Transfert de données au Royaume-Uni : ce qu’il faut retenir

Pauline Burgat
novembre 25, 2025

Le Royaume-Uni peut encore recevoir des données européennes… mais sous surveillance

Le 16 octobre 2025, le Comité européen de la protection des données (CEPD) a confirmé que le Royaume-Uni protège encore suffisamment les données personnelles pour permettre leur transfert depuis l’Union européenne. Cela signifie que les entreprises européennes peuvent continuer à envoyer des données au Royaume-Uni sans formalités supplémentaires jusqu’en décembre 2031.

Un équilibre juridique plus fragile qu’en 2021

Ces dernières années, le Royaume-Uni a profondément modifié plusieurs lois. Certaines d’entre elles s’éloignent du modèle européen et pourraient fragiliser la protection des données.

Par exemple :

Le Retained EU Law (Revocation and Reform) Act 2023 : une loi adoptée en 2023 supprimant la primauté du droit européen, ce qui crée une incertitude pour l’avenir.
Le Data (Use and Access) Act 2025 (DUAA), adopté par le Parlement britannique le 11 juin 2025, modifiant de nombreux aspects du droit britannique de la protection des données. Le texte se veut plus flexible pour favoriser l’innovation, mais il s’écarte sur plusieurs points des exigences du RGPD.

Ces évolutions introduisent un certain degré d’incertitude et affaiblissent la robustesse de la protection des données au Royaume-Uni par rapport aux exigences strictes de l’Union européenne.

Cet article pourrait aussi vous intéresser : Transferts de données vers le Royaume-Uni : ce que change le projet de loi britannique

Un pouvoir plus large donné au gouvernement britannique

L’Europe s’inquiète également du fait que le Secretary of State, un membre du gouvernement britannique, peut désormais modifier des règles essentielles, comme celles concernant :

les transferts internationaux de données,
les règles relatives à la décision automatisée,
la gouvernance de l’autorité de contrôle britannique (ICO).

Un test de protection des données moins exigeant

Autre point de vigilance : le Royaume-Uni a assoupli son test d’adéquation pour envoyer des données vers d’autres pays. Alors que l’Europe exige une protection « essentiellement équivalente », le Royaume-Uni accepte désormais une protection « pas beaucoup plus faible ». Cette nuance représente un abaissement significatif du seuil de protection par rapport aux exigences du RGPD, pouvant permettre l’envoi de données vers des pays moins protecteurs.

Plus préoccupant encore, plusieurs critères essentiels ont été retirés de l’évaluation d’adéquation britannique, notamment :

l’accès des autorités publiques du pays tiers destinataire aux données transférées ;
l’existence de recours effectifs pour les personnes concernées ;
la présence d’une autorité de contrôle indépendante dans le pays destinataire.

Une approche plus souple des décisions automatisées

Le Royaume-Uni autorise plus facilement les décisions entièrement automatisées, c’est-à-dire prises sans intervention humaine. En Europe, elles sont très encadrées, car elles peuvent avoir un fort impact sur les droits des personnes. Cette différence pourrait faire du Royaume-Uni un terrain favorable à l’utilisation de systèmes d’intelligence artificielle jugés trop risqués par l’Union européenne.

Cette évolution soulève des inquiétudes dans un contexte d’expansion rapide de l’intelligence artificielle et des systèmes de profilage automatisés, où le Royaume-Uni pourrait devenir une juridiction privilégiée pour des traitements non autorisés dans l’Union européenne.

Des préoccupations sur la surveillance et le chiffrement

L’Europe s’inquiète également des pouvoirs très larges accordés aux services de renseignement britanniques par la loi Investigatory Powers Act, notamment la faculté d’ordonner la levée du chiffrement de bout en bout.

En 2025, une demande secrète adressée à Apple aurait visé à obtenir une porte dérobée dans iCloud, permettant aux services de sécurité britanniques d’accéder à toutes les données chiffrées stockées dans iCloud par les utilisateurs du monde entier.

Cette situation remettrait en cause la sécurité et la confidentialité des données transférées.

Le partage de données avec les États-Unis : un point sensible

Un accord entre le Royaume-Uni et les États-Unis (UK–US Cloud Act Agreement) autorise les autorités britanniques et américaines à échanger des données personnelles de leurs citoyens respectifs. Plusieurs aspects de cet accord soulèvent des préoccupations pour la protection des données des citoyens européens.

Par exemple, une demande d’accès ne requiert pas systématiquement une autorisation judiciaire avant l’émission de données de contenu et de métadonnées.

Cet article pourrait aussi vous intéresser : RGPD et partenaires américains : comment être conforme ?

La notion d’« attente faible en matière de vie privée »

Le cadre britannique a également introduit la notion d’« attente faible ou inexistante en matière de vie privée » (low or no expectation of privacy) pour justifier des traitements de masse dans certains contextes.

Cette notion, floue et extensive, pourrait permettre de contourner certaines garanties fondamentales dans des situations où les autorités britanniques estiment que les personnes concernées ne devraient pas s’attendre à bénéficier d’une protection élevée de leur vie privée.

Le CEPD appelle à une vigilance particulière sur l’utilisation concrète de cette notion dans la pratique britannique.

Quelles conséquences pour les organisations européennes ?

Pour l’instant, les entreprises peuvent toujours transférer des données vers le Royaume-Uni sans mettre en place de clauses contractuelles types ou d’autres garanties complexes.

Néanmoins, le CEPD recommande une vigilance active, notamment concernant :

l’élargissement des pouvoirs des autorités de surveillance étatiques,
l’accès gouvernemental aux données personnelles,
la transparence et les mécanismes de recours pour les personnes concernées,
les usages de la décision automatisée et le profilage.

Cette surveillance accrue permettra d’anticiper toute remise en cause du statut d’adéquation si le cadre britannique diverge substantiellement des normes européennes.

Conclusion

En résumé, le Royaume-Uni conserve son statut de pays « adéquat » jusqu’en 2031, ce qui facilite les transferts de données. Toutefois, ce statut repose aujourd’hui sur un équilibre fragile. Le droit britannique s’éloigne progressivement du RGPD, notamment en matière de décisions automatisées et de surveillance. Les six prochaines années seront donc cruciales pour savoir si le Royaume-Uni restera aligné sur les standards européens ou s’il s’en écartera.

Confiez-nous votre conformité

on saura la faire passer de

Prendre RDV maintenant

Partager le post

Articles connexes

Protégez votre entreprise : Conformité RGPD, sécurité interne et cyber assurances

Les cyber-attaques constituent une menace croissante pour les entreprises, en particulier pour les TPE/PME, et peuvent avoir un impact dévastateur

rgpd réunion séminaire evenements entreprise conformite rgpd

Séminaires, réunions et RGPD : Les bonnes pratiques à adopter pour protéger les données personnelles

Qu’il s’agisse de séminaires, réunions, conférences ou ateliers, les événements professionnels nécessitent souvent de traiter des données personnelles. Les organisateurs,

Droit limitation traitement données RGPD

Limitation du traitement : comment répondre à une demande ?

Le droit à la limitation du traitement est un droit peu connu. Ainsi, nombreuses sont les entreprises qui n’ont pas

Pauline Burgat

Juriste spécialisée en protection des données, titulaire d’un Master 2 et d’un Master 1 en Droit du numérique. Animée par une véritable passion pour la conformité au RGPD et les enjeux liés à la protection de la vie privée.