Ce qui a changé le 19 juin

Le Data (Use and Access) Act 2025 a reçu la sanction royale le 19 juin 2025 et s'active par phases. Le règlement d'entrée en vigueur, SI 2026 n. 82, fixe deux dates qui comptent pour les opérateurs : le 5 février 2026 pour l'essentiel des réformes de protection des données, et le 19 juin 2026 pour le régime de plaintes de la section 103 et de l'annexe 10.

Depuis cette seconde date, toute organisation soumise au UK GDPR doit exploiter une procédure formelle de plaintes en matière de protection des données. La nouvelle section 164A du Data Protection Act 2018 exige des voies accessibles pour se plaindre, dont un formulaire électronique a côté de canaux comme l'email et le courrier, un accusé de réception sous 30 jours et une issue de fond communiquée dans un langage compréhensible, avec le rappel du droit de saisir l'ICO, l'autorité britannique.

Il n'existe pas de délai légal pour l'issue elle-même, mais le projet de guide de l'ICO recommande de résoudre sous trois mois sauf circonstances exceptionnelles, et attend un processus visible : facile a trouver, lié depuis la politique de confidentialité et le site. La phase de février a aussi apporté les intérêts légitimes reconnus comme base légale, un mécanisme d'arrêt du délai pour les demandes d'accès et des règles allégées pour certains cookies a faible risque.

La partie silencieuse : des amendes marketing multipliées par 35

Le changement que moins de dirigeants ont remarqué est arrivé plus tôt. Depuis le 5 février 2026, le pouvoir de sanction de l'ICO sous PECR, les règles du marketing direct électronique et des cookies, est passé d'un plafond de 500 000 livres aux niveaux du UK GDPR : jusqu'a 17,5 millions de livres ou 4 pour cent du chiffre d'affaires annuel mondial, selon le plus élevé.

Pendant des années, l'application du PECR fut une nuisance bornée : une campagne d'emails au consentement bancal était au pire un problème a six chiffres. Cette asymétrie a disparu. Une liste marketing aux consentements négligés joue désormais dans la même catégorie de sanction qu'une violation de données, et le nouveau canal de plainte donne a chaque destinataire agacé une voie formelle qui, mal traitée, finit a la porte du régulateur.

Ce que les entreprises exposées au Royaume-Uni devraient faire

Le périmètre est plus large qu'on ne le suppose. Le UK GDPR s'applique non seulement aux entreprises établies au Royaume-Uni, mais aussi a celles de l'extérieur qui offrent des biens ou services a des personnes sur place. La maison française qui exporte a Londres, la boutique en ligne avec des clients britanniques, le SaaS avec des utilisateurs a Manchester : le devoir de plainte les atteint tous.

La mise en place n'est pas lourde, et c'est précisément pourquoi son absence fait mauvais effet. Publiez une voie de plainte, y compris un formulaire électronique. Reliez-la aux processus que vous exploitez déja pour les demandes RGPD, avec un responsable, un registre et des accusés types qui battent le chrono des 30 jours. Suivez les issues contre l'attente des trois mois et consignez le raisonnement de chaque clôture.

Puis traitez le registre pour ce qu'il est : une preuve. Chaque plainte, horodatage et réponse est une donnée que l'ICO peut demander, et une série de plaintes ignorées est le dossier répressif le plus facile qu'un régulateur bâtira jamais. Le même registre, relu chaque trimestre, est aussi un audit gratuit des endroits où votre gestion des données irrite vraiment vos clients. Peu d'obligations de conformité rapportent autant.