Les transferts de données entre le Royaume-Uni et l’UE semblent toujours alignés, mais le travail se divise désormais

Chaque équipe chargée de la confidentialité possède un dossier nommé quelque chose comme transferts internationaux, et à l’intérieur se trouve le tableur que tout le monde prétend neutre sur le plan des juridictions. En 2026, ce fichier devient un petit piège. Kennedys Law LLP a exposé clairement le problème opérationnel dans son article sur l’application de règles, d’outils et d’évaluations des risques divergents entre le Royaume-Uni et l’UE en matière de transferts. Pour les fournisseurs cloud, les produits d’IA et les fournisseurs SaaS, le problème relève moins de la grande théorie que du contrôle des versions. La leçon pratique n’est pas que le RGPD britannique et le RGPD de l’UE seraient devenus étrangers l’un à l’autre. C’est que la similarité sur la page peut cacher un travail différent dans le dossier. Une équipe commerciale peut voir un seul contrat client, un seul processus de support et un seul pipeline d’analyse. L’équipe confidentialité doit voir le routage, le régime juridique, le mécanisme de transfert et la piste de preuves.

La question du transfert commence désormais par le routage

L’ICO indique que son bref guide des transferts internationaux, publié le 15 janvier 2026, fournit des listes de contrôle pour aider les organisations à identifier et à effectuer un transfert restreint. C’est le bon point de départ, car de nombreux échecs de conformité commencent avant même que quelqu’un n’ouvre une bibliothèque de clauses. La première question opérationnelle est de savoir si le mouvement de données personnelles constitue un transfert restreint au titre du régime applicable. Si la réponse est oui, l’équipe doit savoir quel régime pose la question.

En pratique, cela signifie que la cartographie des données doit être plus utile qu’un simple schéma pour les auditeurs. Elle devrait relier le contrat, la fonctionnalité du produit, le sous-traitant ou sous-traitant ultérieur, et le lieu du traitement concerné. Le guide de l’ICO est présenté comme une introduction, et non comme un substitut aux orientations détaillées, donc traiter une liste de contrôle comme l’ensemble du dossier de conformité serait optimiste. L’optimisme n’est pas un mécanisme de transfert.

Le dossier britannique a un nouveau nom pour

le test L’ICO indique que ses orientations détaillées sur la réalisation d’une évaluation des risques de transfert ont été mises à jour pour la dernière fois le 15 janvier 2026. Il indique également que le contenu de son précédent Guide des transferts internationaux a été divisé en guides détaillés spécifiques, dont un sur les évaluations des risques de transfert. Point le plus important pour les modèles : l’ICO indique que les orientations ont été mises à jour afin de refléter le langage introduit par la loi Data (Use and Access) Act, et qu’une évaluation des risques de transfert est désormais appelée dans la législation britannique un « test de protection des données ».

Cela ne veut pas dire que chaque ancienne évaluation s’auto-détruit spontanément. Cela veut dire que les dossiers britanniques devraient montrer que l’organisation a appliqué le test britannique, en utilisant la terminologie et les preuves actuelles. L’ICO indique que les orientations s’adressent aux délégués à la protection des données et aux personnes ayant des responsabilités spécifiques en matière de protection des données, ce qui, dans le langage d’un régulateur, signifie : ne laissez pas cela entièrement aux achats. Un questionnaire fournisseur peut recueillir des faits, mais la conclusion juridique doit avoir un responsable.

Là où l’habitude du copier-coller depuis l’UE échoue

Freshfields indique que le régime du RGPD britannique restreint les transferts de données personnelles en dehors du Royaume-Uni, et que l’ICO a publié en janvier 2026 des mises à jour très attendues de ses orientations. Freshfields indique également que ces mises à jour sont essentielles pour les organisations traitant des données personnelles soumises au RGPD britannique, et que son analyse de la partie 2 se concentre sur les transferts restreints licites et les principales zones de divergence avec l’approche équivalente de l’UE. Cela suffit à faire disparaître la question paresseuse : sommes-nous conformes au RGPD. La meilleure question est : conformes à quel régime de transfert, pour quel flux de données.

Pour les équipes qui construisent des produits, le changement utile est procédural. Conservez des conclusions britanniques et européennes séparées lorsque le même processus produit touche les deux régimes. Mettez à jour les formulaires d’entrée afin qu’ils capturent le régime applicable, le mécanisme de transfert invoqué, le responsable de l’évaluation et la date des preuves examinées. Si un fournisseur dit accueillir favorablement les orientations mises à jour, traduisez cela ainsi : demandez le libellé réel relatif aux transferts, pas le résumé de blog.

Le côté européen n’est pas non plus figé

LexisNexis UK inclut une note MLex indiquant que Microsoft a obtenu l’autorisation de soutenir la défense, par la Commission européenne, d’un accord transatlantique sur le transfert de données devant la plus haute juridiction de l’UE. La note indique que Microsoft avait soutenu qu’une décision mettant fin à de tels transferts modifierait sa situation juridique. C’est un rappel que les hypothèses de transfert côté UE peuvent évoluer par le contentieux aussi bien que par les orientations des régulateurs.

Les équipes prises entre plusieurs juridictions devraient concevoir des dossiers de conformité pouvant être révisés sans reconstruire le processus produit. La posture raisonnable en 2026 est ennuyeuse, ce qui est généralement l’endroit où le travail de confidentialité doit se trouver. Cartographiez les données, identifiez le transfert restreint, séparez l’analyse britannique et l’analyse européenne lorsque les deux s’appliquent, et conservez assez de preuves pour qu’une autre personne puisse comprendre la décision six mois plus tard. Surveillez les prochaines orientations de l’ICO et les contentieux européens sur les transferts, mais n’attendez pas une symétrie parfaite. Elle n’arrivera pas à temps pour votre prochain examen fournisseur.