Le délai DUAA qui prend les développeurs par surprise : ce n'est pas une question de pratique des données, c'est une question de processus

La plupart des organisations qui traitent des données d'utilisateurs au Royaume-Uni ont passé 2025 et le début de 2026 à se préoccuper des bonnes choses : bases légales, minimisation des données, mécanismes de transfert. Ce que plusieurs d'entre elles n'ont pas remarqué, c'est que le Data (Use and Access) Act 2025 a introduit dans le droit britannique une obligation distincte, de nature procédurale, qui n'a rien à voir avec la conformité de vos pratiques sous-jacentes en matière de données. L'exigence est simple à formuler et étonnamment facile à manquer : avant le 19 juin 2026, tout responsable du traitement soumis au droit britannique de la protection des données doit disposer d'un processus documenté et opérationnel pour recevoir et traiter les réclamations des personnes concernant l'utilisation de leurs données personnelles. Aucune exemption. Aucune période de grâce pour les petites organisations. Aucune dérogation pour les plateformes n'ayant jamais reçu de réclamation formelle.

Ce que la loi exige réellement

L'article 103 du Data (Use and Access) Act 2025 insère un nouvel article 164A dans le Data Protection Act 2018, selon Hunton Andrews Kurth. Cette disposition impose à chaque responsable du traitement de mettre en place un mécanisme ou une procédure permettant aux personnes concernées de déposer des réclamations relatives à leurs données personnelles. Le DUAA a lui-même reçu la sanction royale le 19 juin 2025, rendant l'obligation de traitement des réclamations applicable exactement un an plus tard, comme le confirme Katten Muchin Rosenman sur JDSupra.

L'ICO a publié des orientations opérationnelles détaillées le 12 février 2026, à la suite d'une consultation publique ayant recueilli plus de 85 réponses, selon le communiqué de presse de l'ICO. Ces orientations distinguent ce que les responsables du traitement doivent faire (le plancher légal), devraient faire (bonne pratique) et pourraient faire (approche plus robuste). C'est le niveau du « doit » qui détermine votre exposition juridique.

Les orientations de l'ICO précisent les étapes opérationnelles essentielles : offrir aux personnes un moyen clair de soumettre une réclamation, accuser réception dans un délai de 30 jours, prendre les mesures appropriées pour répondre sans retard injustifié, tenir le plaignant informé tout au long du processus, et communiquer le résultat, selon l'analyse de ZwillGen des orientations de l'ICO. Ces étapes doivent être documentées et démontrables.

L'ICO a indiqué adopter une approche mesurée en matière d'application pendant la période de transition, notamment lorsque ses propres orientations ne sont pas encore finalisées, selon Mayer Brown. Mais mesurée ne signifie pas absente, et les orientations sur le traitement des réclamations sont disponibles depuis février 2026.

Pourquoi le manque de procédure constitue le vrai risque

Voici la partie contre-intuitive. Une organisation peut avoir des pratiques en matière de données réellement défendables — base légale documentée, calendrier de conservation en place, demandes d'accès aux données traitées rapidement — et être tout de même exposée à des sanctions directes à partir du 19 juin 2026 si elle ne dispose d'aucune procédure formelle de traitement des réclamations.

L'exigence procédurale est autonome. Une personne qui estime que ses données ont été mal gérées, qu'elle ait raison ou non, dispose désormais d'un droit légal de déposer cette réclamation auprès du responsable du traitement en premier lieu, avant d'escalader vers l'ICO. L'intention, telle que décrite par Hunton, est de s'assurer que les réclamations sont examinées par le responsable du traitement avant d'atteindre le régulateur. S'il n'existe aucune procédure pour recevoir cette réclamation, l'organisation a manqué à une obligation légale distincte, indépendamment de ce à quoi ressemblent les pratiques sous-jacentes en matière de données.

ZwillGen formule cela avec précision : le changement ne nécessite pas un tout nouveau programme de confidentialité, mais il exige que les organisations s'assurent que les réclamations sont reconnues, acheminées, accusées de réception, examinées et résolues d'une manière qui peut être présentée à l'ICO si nécessaire. Cette dernière clause a un poids réel. L'ICO peut demander à voir votre processus. Si vous ne pouvez pas en produire un, cette absence constitue en elle-même la violation.

Pour les plateformes éducatives et les développeurs d'edtech en particulier — où vous traitez presque certainement des données personnelles d'étudiants, de parents et de personnel dans le cadre du UK GDPR — vous êtes un responsable du traitement. Le libellé sans exemption des orientations de l'ICO, confirmé à la fois par Bratby Law et Privacy Matters de DLA Piper, signifie que la taille de la plateforme, le secteur ou l'historique de conformité antérieur ne crée pas de refuge.

Ce que les développeurs et les équipes de conformité doivent faire maintenant

La mise en œuvre pratique n'est pas compliquée, bien qu'elle nécessite un effort délibéré plutôt qu'une simple case à cocher. Selon Mayer Brown, les organisations disposent encore d'une fenêtre pour examiner leurs pratiques de protection des données, mettre à jour leurs politiques et procédures, et se préparer aux obligations de traitement des réclamations.

Concrètement, cela signifie : désigner qui reçoit les réclamations (une boîte de réception nominative, un formulaire ou un canal documenté), mettre en place un flux de travail d'accusé de réception interne respectant le délai de 30 jours, documenter les étapes d'investigation et créer un modèle pour communiquer les résultats aux plaignants. Les orientations de l'ICO, publiées en février et mises à jour en mai 2026, détaillent chaque étape et sont disponibles gratuitement.

Pour les organisations réglementées, Bratby Law signale un niveau supplémentaire à vérifier : si vous êtes soumis aux règles de traitement des réclamations de l'Ofcom ou de la FCA, l'obligation du DUAA chevauche ces cadres existants, créant une interaction de conformité qui doit être cartographiée. Il s'agit d'une population plus restreinte, mais les entreprises d'edtech disposant de produits financiers intégrés ou de services de communication réglementés ne doivent pas supposer que le processus de réclamation de leur régulateur sectoriel satisfait automatiquement à l'article 164A.

Le Directeur général adjoint de l'ICO chargé de la politique réglementaire a noté en mai 2026 que les petites organisations sont moins susceptibles de disposer de procédures de traitement des réclamations existantes, et les a spécifiquement invitées à lire les orientations et à prendre les mesures simples nécessaires pour se conformer. Ce n'est pas une menace ; c'est une liste de lecture. Les orientations existent, la date limite est fixée et l'exigence ne comporte aucune exemption.

Pour quiconque développe des produits qui touchent aux données d'utilisateurs au Royaume-Uni, la question n'est plus de savoir si cela s'applique. C'est de savoir si votre processus peut résister à la demande d'un régulateur de le consulter.