Le RGPD britannique s'applique aux données personnelles collectées via les cookies (où les cookies traitent les données personnelles). Les deux cadres doivent être satisfaits simultanément : PECR régit le placement des cookies ; Le RGPD britannique régit le traitement ultérieur des données personnelles collectées.
Prochaines étapes
Le paysage de la protection des données au Royaume-Uni après le Brexit est plus complexe que ne le prévoyaient de nombreuses entreprises, en particulier pour celles qui opèrent simultanément dans les juridictions du Royaume-Uni et de l’UE. Suivre le rythme des orientations de l'ICO, des réformes de la loi DPDI et de la relation d'adéquation avec l'UE nécessite une attention continue.
ECOSIRE aide les entreprises à concevoir et à maintenir des programmes de conformité doubles Royaume-Uni/UE, à mettre en œuvre des mécanismes de transfert de données internationaux appropriés et à intégrer la confidentialité dès la conception dans leurs plates-formes technologiques.
En savoir plus : Services ECOSIRE
Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. La loi britannique sur la protection des données évolue grâce à la législation et aux directives de l'ICO. Consultez un conseiller juridique britannique qualifié pour obtenir des conseils spécifiques à votre organisation.
Rédigé par
ECOSIRE Research and Development Team
Création de produits numériques de niveau entreprise chez ECOSIRE. Partage d'analyses sur les intégrations Odoo, l'automatisation e-commerce et les solutions d'entreprise propulsées par l'IA.
Articles connexes
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Plus de Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.