anonym.legal
Retour au blogGDPR & Conformité

ICO Royaume-Uni : Post-Brexit UK GDPR — Les exigences techniques qui diffèrent du GDPR de l'UE

L'ICO a infligé une amende de 1,2 million de livres sterling à LastPass pour un chiffrement inadéquat en décembre 2025. Le jugement établit que le chiffrement côté client est une exigence légale. Voici ce que le UK GDPR exige techniquement.

March 7, 20267 min de lecture
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

UK GDPR Post-Brexit : Divergence et continuité

La loi britannique sur la protection des données de 2018, incorporant le UK GDPR, reflète étroitement le GDPR de l'UE — mais avec des divergences significatives qui créent des exigences de conformité distinctes pour les organisations opérant au Royaume-Uni.

Continuité :

  • Six bases légales identiques pour le traitement
  • Droits des personnes concernées identiques (accès, effacement, rectification, portabilité)
  • Même principe de responsabilité et exigences de documentation
  • Même obligation de notification des violations de données (72 heures auprès de l'ICO)
  • Même exigences de protection des données par conception et par défaut

Divergences :

  • Régime d'adéquation : le Royaume-Uni a ses propres décisions d'adéquation pour les transferts de données internationaux ; l'adéquation de l'UE pour les transferts de données du Royaume-Uni est maintenue mais contestée
  • Directives sur l'IA : l'ICO a publié des directives dédiées à l'IA (2023-2024) plus détaillées que les directives comparables de l'EDPB
  • Données biométriques : le traitement des données biométriques au Royaume-Uni présente de légères différences définitionnelles
  • Exceptions de recherche : les exceptions de recherche et de statistiques du Royaume-Uni sont quelque peu plus larges que les équivalents de l'UE
  • Culture de l'application : l'ICO s'est historiquement concentré sur l'éducation et les conseils avant les amendes ; cela évolue avec les récentes actions d'application importantes

Pour les organisations opérant à la fois dans l'UE et au Royaume-Uni, le UK GDPR crée une obligation de conformité parallèle nécessitant l'évaluation des exigences du GDPR de l'UE et du UK GDPR — elles ne sont pas identiques.

L'amende de LastPass par l'ICO : Établir le chiffrement comme exigence légale

L'amende de l'ICO en décembre 2025 contre LastPass UK (1,2 million de livres sterling) est l'affaire phare du UK GDPR concernant les normes de chiffrement. L'avis d'application a établi plusieurs principes aux implications larges :

La conclusion principale : L'architecture de chiffrement de LastPass — qui stockait les données du coffre-fort utilisateur avec des clés de chiffrement accessibles par le serveur — a été jugée inadéquate en vertu de l'article 32 du UK GDPR. L'ICO a constaté que "le responsable du traitement aurait dû mettre en œuvre un chiffrement côté client, ce qui aurait garanti qu'en cas de violation du serveur, les données du coffre-fort utilisateur ne seraient pas accessibles à des parties non autorisées."

Ce que cela signifie : L'ICO a établi que lorsqu'une architecture plus respectueuse de la vie privée existe (chiffrement côté client) et est techniquement réalisable, l'utilisation d'une architecture moins respectueuse de la vie privée (chiffrement côté serveur) peut ne pas satisfaire la norme des "mesures techniques appropriées" de l'article 32.

Implications plus larges : Les organisations qui stockent des données sensibles en utilisant un chiffrement côté serveur — où les serveurs du fournisseur détiennent les clés de chiffrement — peuvent faire l'objet d'un examen de l'ICO en cas de violation. L'avis d'application indique explicitement que "les mesures techniques doivent être proportionnelles au risque, et lorsque le risque d'accès non autorisé à des données personnelles sensibles est élevé, la mesure appropriée peut nécessiter une gestion des clés côté client."

Pour les outils d'anonymisation des PII : si le service d'anonymisation d'un fournisseur stocke le texte brut des documents traités côté serveur (pour les journaux d'audit, l'analyse d'utilisation ou des fonctionnalités comme l'historique des documents), cela crée un stockage de données accessible par le serveur qui peut ne pas répondre à la norme post-LastPass de l'ICO pour les données sensibles.

Directives de l'ICO sur l'IA : Exigences techniques pour l'IA générative

L'ICO a publié des directives complètes sur l'IA en 2023-2024, couvrant huit exigences techniques spécifiques pour les systèmes d'IA générative — plus détaillées que les directives équivalentes de l'UE :

1. Auditabilité des données d'entraînement : Les systèmes d'IA formés sur des données personnelles doivent avoir une provenance documentée des données d'entraînement, y compris les procédures d'anonymisation appliquées.

2. Surveillance des sorties : Les systèmes générant des sorties de données personnelles doivent avoir des contrôles de surveillance pour détecter et prévenir la divulgation inappropriée de données.

3. Limitation de l'objectif dans l'entraînement : Les données personnelles utilisées pour l'entraînement doivent être limitées à l'objectif spécifique — l'entraînement d'IA à usage général utilisant des données clients nécessite une base légale explicite.

4. Droits individuels dans la prise de décision automatisée : Les systèmes d'IA prenant des décisions significatives concernant des individus doivent mettre en œuvre des contrôles techniques pour faciliter les droits individuels (accès, explication, contestation).

5. Audit de biais : Les systèmes traitant des caractéristiques protégées (directement ou par inférence) doivent avoir une surveillance technique des biais.

6. Minimisation des données dans le fine-tuning : Le fine-tuning sur des données personnelles doit appliquer la minimisation avant l'entraînement — pas seulement des politiques d'anonymisation mais une mise en œuvre technique.

7. Conservation dans l'entraînement : Les données personnelles incorporées dans les poids du modèle doivent être adressables pour les demandes d'effacement (des garanties techniques ou équivalentes sont requises).

8. Diligence raisonnable des modèles tiers : Les organisations utilisant des systèmes d'IA tiers doivent évaluer et documenter la conformité technique de ces systèmes avec ces exigences.

Ces huit exigences créent une liste de contrôle de mise en œuvre technique pour les déploiements d'IA au Royaume-Uni.

Tendances de l'application de l'ICO : Des conseils aux amendes

L'ICO a historiquement préféré l'éducation et les avis d'application aux amendes importantes. Cela évolue :

  • LastPass (Déc 2025) : 1,2 million de livres sterling — échec de sécurité technique (architecture de chiffrement)
  • Commission électorale (2023) : 4,4 millions de livres sterling de réprimande (pas d'amende) — échec de sécurité (serveur non patché)
  • British Airways (2019, réglé en 2020) : 20 millions de livres sterling — violation de données due à une cyberattaque en raison d'une sécurité inadéquate
  • Marriott International (2019, réglé en 2020) : 18,4 millions de livres sterling — violation de données due à une diligence raisonnable inadéquate

L'ICO a émis 67 avis d'application en 2024 — un chiffre record — suggérant une volonté croissante d'utiliser l'application formelle.

L'amende de LastPass est particulièrement significative car elle a ciblé une décision d'architecture de chiffrement, et pas seulement un résultat de violation. Cela suggère que l'ICO examinera les choix de conception technique, et pas seulement la réponse à la violation.

Implications des flux de données UK-UE

Les organisations britanniques servant des clients de l'UE ou recevant des données personnelles de l'UE font face à l'exigence de conformité double :

  • Le UK GDPR s'applique au traitement au Royaume-Uni
  • Le GDPR de l'UE s'applique aux données personnelles de l'UE

Pour les transferts de données de l'UE vers le Royaume-Uni : la décision d'adéquation de l'UE pour le Royaume-Uni (accordée en 2021) reste valide mais est sujette à révision et contestation juridique. Les organisations ne doivent pas compter uniquement sur l'adéquation du Royaume-Uni — les clauses contractuelles types restent une protection supplémentaire recommandée.

Pour les organisations britanniques utilisant des services cloud basés dans l'UE : le transfert du Royaume-Uni vers l'UE n'est actuellement pas restreint (pas de restrictions de l'UE sur les flux de données du Royaume-Uni), mais le traitement des données personnelles du Royaume-Uni par le fournisseur de services de l'UE peut déclencher des exigences du GDPR de l'UE pour le processeur.

Conseils pratiques : les organisations avec des flux de données UK-UE devraient documenter à la fois leur posture de conformité au UK GDPR et leur posture de conformité au GDPR de l'UE séparément, en notant où elles sont équivalentes et où des exigences spécifiques au Royaume-Uni s'appliquent.

Sources :

Articles connexes

GDPR & Conformité

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Conformité

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Conformité

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités