DUAA 2025 : transferts internationaux de données – refonte de l’évaluation des risques au UK
Cet article est le sixième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.
L’approche du RGPD britannique en matière de transferts internationaux de données sera révisée.
La loi conserve l’exigence fondamentale selon laquelle les données personnelles ne peuvent être transférées vers un pays tiers ou une organisation internationale que lorsque le transfert est fondé sur :
- une décision du Secretary of Sate « approuvant le transfert » vers le pays tiers ou l’organisation internationale en question (nouvelle terminologie pour remplacer la référence aux « décisions d’adéquation »), lorsque le « test de protection des données » est satisfait, ou
- des garanties appropriées, ou
- une dérogation pour des situations particulières.
L’obligation pour les exportateurs de prendre en compte les risques posés par le transfert, en plus de mettre en œuvre une mesure de sauvegarde, est également maintenue. Cependant cette obligation est quelque peu allégée.
Plutôt que d’exiger que le pays d’importation ait une législation « essentiellement équivalente » à celle prévue par le droit de l’UE, le Royaume-Uni évaluera désormais si les pays tiers offrent des protections qui ne sont pas « sensiblement inférieures » au niveau de référence britannique. Ce seuil inférieur est accompagné d’un cadre codifié d’évaluation des risques offrant une plus grande flexibilité et cette évaluation est désignée elle aussi par le terme « test de protection des données » (“data protection test”).
Le test de protection des données appliqué par le Secretary of State prend en compte des facteurs qui sont plus souples que ceux du RGPD et couvrent : le respect de l’État de droit et des droits de l’homme ; l’existence et les pouvoirs d’une autorité de contrôle (contrairement au critère de l’UE, l’indépendance n’est pas stipulée) ; les voies de recours ; les règles de transferts ultérieurs ; les obligations internationales pertinentes ; et la constitution, les traditions et la culture du pays.
Le test que les exportateurs doivent appliquer est moins détaillé que celui appliqué par le Secretary of State.
De plus, la loi stipule que les transferts peuvent avoir lieu tant que l’exportateur, « agissant de manière raisonnable et proportionnée », considère que le test est rempli. L’exportateur est expressément autorisé à prendre en compte la nature et le volume des données transférées.
Le Secretary of State aura également le pouvoir d’établir des listes noires de destinations interdites (principe prévu dans le RGPD) ou à l’inverse de prendre en compte l’opportunité des transferts de données vers et depuis le Royaume-Uni, bien que cela ne dispense pas de satisfaire au test de protection des données. Il aura surtout aussi le pouvoir d’introduire des clauses contractuelles types qui satisfont automatiquement à l’exigence de garanties appropriées, supprimant ainsi totalement la nécessité d’évaluer les risques liés aux transferts.
Par ailleurs, en ce qui concerne les transferts effectués par les autorités publiques, les mécanismes prévus par le RGPD, instruments juridiquement contraignants et arrangements administratifs ne peuvent être utilisés que pour des transferts vers d’autres autorités publiques, et non pour les transferts vers des organisations du secteur privé. La loi élargit cette possibilité aux transferts vers des personnes qui exercent des fonctions de nature publique.
Ces évolutions visent à rationaliser les flux internationaux de données tout en maintenant le contrôle gouvernemental sur les risques transfrontaliers. Toutefois, si l’introduction éventuelle de clauses contractuelles types exemptant d’évaluation des risques serait sans aucun doute bien accueillie par tous ceux qui effectuent des transferts internationaux en vertu du RGPD britannique, pour les organisations qui transfèrent également des données personnelles protégées par le RGPD de l’UE, l’introduction de telles clauses n’est finalement pas susceptible d’offrir un avantage significatif ou pratique.
Voir aussi notre article en anglais
The Data (Use and Access) Act 2025: A New Chapter in the UK’s Data Protection
[1] Lire aussi :
1- Le Data (Use and Access) Act 2025 réforme le droit de la protection des données au UK
2 – DUAA 2025 : prise de décision individuelle automatisée au UK
3 – DUAA 2025 : introduction de « l’intérêt légitime reconnu » au UK
4 – DUAA 2025 : droits des personnes concernées et mécanismes de réclamation au UK
5 – DUAA 2025 : vie privée et communications électroniques au UK
6 – DUAA 2025 : transferts internationaux de données – refonte de l’évaluation des risques au UK
7 – DUAA 2025 : catégories particulières de données et protection des enfants au UK
8 – DUAA 2025 : principe de limitation des finalités et présomption de compatibilité au UK
9 – DUAA 2025 : utilisation des données à des fins de recherche scientifique au UK