Loading…
Si vous vous êtes déjà demandé si vous pouviez copier-coller votre programme RGPD de l'UE au Royaume-Uni, la réponse courte est : en grande partie, avec trois exceptions substantielles. Depuis le 1er janvier 2021, le Royaume-Uni applique le UK GDPR aux côtés du Data Protection Act 2018, avec l'Information Commissioner's Office (ICO) comme seule autorité. Le Data (Use and Access) Act 2025 a éloigné un peu plus le Royaume-Uni du cadre de l'UE — et une décision d'adéquation de l'UE maintient le flux de données UE↔UK ouvert au moins jusqu'en 2025.
| Dimension | 🇬🇧 UK GDPR | 🇪🇺 RGPD de l'UE |
|---|---|---|
| Instrument juridique | UK GDPR (le RGPD de l'UE conservé tel que modifié) + Data Protection Act 2018 + Data (Use and Access) Act 2025 | Règlement (UE) 2016/679 |
| Date d'entrée en vigueur dans sa forme actuelle | 1er janvier 2021 (post-Brexit) | 25 mai 2018 |
| Régulateur | Information Commissioner's Office (ICO) — une seule autorité | 27 autorités de protection des données des États membres de l'UE + EDPB |
| Amende maximale | 17,5 M£ ou 4 % du chiffre d'affaires mondial (le montant le plus élevé) | 20 M€ ou 4 % du chiffre d'affaires mondial |
| Amende de palier inférieur | 8,7 M£ ou 2 % du chiffre d'affaires mondial | 10 M€ ou 2 % du chiffre d'affaires mondial |
| Représentant au titre de l'article 27 | Représentant UK distinct requis pour les responsables de traitement/sous-traitants hors Royaume-Uni | Représentant UE requis pour les responsables de traitement/sous-traitants hors UE |
| Transferts internationaux — instruments | UK IDTA, addendum UK aux SCCs de l'UE, BCRs, adéquation | SCCs de l'UE, BCRs, adéquation |
| Adéquation du Royaume-Uni à l'égard de l'UE | Oui — l'UE est considérée comme adéquate | L'adéquation de l'UE à l'égard du Royaume-Uni est valable au moins jusqu'au 27 juin 2025 (avec des dispositions de prolongation) |
| Âge du consentement des enfants | 13 ans (Royaume-Uni) — différent de la valeur par défaut de l'UE de 16 ans | 16 ans (les États membres peuvent l'abaisser à 13 ans) |
| Age Appropriate Design Code | Oui — code statutaire de l'ICO (15 normes) | Aucun équivalent direct au niveau de l'UE |
| PECR / ePrivacy | PECR — le régime ePrivacy du Royaume-Uni régit les cookies, le marketing et les données de trafic | Directive ePrivacy (transpositions par les États membres) ; règlement ePrivacy en attente |
| Réformes DPDI / DUA Act | Data (Use and Access) Act 2025 : réformes ciblées — prise de décision automatisée, recherche, traitement par les organismes caritatifs, dispositifs de smart data, identité numérique | Non directement applicable ; l'UE poursuit des actes sectoriels (AI Act, Data Act, DSA, DMA) |
| Droit à la portabilité des données | Article 20 — identique à l'UE | Article 20 |
| Droit de s'opposer aux décisions automatisées | Article 22 — les modifications proposées par le DPDI n'ont jamais été adoptées dans leur rédaction initiale | Article 22 — strict |
| Exigences relatives au DPO | Article 37 — pas de seuil distinct ; responsabilité de la direction au titre du DUAA | Article 37 — obligatoire dans des cas définis |
| Autorité de contrôle chef de file | ICO (unique) | Mécanisme du guichet unique de l'EDPB couvrant 27 autorités de contrôle |
| Notification des violations | 72 heures à l'ICO (identique à l'UE) | 72 heures à l'autorité de contrôle chef de file |
| Réponse aux demandes d'accès des personnes concernées | 1 mois + prolongation de 2 mois (identique à l'UE) | 1 mois + prolongation de 2 mois |
| Données de catégorie particulière (art. 9) | L'annexe 1 du DPA 2018 ajoute des conditions de traitement en matière d'emploi, de santé publique et de recherche | Article 9 + droit des États membres |
| Cadre du secteur public | DPA 2018 partie 3 (application de la loi) + partie 4 (services de renseignement) | Directive 2016/680 relative à l'application de la loi (distincte du RGPD) |
Oui. Depuis le Brexit, l'UE et le Royaume-Uni sont des juridictions distinctes au regard de l'article 27. Un responsable de traitement hors UE/hors Royaume-Uni qui offre des services à des personnes dans les deux régions a besoin à la fois d'un Représentant UE et d'un Représentant UK — ils peuvent être coordonnés par un seul prestataire mais doivent être des entités juridiquement distinctes.
Elle fait l'objet de discussions politiques depuis les propositions DPDI. La décision d'adéquation actuelle (juin 2021) est valable au moins jusqu'au 27 juin 2025, avec des dispositions de prolongation. La Commission surveille les réformes britanniques — une divergence majeure (modifications à grande échelle des droits des personnes concernées, régime de transfert vers les pays tiers) pourrait déclencher une révision.
Oui, dans la plupart des cas. Identifiez le responsable de traitement pour chacun, nommez les deux Représentants et indiquez les deux autorités pour les réclamations. Les différences d'âge du consentement et l'Age Appropriate Design Code peuvent nécessiter des sections spécifiques au Royaume-Uni pour les services susceptibles d'être consultés par des enfants.
Des réformes ciblées plutôt qu'une réécriture intégrale — assouplissement des dispositions sur la prise de décision automatisée dans les cas encadrés, clarification du traitement à des fins de recherche, introduction des dispositifs de smart data et d'identité numérique. La majeure partie de la conformité quotidienne reste inchangée.
Oui — il doit être établi au Royaume-Uni. Une personne physique résidant au Royaume-Uni ou une entité juridique britannique répond aux critères. Les services se limitant à une simple boîte aux lettres ont été rejetés par l'ICO.
Cartographiez les contrôles une fois, conformez-vous deux fois. RegulatoryBridge vous offre un pipeline DSAR unique, un DPO unique, un guide d'intervention en cas de violation unique — couvrant les deux cadres réglementaires.