Définition et objectif

La Loi sur la protection des données 2018 est conçue pour permettre aux individus de prendre le contrôle de leurs données personnelles et pour soutenir les organisations dans leur traitement légal des données personnelles.

La Loi met à jour les lois sur la protection des données au Royaume-Uni, en complétant le Règlement général sur la protection des données (RGPD), en mettant en œuvre la directive européenne sur l'application de la loi (LED), et en étendant les lois de protection des données à des domaines non couverts par l'un ou l'autre. 

Organe dirigeant

Le Bureau du Commissaire à l'information (ICO) est l'organe dirigeant responsable de la surveillance et de l'application de la Loi sur la protection des données au Royaume-Uni. L'ICO est une autorité indépendante qui défend les droits à l'information dans l'intérêt public et applique la conformité aux réglementations sur la protection des données, y compris la DPA, les règlements NIS, les Règlements sur la vie privée et les communications électroniques, et plus encore.

Dernière mise à jour

La Loi sur la protection des données est entrée en vigueur pour la première fois en 1987. Elle a subi plusieurs mises à jour et révisions, la plus récente étant la Loi sur la protection des données 2018, qui intègre les dispositions du Règlement général sur la protection des données (RGPD) de l'UE. Elle est entrée en vigueur le 25 mai 2018.

Plus récemment, en mars 2023, le projet de loi n° 2 sur la protection des données et l'information numérique, qui apporterait des modifications à la Loi sur la protection des données 2018 et au Règlement général sur la protection des données du Royaume-Uni, a été introduit à la Chambre des communes. 

S'applique à

La Loi sur la protection des données s'applique à la fois aux responsables du traitement et aux sous-traitants qui traitent des données personnelles sur le territoire du Royaume-Uni et, dans certaines circonstances, en dehors du Royaume-Uni. Cela inclut un large éventail d'organisations et d'industries au Royaume-Uni dans les secteurs public et privé, y compris les entreprises, les entités gouvernementales, les soins de santé, les services financiers, l'éducation et les organisations à but non lucratif.

Contrôles et exigences

La Loi sur la protection des données prévoit une variété de contrôles et d'exigences pour les organisations, y compris, mais sans s'y limiter :

• S'assurer que les données sont traitées de manière légale, équitable et transparente.
• Obtenir le consentement explicite des personnes concernées pour le traitement de leurs données.
• Mettre en œuvre des mesures de sécurité appropriées pour protéger les données personnelles.
• Permettre aux individus d'accéder, de corriger ou d'effacer leurs données, parmi d'autres droits des personnes concernées. 
• Nommer un délégué à la protection des données (DPO) pour certaines organisations.
• Signaler les violations de données à l'ICO et aux personnes concernées.
• Réaliser des évaluations d'impact sur la protection des données (DPIA) pour les activités de traitement à haut risque.
• Se conformer aux réglementations internationales sur le transfert de données.
• Adhérer aux principes de minimisation des données et de limitation de la conservation.

Veuillez vous référer à la législation officielle du Data Protection Act 2018 pour une liste détaillée des contrôles et des exigences.

Type d'audit, fréquence et durée

Bien que le Data Protection Act 2018 donne au Commissaire à l'information le pouvoir de réaliser des audits obligatoires de protection des données, l'ICO effectue principalement des « audits consensuels » pour évaluer si un responsable du traitement ou un sous-traitant se conforme aux bonnes pratiques en matière de traitement des données personnelles. Les audits consensuels signifient que le responsable du traitement ou le sous-traitant a donné son consentement avant l'audit.

La durée de l'audit varie en fonction des dates sur lesquelles l'ICO et le sous-traitant ou le responsable du traitement se mettent d'accord lors de leur réunion ou appel téléphonique d'introduction, mais généralement l'audit ne dure pas plus d'une semaine, selon l'ICO.

La fréquence de ces audits varie. L'ICO réalise un certain nombre d'audits consensuels chaque année avec les organisations qui en ont fait la demande, mais ils doivent donner la priorité aux organisations à plus haut risque. Cependant, les organisations soumises au Data Protection Act doivent maintenir une conformité continue et examiner régulièrement leurs pratiques de protection des données pour garantir leur conformité à la loi.