DUAA 2025 : introduction de « l’intérêt légitime reconnu » au UK
Cet article est le troisième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.
La loi DUA introduit la notion d’« intérêt légitime reconnu » comme nouvelle base juridique qui permettra à certains types de traitements d’être effectués sans qu’il soit nécessaire de procéder à une évaluation de l’équilibre avec les droits et libertés des personnes.
Une liste est incluse en annexe 1 du RGPD britannique. Il s’agit notamment du traitement à des fins telles que la protection de la sécurité nationale, la réponse aux situations d’urgence, la détection de crimes ou l’enquête sur des crimes ou criminels, la protection des personnes vulnérables, ou encore la divulgation aux autorités publiques lorsque celles-ci déclarent avoir besoin des données pour une mission d’intérêt public (sans qu’il soit nécessaire de vérifier la légitimité de la demande par les autorités). Le Secretary of State pourra modifier cette liste.
Bien que ces finalités de traitement étaient déjà largement mentionnées dans les considérants du RGPD britannique (et du RGPD européen), cette modification apporte néanmoins une plus grande clarté juridique aux entreprises et réduit la charge de conformité au RGPD britannique, en particulier pour les activités de traitement courantes ou socialement utiles. Toutefois, les obligations de transparence restent en vigueur et les organisations doivent toujours documenter de manière appropriée leur recours à ces intérêts.
L’ICO a lancé une consultation publique sur un projet de lignes directrices sur l’intérêt légitime reconnu qui prend fin le 30 octobre 2025.
Par ailleurs, la loi a introduit certains exemples d’intérêt légitime conventionnel, à savoir, la sécurité informatique et des réseaux, les transferts intra-groupe et le marketing direct.
L’introduction de cette nouvelle base légale de l’ « intérêt légitime reconnu » nous semble particulièrement intéressante.
Voir aussi notre article en anglais
The Data (Use and Access) Act 2025: A New Chapter in the UK’s Data Protection
[1] Lire aussi :
1- Le Data (Use and Access) Act 2025 réforme le droit de la protection des données au UK
2 – DUAA 2025 : prise de décision individuelle automatisée au UK
3 – DUAA 2025 : introduction de « l’intérêt légitime reconnu » au UK
4 – DUAA 2025 : droits des personnes concernées et mécanismes de réclamation au UK
5 – DUAA 2025 : vie privée et communications électroniques au UK
6 – DUAA 2025 : transferts internationaux de données – refonte de l’évaluation des risques au UK
7 – DUAA 2025 : catégories particulières de données et protection des enfants au UK
8 – DUAA 2025 : principe de limitation des finalités et présomption de compatibilité au UK
9 – DUAA 2025 : utilisation des données à des fins de recherche scientifique au UK