Pendant des années, les conversations sur la réglementation des données au Royaume-Uni ont largement tourné autour du même cadre. Le GDPR a remodelé la façon dont les organisations collectent et protègent les données personnelles, la loi sur la protection des données a renforcé ces obligations, et les responsables de la sécurité ont mis en place des structures de gouvernance pour garantir la conformité dans l’ensemble de leurs organisations.
De nombreux RSSI ont passé la dernière décennie à affiner les politiques, à former les employés et à mettre en œuvre des contrôles conçus pour répondre à ces normes.
Mais la réglementation n’est jamais figée.
Loi de 2025 sur l’utilisation et l’accès aux données (DUAA) représente l’une des évolutions les plus importantes dans le paysage de la gouvernance des données au Royaume-Uni depuis l’entrée en vigueur du GDPR. Bien que la loi ne remplace pas la réglementation existante, elle introduit de nouvelles attentes concernant la manière dont les organisations accèdent, partagent, gouvernent et utilisent les données dans des environnements numériques de plus en plus complexes.
Pour les RSSI, cela est important car de nombreux changements se situent directement à l’intersection de la cybersécurité, de la gouvernance et du comportement humain. La loi introduit des attentes évolutives concernant l’utilisation de l’IA, l’accès aux données internes, la surveillance réglementaire et la responsabilité organisationnelle. Ce sont tous des domaines dans lesquels les responsables de la sécurité assument déjà des responsabilités importantes.
Alors que les organisations continuent d’interpréter ce que la législation signifie dans la pratique en 2026, une chose devient de plus en plus claire. La conformité dépendra autant des personnes, des processus et de la culture que de la technologie.
Pourquoi la loi sur l’utilisation et l’accès aux données est-elle importante aujourd’hui ?
Bien que la loi ait été adoptée en 2025, de nombreuses organisations commencent seulement à comprendre ses implications pratiques.
La législation vise à moderniser la manière dont les données peuvent être consultées et utilisées dans l’ensemble de l’économie britannique. En termes simples, elle encourage les organisations à mieux utiliser les données tout en maintenant de fortes protections pour les individus et les informations sensibles.
Cet équilibre crée de nouveaux défis pour les RSSI.
Les organisations sont encouragées à valoriser les données, à collaborer entre les équipes et à explorer les technologies émergentes telles que l’intelligence artificielle. Dans le même temps, elles restent responsables de la protection des informations sensibles, de la mise en place de contrôles d’accès appropriés et de la démonstration de la conformité lorsque les régulateurs posent des questions.
Les responsables de la sécurité naviguent donc dans un environnement plus complexe où l’activation et la protection des données doivent coexister.
Pour trouver cet équilibre, il faut une gouvernance claire, des processus internes solides et un personnel qui comprend ses responsabilités lorsqu’il manipule les données de l’organisation.
Une plus grande attention portée à la gouvernance des données et à la responsabilité
L’un des thèmes les plus importants de la loi est l’accent mis sur la gouvernance des données structurées.
La plupart des organisations disposent déjà de politiques couvrant la classification des données, la gestion de l’accès et la conservation. Cependant, la DUAA renforce l’attente selon laquelle les organisations devraient avoir une compréhension claire et vérifiable de la manière dont les données circulent dans l’entreprise.
Il s’agit notamment de savoir qui a accès à des ensembles de données spécifiques, pourquoi cet accès est nécessaire et comment les informations sensibles sont partagées en interne ou en externe.
Pour les RSSI, cette évolution accroît l’importance de la visibilité et de la surveillance. Les équipes de sécurité ne se concentrent plus uniquement sur les menaces externes. Elles doivent également avoir la certitude que les accès internes légitimes sont utilisés de manière appropriée.
C’est là que le comportement humain devient critique. Même les contrôles techniques les plus robustes ne peuvent pas empêcher totalement l’exposition accidentelle de données ou le partage inapproprié si les employés ne sont pas conscients des risques ou ne connaissent pas clairement les règles.
Une communication claire, une formation régulière et des processus bien définis sont donc des éléments essentiels d’une gouvernance des données efficace.
Nouvelles considérations autour de l’IA et de l’utilisation des données
Un autre aspect évolutif de la loi est sa pertinence pour l’IA et la prise de décision automatisée.
Les organisations expérimentent de plus en plus d’outils d’IA qui s’appuient sur de grands volumes de données. Qu’il s’agisse d’outils de productivité internes ou de services destinés aux clients, l’IA s’intègre rapidement dans les activités quotidiennes des entreprises.
Le DUAA renforce la nécessité pour les organisations de comprendre comment les données sont utilisées dans ces systèmes et si l’utilisation de ces données est conforme aux exigences de gouvernance et de réglementation.
Pour les RSSI, cela introduit de nouveaux défis en matière de surveillance. Les responsables de la sécurité ont besoin de visibilité sur la manière dont les technologies émergentes interagissent avec les données de l’organisation, en particulier lorsque ces outils sont adoptés rapidement ou sans gouvernance centrale.
L’IA peut apporter d’énormes avantages, mais elle soulève également d’importantes questions sur la transparence, les autorisations d’accès et l’utilisation responsable des données. S’assurer que les employés comprennent les risques et les limites liés à l’utilisation des données devient un élément important de la gestion de ce risque.
Renforcement de la surveillance et de l’application de la réglementation
Comme pour de nombreuses modifications réglementaires, l’impact réel de la loi sera probablement perçu par le biais de l’application et de la surveillance.
Les régulateurs devraient accorder une importance croissante à la capacité des organisations à démontrer qu’elles disposent d’une gouvernance, de contrôles et de processus appropriés. La documentation, les dossiers de formation et des politiques internes claires font partie intégrante de cette histoire.
Pour les RSSI, cela renforce un défi familier. La conformité ne consiste pas seulement à disposer des bons outils ou des bonnes politiques sur papier. Elle exige de prouver que les employés comprennent ces politiques et les appliquent de manière cohérente dans leur travail quotidien.
Les programmes de sensibilisation à la sécurité jouent un rôle important en aidant les organisations à démontrer que la gouvernance des données est ancrée dans la culture organisationnelle et n’existe pas seulement dans la documentation.
L’élément humain de la conformité des données
De nombreuses exigences associées à la loi sur l’utilisation et l’accès aux données reviennent en fin de compte aux personnes.
Les employés accèdent aux systèmes, partagent des informations, collaborent entre services et adoptent de nouvelles technologies. Ces actions quotidiennes peuvent renforcer ou affaiblir la capacité d’une organisation à gérer les données de manière responsable.
C’est pourquoi les RSSI s’attachent de plus en plus à créer une culture dans laquelle les employés comprennent la valeur des données et les risques associés à leur mauvaise manipulation.
Lorsque les employés savent comment identifier les informations sensibles, comprennent les limites de l’accès aux données et se sentent en confiance pour signaler les problèmes potentiels, les organisations sont bien mieux placées pour répondre aux attentes réglementaires en constante évolution.
Pour créer cette culture, il faut des messages cohérents, une formation attrayante et des conseils pratiques qui intègrent la protection des données dans la prise de décision quotidienne.
Comment MetaCompliance peut vous aider
Pour naviguer dans une législation en constante évolution telle que la loi de 2025 sur l’utilisation et l’accès aux données, il ne suffit pas de mettre à jour les politiques. Les organisations ont besoin de moyens pratiques pour former les employés, renforcer les attentes et démontrer la conformité.
MetaCompliance soutient les organisations en les aidant à mettre en place des programmes de sensibilisation structurés et mesurables qui intègrent les responsabilités en matière de protection des données dans le comportement quotidien.
Notre bibliothèque de formation comprend des cours dédiés couvrant les domaines clés que les organisations doivent comprendre en vertu de la loi, depuis une introduction à la législation elle-même jusqu’à son impact sur le GDPR, les communications marketing, l’engagement réglementaire et le traitement des plaintes. Le contenu est conçu pour donner aux équipes dirigeantes et aux employés une compréhension claire et pratique de la façon dont les changements affectent leurs responsabilités quotidiennes.
Ces modules aident les équipes dirigeantes et les employés à comprendre comment la législation affecte leurs responsabilités, depuis la gouvernance et l’engagement réglementaire jusqu’aux processus pratiques de traitement des données.
Parallèlement à l’apprentissage, MetaCompliance fournit les outils dont les organisations ont besoin pour gérer les politiquesde suivre la compréhension des employés et de tenir des registres clairs qui démontrent la conformité.
Alors que la réglementation sur les données continue d’évoluer, les organisations qui réussiront seront celles qui associeront une gouvernance solide, une technologie efficace et un personnel qui comprendra son rôle dans la protection des données.
Pour les RSSI, la mise en place de cette culture devient rapidement l’un des aspects les plus importants de la gestion des risques cybernétiques et réglementaires.
Pour en savoir plus, contactez avec notre équipe.