La loi sur la protection des données et l'information numérique (DPDI) du Royaume-Uni de 2025 introduit 14 divergences significatives par rapport au RGPD de l'UE — créant la première divergence réglementaire substantielle entre les cadres de protection des données de l'UE et du Royaume-Uni depuis le Brexit. La décision d'adéquation UE-RU, initialement valable jusqu'en juin 2025 et prolongée en attente de révision, fait l'objet d'un examen accru de la part des praticiens du RGPD et de la Commission européenne.
L'application de LastPass : La référence technique du RGPD au Royaume-Uni
L'amende de 1,2 million de livres infligée par l'ICO à LastPass UK en décembre 2025 est le cas d'application de sécurité technique le plus significatif au Royaume-Uni. L'ICO a constaté :
Inadéquation du chiffrement : LastPass a stocké les coffres de mots de passe maîtres des clients avec un chiffrement obsolète que l'ICO a jugé "inadéquat" en vertu de l'article 32 du RGPD du Royaume-Uni. Plus précisément, l'ICO a constaté que certaines itérations de coffre utilisaient PBKDF2-SHA256 avec seulement 1 itération — bien en dessous de la recommandation minimale du NCSC du Royaume-Uni de 600 000 itérations pour les clés dérivées de mots de passe.
Le standard légal établi : L'article 32 du RGPD du Royaume-Uni exige des "mesures techniques appropriées" reflétant l'"état de l'art". L'ICO a constaté que l'"état de l'art" pour la dérivation de clés de chiffrement en 2022 (lorsque la violation a eu lieu) nécessitait bien plus que ce que LastPass fournissait. Cela établit que les normes de sécurité évoluent — ce qui était acceptable en 2015 peut ne pas être acceptable en 2022.
Implication directe pour les outils de chiffrement : Les organisations utilisant des outils de traitement de données doivent vérifier que les implémentations de chiffrement de ces outils répondent aux normes actuelles de "l'état de l'art", et pas seulement aux normes minimales de base. L'application de LastPass par l'ICO rend la qualité de chiffrement des fournisseurs une exigence de conformité directement auditable.
Loi DPDI 2025 : Principales divergences par rapport au RGPD de l'UE
La loi DPDI introduit 14 divergences identifiées par rapport au RGPD de l'UE. Les plus significatives sur le plan opérationnel :
1. Réforme des intérêts légitimes : La loi DPDI crée une liste d'"intérêts légitimes reconnus" qui ne nécessitent pas le test d'équilibre du RGPD de l'UE contre les intérêts des personnes concernées. Cela rend l'intérêt légitime une base légale plus accessible pour les organisations britanniques — réduisant les exigences de consentement pour certains traitements commerciaux.
2. Recherche, statistiques et archivage : La loi DPDI élargit considérablement l'exemption de recherche, permettant une utilisation secondaire plus large des données personnelles à des fins de recherche sans les exigences de consentement explicite que le RGPD de l'UE impose.
3. Prise de décision automatisée : Le remplacement de l'article 22 du RGPD (droits de prise de décision automatisée) par la loi DPDI est plus permissif pour les décisions automatisées commerciales. L'exigence d'un examen humain significatif est assouplie pour certaines catégories de traitement automatisé.
4. Tenue de registres : La loi DPDI supprime les exigences obligatoires de ROPA (registre des activités de traitement) pour les petites organisations (moins de 250 employés) sans traitement "systématique". Le RGPD de l'UE exige ROPA pour toutes les organisations dont le traitement n'est pas occasionnel.
5. Consentement aux cookies : La loi DPDI comprend des dispositions pour des "alternatives sans cookie" et réduit les exigences de consentement pour les cookies d'analyse — spécifiquement conçues pour réduire le fardeau des bannières de consentement aux cookies. Les exigences ePrivacy du RGPD de l'UE (appliquées en parallèle) exigent toujours le consentement pour les cookies de suivi.
6. Transferts internationaux : La loi DPDI donne au secrétaire d'État britannique une autorité plus large pour accorder des décisions d'adéquation — permettant potentiellement au Royaume-Uni d'accorder l'adéquation à des pays que l'UE n'a pas, créant des cadres de transfert divergents.
Le risque d'adéquation : Ce qui pourrait déclencher l'examen de l'UE
L'examen de l'adéquation de la Commission européenne concernant le Royaume-Uni évaluera si le RGPD du Royaume-Uni (tel que modifié par la loi DPDI) fournit une protection "essentiellement équivalente" à celle du RGPD de l'UE :
Domaines de préoccupation identifiés par les observateurs de l'UE :
- L'expansion des intérêts légitimes de la loi DPDI pourrait créer des lacunes que l'UE considère comme inadéquates
- La loi britannique sur la surveillance (Investigatory Powers Act 2016) reste incompatible avec les normes du RGPD selon le précédent de la CJUE dans des affaires connexes
- Les arrangements de partage de données entre le Royaume-Uni et les États-Unis en vertu de la loi CLOUD créent un potentiel d'exposition des données de l'UE à l'accès des forces de l'ordre américaines
Si l'adéquation est suspendue ou révoquée : Plus de 10 000 arrangements de clauses contractuelles types UE-RU devraient être immédiatement activés. Les organisations s'appuyant actuellement uniquement sur l'adéquation pour les transferts RU-UE feraient face à des lacunes de conformité.
Maintenir la conformité double RGPD UE + RGPD RU
Pour les organisations soumises à la fois au RGPD de l'UE et au RGPD du Royaume-Uni, l'approche pratique :
Utiliser la norme la plus stricte comme référence : L'article 32 du RGPD de l'UE, le test d'équilibre des intérêts légitimes du RGPD et les exigences de prise de décision automatisée du RGPD sont plus stricts que leurs équivalents dans la loi DPDI. Les organisations respectant les normes du RGPD de l'UE respectent automatiquement les normes du RGPD du Royaume-Uni (avec quelques ajouts spécifiques au Royaume-Uni).
Documenter les deux bases légales : Pour le traitement sous les intérêts légitimes, documentez à la fois le test d'équilibre du RGPD de l'UE et que le traitement relèverait des intérêts légitimes reconnus par la loi DPDI du Royaume-Uni. La double documentation protège contre la divergence.
Surveiller le statut de la décision d'adéquation : Le résultat de l'examen d'adéquation de 2026 déterminera si des mécanismes de transfert séparés sont nécessaires pour les transferts RU-UE. Les organisations devraient maintenir des clauses contractuelles types comme mécanisme de secours même si elles s'appuient actuellement sur l'adéquation.
Chiffrement à l'état de l'art actuel : L'application de LastPass par l'ICO rend les normes de chiffrement des fournisseurs une considération active de conformité. Vérifiez que les outils PII, les magasins de données et les implémentations de gestion des clés utilisent les paramètres recommandés actuels (AES-256-GCM, argon2id pour la dérivation de clés avec les recommandations de paramètres actuelles).
La divergence du RGPD du Royaume-Uni après le Brexit représente la première fracture significative des normes de protection des données de l'UE. Pour les organisations opérant dans les deux juridictions, la posture la plus sûre consiste à concevoir en fonction des exigences applicables les plus strictes — qui restent les normes techniques fondamentales du RGPD de l'UE.
Sources :