Projets de décisions d’adéquation du Royaume-Uni: L’EDPB adopte des avis

Bruxelles, le 20 octobre – Au cours de sa dernière session plénière, le comité européen de la protection des données a adopté deux avis sur les projets de décisions de la Commission européenne concernant la prorogation de la validité des décisions d’adéquation du Royaume-Uni au titre du règlement général sur la protection des données (RGPD) et de la directive en matière de protection des données dans le domaine répressif (DEL) jusqu’en décembre 2031.*

Les avis de l'EDPB, demandés par la Commission conformément à l’article 70, paragraphe 1, point s), du RGPD et à l’article 51, paragraphe 1, point g), de la directive en matière de protection des données dans le domaine répressif, portent sur la proposition de prolongation de six ans des deux décisions d’adéquation du Royaume-Uni qui doivent expirer en décembre 2025.

La prolongation de la validité des décisions d’adéquation prises au Royaume-Uni permettra aux organisations et aux autorités compétentes établies en Europe de continuer à transférer des données aux organisations et autorités établies au Royaume-Uni sans mettre en œuvre de garanties supplémentaires**.

«L’EDPB se félicite de la poursuite de l’alignement entre le cadre de protection des données du Royaume-Uni et celui de l’Europe, malgré les récentes modifications du cadre juridique britannique.

J’invite la Commission européenne à aborder les points mis en évidence par le comité et à assurer un suivi efficace une fois les décisions adoptées. Cela renforcera la solidité de l’adéquation du Royaume-Uni et garantira une plus grande sécurité juridique aux organisations et aux autorités compétentes qui transfèrent des données à caractère personnel d’Europe vers le Royaume-Uni.»

Anu Talus, présidente du comité européen de la protection des données

À propos de l’avis sur le RGPD

Selon le comité, la plupart des modifications apportées au cadre de protection des données du Royaume-Uni visent à clarifier et à faciliter le respect de la loi.

Certains aspects du projet de décision pourraient être clarifiés.

L’EDPB invite la Commission européenne à poursuivre l’analyse et le suivi des modifications apportées au Retained EU Law (Revocation and Reform) Act 2023, également connu sous le nom de REUL Act, en particulier la suppression du principe de primauté du droit de l’Union et la suppression de l’application directe des principes du droit de l’Union.

L’EDPB note que le secrétaire d’État s’est vu accorder de nouveaux pouvoirs pour apporter des modifications au nouveau cadre de protection des données, au moyen de règlements secondaires qui nécessitent moins de contrôle parlementaire. C’est le cas des transferts internationaux, de la prise de décision automatisée et de la gouvernance du bureau du commissaire à l’information (ICO). L’EDPB invite la Commission à remédier aux éventuels risques de divergence en mettant en évidence, dans la décision finale d’adéquation, les domaines qu’elle a l’intention de surveiller attentivement.

L’EDPB encourage également la Commission à approfondir son évaluation et à surveiller les règles relatives aux transferts du Royaume-Uni vers des pays tiers. Le nouveau critère d’adéquation, introduit par la loi de 2025 sur les données (utilisation et accès), exige que le niveau de protection du pays tiers ne soit pas sensiblement inférieur à celui prévu pour les personnes concernées par le cadre britannique, mais ce critère ne fait pas référence au risque d’accès des pouvoirs publics, à l’existence de voies de recours pour les particuliers et à la nécessité d’une autorité de contrôle indépendante.

La Commission devrait également évaluer et surveiller davantage l’utilisation alléguée par le gouvernement britannique des avis sur les capacités techniques (ci-après les «TCN») exigeant des entreprises qu’elles contournent le chiffrement, car cela créerait des vulnérabilités systémiques et présenterait un risque pour l’intégrité et la confidentialité des communications électroniques.

Enfin, l’EDPB invite la Commission à poursuivre l’évaluation et le suivi des modifications apportées à la structure de l’ICO et de l’exercice de ses pouvoirs correctifs. Dans ce contexte, l’EDPB prend acte avec satisfaction de la politique de transparence de l’ICO et de la disponibilité des données statistiques et analytiques de ses activités de contrôle de l’application.

Les nouvelles décisions d’adéquation s’ajouteront aux décisions de 2021, qui continueront de s’appliquer aux domaines non couverts par les projets de décisions de 2025. L’EDPB s’appuie sur ses avis de 2021 (14/2021 et 15/2021). En particulier, l’alignement étroit entre le cadre du RGPD et le cadre juridique britannique sur les dispositions clés, mis en évidence en 2021, continue de s’appliquer aujourd’hui (y compris, par exemple, la transparence, les droits des personnes concernées et les catégories particulières de données).

À propos de l’avis LED

L’EDPB se félicite de l’alignement continu entre le cadre de protection des données en Europe et au Royaume-Uni et encourage la Commission à compléter son évaluation des aspects liés aux exemptions en matière de sécurité nationale. Ces exemptions peuvent déroger à la plupart des principes de protection des données et à certaines règles internationales de transfert pour les autorités répressives, et limiter également les pouvoirs d’application et d’inspection de l’OIC.

L’EDPB invite la Commission à analyser les règles du Royaume-Uni relatives aux transferts de données à caractère personnel vers des pays tiers, en particulier le nouveau critère d’adéquation, de la même manière que dans l’avis sur le RGPD.

La chambre de recours souligne également l’approche plus permissive de la prise de décision automatisée et les nouveaux pouvoirs conférés au secrétaire d’État en la matière. Il rappelle l’importance d’un véritable examen humain et invite instamment la Commission à clarifier et à surveiller les éventuelles dérogations au droit des personnes d’obtenir une intervention humaine.

Enfin, l’EDPB reconnaît que le système de surveillance des services répressifs pénaux ainsi que les mécanismes de recours restent largement inchangés, et il réaffirme la nécessité pour la Commission de suivre de près l’application des pouvoirs de correction et des voies de recours pour les personnes physiques dans le cadre de la protection des données au Royaume-Uni.

Note aux rédacteurs:

* Le 22 juillet 2025, la Commission européenne a publié deux projets de décisions d’exécution modificatives sur la protection adéquate des données à caractère personnel par le Royaume-Uni conformément à l’article 45, paragraphe 3, du RGPD et à l’article 36, paragraphe 3, de la directive en matière de protection des données dans le domaine répressif. Ces projets de décisions visent à prolonger la validité des précédentes décisions d’adéquation adoptées le 28 juin 2021. 
En mai 2025, la Commission a adopté une décision prorogeant la validité de la décision d’adéquation du Royaume-Uni pour six mois supplémentaires, de juin à décembre 2025. L’EDPB a adopté un avis sur cette prolongation en mai 2025.

** Une décision d'adéquation est un mécanisme clé de la législation de l'UE en matière de protection des données qui permet à la Commission européenne de déterminer si un pays tiers ou une organisation internationale offre un niveau adéquat de protection des données. La Commission européenne a le pouvoir de déterminer, sur la base de l’article 45 du règlement (UE) 2016/679, si un pays tiers offre un niveau adéquat de protection des données.

L’adoption d’une décision d’adéquation implique: 1) une proposition de la Commission européenne; 2) un avis du comité européen de la protection des données; 3) une approbation des représentants des pays de l'UE; 4) l'adoption de la décision par la Commission européenne.