2025 – Le coin du DPO

Royaume-Uni : l’EDPB alerte sur les risques liés au renouvellement de la décision d’adéquation

Le 22 juillet 2025, la Commission européenne a lancé le processus visant à renouveler la décision d’adéquation du Royaume-Uni pour les transferts de données à caractère personnel.

Saisie pour avis, l’EDPB (Comité européen de la protection des données) reconnaît que le cadre britannique demeure largement aligné sur le RGPD, mais souligne plusieurs évolutions préoccupantes susceptibles de fragiliser la protection des données.

Un cadre juridique en mutation

Le Retained EU Law (Revocation and Reform) Act 2023 met fin à la primauté du droit de l’Union et à l’application directe de la Charte des droits fondamentaux.

Selon l’EDPB, cette évolution crée une incertitude juridique sur la stabilité du niveau de protection au Royaume-Uni.

L’EDPB invite la Commission européenne à analyser plus en détail l’impact de cette réforme et à assurer un suivi régulier de ses effets.

Des pouvoirs renforcés du gouvernement britannique

L’EDPB relève également que le Secrétaire d’Etat dispose désormais d’une large marge de manœuvre réglementaire pour modifier le droit des données (transferts internationaux, décisions automatisées, gouvernance de l’Information Commissioner’s Office « ICO ») sans véritable débat parlementaire.

Cette évolution pourrait affaiblir les garanties en matière de protection des données et d’indépendance du régulateur.

Autres points de vigilance

L’EDPB attire l’attention sur :

Les exemptions de sécurité nationale potentiellement trop larges,
Les nouveaux critères d’adéquation pour les transferts internationaux, jugés incomplets,
Et les pouvoirs d’accès aux données chiffrées prévus par l’Investigatory Powers Act (IPA), qui pourraient compromettre la confidentialité des communications. Les Technical Capability Notices prévues par l’IPA peuvent obliger les entreprises à fournir un moyen de contourner le chiffrement. Cela crée des vulnérabilités systémiques et menace la sécurité des communications. L’EDPB demande à la Commission d’en tenir compte dans son évaluation finale.

Concernant la réforme de l’ICO, désormais organisé en conseil collégial, l’EDPB demande des garanties supplémentaires d’indépendance et de transparence dans le traitement des plaintes. En effet, l’ICO envisage aussi un nouveau système de traitement des plaintes (« triage »), ce qui pourrait filtrer l’accès des citoyens à la justice.

S’agissant des nouvelles pratiques de collecte de données massives, l’Investigatory Powers Amendment Act 2024 autorise la conservation et l’analyse de grands ensembles de données personnelles lorsque les personnes concernées ont « peu ou pas d’attente raisonnable de vie privée ». L’EDPB juge ce concept trop vague et susceptible d’abus. Il demande des clarifications sur les autorisations individuelles et catégorielles et une surveillance étroite de l’application pratique de cette notion.

Vers une décision d’adéquation prolongée jusqu’en 2031

La nouvelle décision de la Commission prolonge jusqu’à décembre 2031 certaines parties de celle de 2021, tout en intégrant les réformes britanniques récentes.

L’EDPB ne s’oppose pas à ce renouvellement mais recommande une vigilance accrue :

« La Commission devra exercer un suivi actif du cadre britannique conformément à l’article 45(4) du RGPD », conclut le Comité.

FAQ – Décision d’adéquation Royaume-Uni : avis 26/2025 de l’EDPB

Qu’est-ce qu’une décision d’adéquation ?

Une décision d’adéquation est un acte adopté par la Commission européenne qui reconnaît qu’un pays tiers (hors Union européenne) offre un niveau de protection des données personnelles équivalent à celui de l’UE. Cela permet aux entreprises d’y transférer des données personnelles sans mesures de protection supplémentaires.

Pourquoi la Commission européenne renouvelle-t-elle la décision d’adéquation du Royaume-Uni ?

La décision d’adéquation permet aux données personnelles européennes d’être transférées vers le Royaume-Uni sans garanties supplémentaires.

Celle de 2021 arrivant à échéance en 2025, la Commission européenne a lancé un processus de renouvellement afin de prolonger la reconnaissance du niveau de protection britannique jusqu’en décembre 2031, tout en tenant compte des réformes législatives récentes.

Que reproche l’EDPB à la règlementation du Royaume-Uni ?

L’EDPB reconnaît que le droit britannique reste proche du RGPD, mais relève plusieurs évolutions préoccupantes :

Fin de la primauté du droit de l’UE (Retained EU Law Act 2023) ;
Pouvoirs élargis du gouvernement pour modifier le droit des données ;
Affaiblissement possible de l’indépendance du régulateur (ICO) ;
Extensions des exemptions de sécurité nationale ;
Risques liés au contournement du chiffrement dans l’Investigatory Powers Act.

Le Royaume-Uni reste-t-il un pays adéquat pour les transferts de données ?

Oui, pour l’instant.

L’EDPB considère que le niveau global de protection demeure adéquat, mais il insiste sur la nécessité d’un suivi constant compte tenu des nombreuses réformes du droit britannique des données et des pouvoirs accrus du gouvernement.

Jusqu’à quand la future décision d’adéquation sera-t-elle valable ?

Si la Commission adopte le projet tel quel, la nouvelle décision prolongera la reconnaissance du Royaume-Uni comme pays adéquat jusqu’en décembre 2031, sous réserve d’un examen régulier de la situation.

Règlement (UE) 2025/2518 du Parlement européen et du Conseil du 26 novembre 2025 établissant des règles de procédure supplémentaires relatives à l’application du règlement (UE) 2016/679

Reglement-UE-2025_2518-du-Parlement-europeen-et-du-Conseil-du-26-novembre-2025

Novembre 2025 en bref

251208-Tableau-des-actus-Novembre-2025

Délibération n°HAB-2025-006 du 27 novembre 2025 habilitant des agents de la Commission nationale de l’informatique et des libertés à procéder à des missions de vérification

Deliberation-n°-HAB-2025-006-du-27-novembre-2025-habilitant-des-agents-de-la-Commission-nationale-de-linformatique-et-des-libertes-a-proceder-a-des-missions-de-verification

EDPS – High-Risk AI Systems Mapping Report in European Institutions, Agencies and Bodies – December 2025

EDPB – Recommendations 2-2025 on the legal basis for requiring the creation of user accounts on e-commerce websites – December 2025

edpb-recommendations-202502-mandatory-user-accounts_en

Délibération n°SAN-2025-011 du 27 novembre 2025 concernant la société AMERICAN EXPRESS CARTE FRANCE

Deliberation-SAN-2025-011-du-27-novembre-2025-Legifrance

CNIL – La Caisse des Dépôts et la CNIL renforcent leur coopération pour accompagner l’usage responsable des données personnelles et de l’IA – 1er décembre 2025

La-Caisse-des-Depots-et-la-CNIL-renforcent-leur-cooperation-pour-accompagner-lusage-responsable-des-donnees-personnelles-et-de-lIA-_-CNIL

EDPS – Formal comments on the draft Commission Implementing Regulation setting out the technical specifications for the European electronic access point, as referenced in Regulation (EU) 2023/2844 – November 2025

25-11-28_formal_comments_technical_specifications_electronic_access_points_en

EDPS – Formal comments on the draft Commission Implementing Regulation detailing technical specifications for the decentralised IT system under Regulation (EU) 2023/2844 for electronic service of documents through the European electronic access point – November 2025

2025-11-28_formal_comments_technical_specifications_requirements_decentralised_it_system_en