Le cadre de traitement des réclamations de la DUAA est désormais applicable : chaque responsable du traitement des données au Royaume-Uni a besoin d'une porte d'entrée interne

Une personne concernée envoie un e-mail à 23 h pour signaler que votre entreprise a utilisé ses données personnelles sans base juridique appropriée. Sous l'ancien régime, elle pouvait déposer cette plainte directement auprès de l'Information Commissioner's Office (ICO) dès le lendemain matin. À compter du 19 juin 2026, ce n'est plus possible. Le Data (Use and Access) Act 2025 oblige désormais les personnes à soumettre leur plainte à votre organisation en premier lieu, et exige que vous disposiez d'un processus formel et documenté pour la recevoir.

Ce que la loi a réellement modifié Le DUAA a reçu la sanction royale

le 19 juin 2025, selon Mayer Brown. Il modifie, sans les remplacer, le UK GDPR et le Data Protection Act 2018. La majorité des dispositions du texte relatives à la protection des données sont entrées en vigueur le 5 février 2026 en vertu du Data (Use and Access) Act 2025 (Commencement No. 6 and Transitional and Saving Provisions) Regulations 2026, comme le précisent Clifford Chance et le blog Privacy Matters de DLA Piper. L'obligation de traitement des plaintes a été réservée à une date d'entrée en vigueur distincte : le 19 juin 2026, soit exactement un an après la sanction royale.

Le mécanisme central est une exigence obligatoire d'engagement préalable avant toute plainte. Selon Mintz, avant qu'une personne puisse déposer une plainte auprès de l'ICO, elle doit d'abord soulever la préoccupation directement auprès du responsable du traitement concerné et lui laisser un délai raisonnable pour répondre. L'ICO a indiqué que ce délai sera généralement de 45 jours, bien que Mintz note qu'il puisse varier selon la complexité de l'affaire. L'effet concret est l'introduction d'une couche de triage en première instance entre la personne et le régulateur, conçue, comme l'explique Mintz, pour favoriser une résolution rapide et permettre à l'ICO de concentrer ses ressources sur les affaires les plus graves.

Qui est concerné et ce qu'il faut mettre en place

Le blog Privacy Matters de DLA Piper est précis sur le champ d'application : le DUAA introduit une exigence de processus formel de traitement des plaintes applicable à tous les responsables du traitement, sans exception. Cette formulation a une importance concrète. Les petites associations, les startups à fondateur unique, les employeurs de taille intermédiaire et les plateformes mondiales relèvent tous de la même catégorie au titre de cette obligation. Squire Patton Boggs, écrivant dans Employment Law Worldview, la présente comme un nouveau droit légal accordé aux salariés de déposer une plainte auprès des responsables du traitement concernant des violations du UK GDPR, ce qui signifie que la relation de travail elle-même peut générer des plaintes entrant dans le champ d'application, indépendamment de tout traitement de données orienté client.

Le blog Data Matters de Sidley apporte une précision utile sur ce qui déclenche réellement le processus : toute communication d'une personne concernée ne constitue pas automatiquement une plainte réglementée. Les organisations doivent distinguer les demandes courantes et les demandes d'accès aux données des expressions d'insatisfaction quant à la manière dont les données personnelles ont été traitées. Établir cette distinction correctement permet de maintenir un processus proportionné et d'éviter de traiter chaque message entrant comme un événement de conformité formel. Sidley note également que l'exigence du DUAA s'appuie sur les récentes orientations de l'ICO sur la préparation et la gestion des plaintes en matière de protection des données, qui constituent un point de référence pratique pour l'élaboration des procédures internes.

Sur le plan de la documentation, Mayer Brown recommande aux organisations de revoir leurs pratiques en matière de protection des données, de mettre à jour leurs politiques et procédures, et de traiter la conformité au DUAA comme une priorité continue tout au long de 2026. Les avis de confidentialité doivent également être mis à jour : Squire Patton Boggs confirme que les organisations soumises au UK GDPR doivent y faire figurer les nouveaux droits en matière de traitement des plaintes à compter du 19 juin 2026.

Pourquoi cela est particulièrement contraignant lors d'un incident de

cybersécurité La couche de conformité décrite ci-dessus fonctionne dans des conditions normales. Imaginez maintenant ce qui se passe lorsqu'une organisation subit une violation de données. Le compteur de notification à l'ICO est déjà en marche. Les personnes concernées commencent à contacter l'organisation. Certains de ces contacts constitueront des plaintes formelles au titre du cadre DUAA, et non de simples demandes d'information inquiètes. Sans processus interne de traitement des plaintes documenté, l'organisation gère simultanément la réponse à l'incident, une notification réglementaire et un volume indéterminé d'obligations de traitement des plaintes pour lesquelles elle ne dispose d'aucune procédure.

Mayer Brown note que l'ICO a signalé une approche mesurée en matière d'application pendant cette période de transition, notamment lorsque les orientations ne sont pas encore finalisées. Cette formulation mérite une lecture attentive : « mesurée » ne signifie pas « absente ». Le même document précise clairement que la conformité doit être traitée comme une priorité continue, et non reportée jusqu'à la réception d'une mise en demeure.

Pour les équipes proches de la sécurité, l'implication concrète est que les guides de réponse aux incidents doivent désormais inclure un volet de traitement des plaintes : qui reçoit les plaintes formelles relatives aux données lors d'un incident, quel est le calendrier d'accusé de réception et de réponse, et comment ces plaintes s'articulent avec le processus de notification à l'ICO se déroulant en parallèle.

Ce que les organisations doivent faire maintenant

L'obligation est déjà en vigueur. La question est de savoir si votre processus interne est documenté, communiqué et testé. Sur la base des orientations recensées chez Mayer Brown, Mintz, Sidley et Squire Patton Boggs, la liste de contrôle pratique se présente comme suit.

Premièrement, établissez un canal défini pour recevoir les plaintes relatives à la protection des données, distinct des files d'attente générales du service client. Deuxièmement, documentez une procédure de réponse qui tient compte du délai indicatif de 45 jours fixé par l'ICO et identifie le responsable de chaque étape au sein de l'organisation. Troisièmement, mettez à jour les avis de confidentialité pour y intégrer le nouveau droit de plainte. Quatrièmement, formez toute personne qui traite les communications entrantes à reconnaître le moment où un message passe d'une demande courante à une plainte réglementée. Les orientations publiées par l'ICO sur le traitement des plaintes en matière de protection des données constituent la référence principale pour calibrer ce processus.

Les organisations qui disposent déjà de workflows matures pour le traitement des demandes d'accès ont une longueur d'avance structurelle : l'infrastructure sous-jacente de cartographie des données et de responsabilité des réponses est transférable. Celles qui n'en disposent pas devraient considérer juin 2026 non pas comme une échéance déjà dépassée, mais comme le moment à partir duquel la construction du processus est devenue incontournable. La posture d'application mesurée de l'ICO crée une courte fenêtre de tolérance pratique ; elle ne constitue pas une protection permanente.