anonym.legal

By · Last updated 2026-06-05

Retour au blogGDPR & Conformité

Divergence du RGPD au Royaume-Uni après le Brexit...

La loi DPDI de 2025 introduit 14 divergences par rapport au RGPD de l'UE. La décision d'adéquation UE-RU est en cours de révision en 2026.

June 5, 202610 min de lecture
UK ICOUK GDPRpost-Brexit data protectionDPDI ActEU-UK adequacy

Le RGPD britannique après le Brexit : ce qui a changé

Le Data Protection and Digital Information (DPDI) Act 2025 du Royaume-Uni apporte 14 modifications aux règles du RGPD de l'UE. Ces changements créent la première vraie divergence entre les lois sur la protection des données de l'UE et du Royaume-Uni depuis le Brexit. L'accord d'adéquation UE-Royaume-Uni est en cours d'examen. Son résultat concerne toute entreprise qui transfère des données personnelles entre les deux régions.

L'amende LastPass : un nouveau seuil technique

L'ICO a infligé une amende de 1,2 million de livres à LastPass UK en décembre 2025. Il s'agit du cas de sécurité technique le plus important traité par l'ICO à ce jour.

L'ICO a constaté deux défaillances fondamentales.

Chiffrement insuffisant : LastPass stockait les coffres-forts de mots de passe de ses clients avec un chiffrement obsolète. L'ICO l'a qualifié d'« inadéquat » au regard de l'article 32 du RGPD britannique. Certains coffres utilisaient PBKDF2-SHA256 avec une seule itération. Le NCSC britannique recommande au minimum 600 000 itérations pour les clés dérivées de mots de passe.

Ce que la loi exige désormais : L'article 32 du RGPD britannique impose des « mesures techniques appropriées » qui reflètent l'« état de l'art ». L'ICO a constaté que la dérivation de clés en 2022 exigeait bien plus que ce que LastPass avait fourni. Ce qui était acceptable en 2015 ne l'était plus en 2022.

Le résultat : la qualité du chiffrement des fournisseurs est désormais un élément de conformité auditable. Les organisations doivent vérifier que leurs outils utilisent les paramètres actuels recommandés — et non de vieilles lignes de base. Consultez notre aperçu sécurité et conformité pour notre approche.

DPDI Act 2025 : six changements clés

La loi apporte 14 modifications identifiées au droit britannique des données. Six ont un impact opérationnel direct.

1. Intérêts légitimes. La loi crée une liste d'« intérêts légitimes reconnus ». Ces derniers n'exigent pas le test d'équilibre que le droit de l'UE impose encore. Cela facilite l'utilisation de cette base légale pour les entreprises britanniques.

2. Recherche et statistiques. La loi élargit l'exemption de recherche. L'utilisation secondaire de données personnelles à des fins de recherche nécessite moins de consentements que le droit de l'UE.

3. Décisions automatisées. La loi remplace l'article 22 du droit de l'UE. La nouvelle règle est plus permissive. Certaines décisions automatisées ne nécessitent plus d'examen humain significatif.

4. Tenue de registres. La loi supprime l'obligation de registres des activités de traitement (ROPA) pour les organisations de moins de 250 salariés sans traitement « systématique ». Les règles de l'UE exigent un ROPA pour toutes les organisations dont le traitement n'est pas occasionnel.

5. Consentement aux cookies. La loi réduit les exigences de consentement pour les cookies analytiques. Elle encourage les « alternatives sans cookies ». Les règles ePrivacy de l'UE exigent toujours le consentement pour les cookies de suivi.

6. Transferts internationaux. Le Secrétaire d'État britannique obtient des pouvoirs élargis pour accorder des décisions d'adéquation. Le Royaume-Uni peut approuver des pays que l'UE n'a pas approuvés. Cela crée des cadres de transfert divergents des deux côtés.

Le risque d'adéquation

La Commission européenne évaluera si le droit britannique, tel que modifié par le DPDI Act, offre une protection « essentiellement équivalente » aux règles de l'UE.

Trois domaines préoccupent les observateurs de l'UE.

Les intérêts légitimes élargis du DPDI Act peuvent créer des lacunes que la Commission juge inadéquates. L'Investigatory Powers Act 2016 du Royaume-Uni soulève des préoccupations liées à la jurisprudence de la CJUE. Les arrangements Royaume-Uni–États-Unis sous le CLOUD Act peuvent exposer des données de l'UE aux forces de l'ordre américaines.

Si l'adéquation est suspendue, plus de 10 000 ensembles de clauses contractuelles types UE-Royaume-Uni devraient être activés rapidement. Les entreprises qui s'appuient uniquement sur l'adéquation pour les transferts Royaume-Uni–UE auraient des lacunes de conformité du jour au lendemain. Consultez notre guide de conformité pour évaluer votre exposition actuelle.

Gérer les deux régimes simultanément

Pour les entreprises soumises au droit de l'UE et du Royaume-Uni, la voie est claire.

Utilisez la base la plus stricte. L'article 32 de l'UE, le test des intérêts légitimes de l'UE et les règles de l'UE sur les décisions automatisées sont tous plus stricts que leurs équivalents britanniques. Respecter les normes de l'UE signifie respecter les normes britanniques, avec quelques ajouts propres au Royaume-Uni.

Documentez les deux bases légales. Pour le traitement fondé sur les intérêts légitimes, enregistrez à la fois le résultat du test d'équilibre de l'UE et la preuve que le traitement correspond à une catégorie reconnue au Royaume-Uni. Une double documentation protège en cas de divergence supplémentaire.

Gardez les CCT prêtes. L'examen d'adéquation 2026 déterminera si des outils de transfert distincts sont nécessaires. Maintenez les clauses contractuelles types comme solution de secours même en s'appuyant sur l'adéquation.

Vérifiez le chiffrement des fournisseurs. L'affaire LastPass fait du chiffrement des fournisseurs un élément actif de conformité. Confirmez que les outils traitant des données personnelles utilisent les paramètres actuels : AES-256-GCM pour les données au repos, argon2id ou PBKDF2 avec les comptes d'itération actuels pour la dérivation de clés. Parcourez notre FAQ pour les questions d'audit courantes.

La rupture britannique post-Brexit est la première vraie fracture dans le modèle de protection des données de l'UE. Pour les entreprises présentes dans les deux régions, la position la plus sûre est de concevoir pour la norme la plus exigeante — qui reste le cadre de l'UE.

anonym.legal traite tous les documents dans des centres de données Hetzner basés dans l'UE avec une conception zéro-connaissance. Le serveur ne voit jamais votre contenu en texte clair. Une compromission complète du serveur ne produit que du texte chiffré AES-256-GCM. Besoin d'un traitement local ? L'application de bureau fonctionne entièrement sur votre appareil sans connexions externes.

Sources

Articles connexes

GDPR & Conformité

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformité

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformité

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.