À compter du 19 juin 2026, toute organisation britannique qui détient des données personnelles doit disposer d'une procédure de traitement des réclamations conforme — et ce n'est que l'échéance la plus visible d'une vague de réforme qui a discrètement réécrit les règles applicables à l'IA. Le Data (Use and Access) Act 2025 (DUAA) entre en vigueur par étapes, et trois d'entre elles concernent directement quiconque utilise l'IA pour prendre des décisions sur des personnes. Voici ce qui a changé, ce qui est désormais en vigueur, et ce qu'il faut faire avant l'arrivée du futur code de pratique IA du régulateur.

L'essentiel

  • Le DUAA n'est pas une « loi IA britannique » — mais c'est le changement le plus lourd de conséquences sur l'interaction entre IA et données personnelles au Royaume-Uni. Il modifie le UK GDPR sans le remplacer.
  • À compter du 19 juin 2026, une obligation légale de traitement des réclamations (nouvel article 164A du Data Protection Act 2018) impose à chaque responsable de traitement une procédure conforme. Si vous n'en avez pas, vous êtes déjà en retard.
  • Depuis le 5 février 2026, les nouveaux articles 22A à 22D remplacent l'ancien article 22 du UK GDPR : les décisions entièrement automatisées ayant des effets juridiques ou significatifs sont désormais permises sur des données personnelles ordinaires — sous réserve de quatre garanties. Les données sensibles restent strictement encadrées.
  • Un code de pratique de l'ICO sur l'IA et la décision automatisée est désormais légalement requis (en vigueur depuis le 12 mai 2026), mais le code lui-même n'est pas attendu avant 2027. La fenêtre de préparation, c'est maintenant.
  • Un nouveau fondement juridique, l'« intérêt légitime reconnu », supprime le test de mise en balance pour une liste restreinte de finalités d'intérêt public — ce n'est pas un raccourci pour entraîner une IA sur les données clients.

D'abord le cadrage : une réforme, pas une nouvelle loi IA

Le Royaume-Uni n'a toujours pas de texte unique équivalent à l'AI Act européen. Son approche reste fondée sur des principes et déléguée aux régulateurs sectoriels existants, désormais épaulés par des outils comme l'AI Growth Lab — un bac à sable réglementaire transversal lancé le 8 juin 2026, avec les services juridiques et le conveyancing comme premier domaine prioritaire. Quand on demande « quelle est la loi IA britannique ? », la réponse honnête en 2026 est : une mosaïque de régimes existants, menée par la protection des données.

C'est précisément pourquoi le DUAA compte autant. La quasi-totalité de l'IA en entreprise touche des données personnelles — tri de CV, décisions de crédit et de tarification, détection de fraude, profilage client, analytics RH. La loi qui régit ces données régit votre IA. Et cette loi vient de changer sous vos pieds.

Les dates clés, en clair

DateCe qui a changéCe que cela signifie si vous utilisez l'IA
19 juin 2025Sanction royale (Royal Assent) du DUAADébut d'une entrée en vigueur progressive et échelonnée
5 février 2026Les nouveaux articles 22A–22D remplacent l'article 22 du UK GDPR (SI 2026/82) ; ajout de l'« intérêt légitime reconnu »Décisions entièrement automatisées autorisées sur données ordinaires — avec garanties ; données sensibles toujours restreintes
12 mai 2026Entrée en vigueur du règlement sur le code de pratique IA & ADM 2026 (SI 2026/425)L'ICO est désormais légalement tenu de produire un code de pratique IA & décision automatisée
19 juin 2026Obligation légale de traitement des réclamations (nouvel art. 164A DPA 2018)Chaque organisation doit disposer d'une procédure de réclamation conforme
2027 (attendu)Finalisation du code de pratique IA & ADM de l'ICOUne référence légale de « bonne pratique » pour le traitement de données par l'IA

Le point majeur pour l'IA : la décision automatisée a été déréglementée — avec des conditions

Sous l'ancien article 22 du UK GDPR, les décisions fondées uniquement sur un traitement automatisé et produisant des effets juridiques ou significatifs étaient largement interdites, sauf exceptions limitées. Le DUAA inverse cette logique. L'article 80 a remplacé l'article 22 par les nouveaux articles 22A à 22D, en vigueur depuis le 5 février 2026, passant d'un modèle d'interdiction à un modèle d'autorisation assortie de garanties.

Concrètement : vous pouvez désormais prendre des décisions entièrement automatisées et à fort impact sur des personnes à partir de données personnelles ordinaires — à condition de mettre en place quatre garanties. La personne concernée doit pouvoir être :

Une exception majeure demeure : lorsque la décision repose sur des données sensibles (santé, biométrie, origine, orientation sexuelle, religion, etc., au sens de l'article 9), le régime strict subsiste — les décisions entièrement automatisées sont interdites sauf si un fondement de l'article 9 s'applique et que les garanties sont réunies. Si votre modèle touche des attributs sensibles, retenez le niveau d'exigence le plus élevé.

C'est une véritable ouverture commerciale — et un véritable piège de gouvernance. La barrière au déploiement de la décision automatisée baisse ; le coût d'un déploiement sans garanties devient une violation plus claire et plus facilement sanctionnable.

« Intérêt légitime reconnu » : utile, mais pas une licence d'entraînement IA

Le DUAA introduit aussi un nouveau fondement juridique — l'« intérêt légitime reconnu » — qui permet de traiter des données personnelles pour une liste pré-approuvée de finalités d'intérêt public sans réaliser le test de mise en balance habituel. Ces finalités sont restreintes : prévention de la criminalité, sécurité publique, protection des personnes, urgences, et partage de données pour aider d'autres organismes à remplir leurs missions publiques.

Prudence avant de pavoiser. Ce n'est pas un fondement général pour aspirer les données clients dans un modèle. Entraîner une IA sur des données personnelles requiert toujours un fondement juridique standard et, lorsque vous invoquez l'intérêt légitime ordinaire, une analyse de mise en balance documentée. Traitez l'« intérêt légitime reconnu » comme un outil au périmètre étroit, pas comme un feu vert.

L'ICO devient l'Information Commission — et rédige le règlement IA

Deux évolutions de gouvernance comptent pour les dirigeants IA. D'abord, l'ICO est restructuré en Information Commission, avec un modèle conseil d'administration et directeur général, des pouvoirs de sanction modernisés, et l'obligation de réclamation ci-dessus intégrée à son périmètre. Ensuite, plus stratégique : le règlement sur le code de pratique relatif à l'intelligence artificielle et à la décision automatisée 2026 (SI 2026/425), en vigueur depuis le 12 mai 2026, oblige légalement le régulateur à produire un code de pratique sur le traitement des données personnelles dans le développement et l'usage de l'IA.

Le hic : le code n'a pas été rédigé et aucun calendrier de consultation n'est confirmé. Une date réaliste d'achèvement est 2027. Ce n'est pas une raison d'attendre — c'est une raison de bâtir votre gouvernance maintenant, sur les principes déjà en vigueur, pour que le futur code vous trouve conforme plutôt qu'en panique.

Ce que les entreprises britanniques doivent faire dès maintenant

  1. Cartographiez vos décisions automatisées. Recensez chaque endroit où un modèle décide significativement à propos d'une personne — recrutement, crédit, tarification, fraude, éligibilité. On ne protège pas ce qu'on n'a pas identifié.
  2. Mettez en place les quatre garanties ADM partout où des décisions entièrement automatisées et à fort impact sont prises : information, observations, réexamen humain, voie de contestation.
  3. Déployez la procédure de réclamation sans attendre. L'obligation du 19 juin 2026 est en vigueur. Une procédure de réclamation conforme et documentée n'est plus optionnelle.
  4. Actualisez vos AIPD et votre registre des traitements. Le nouveau cadre ADM et les fondements juridiques modifient votre cartographie des risques ; votre documentation doit refléter les règles de 2026, pas celles de 2018.
  5. Distinguez « pouvoir » et « devoir ». Une moindre friction juridique ne signifie pas un moindre risque réputationnel. Décidez, par principe et pas seulement par légalité, où la décision automatisée est appropriée.
  6. Formez les personnes dans la boucle. L'« intervention humaine » ne vaut que si l'humain est compétent et habilité. Les réviseurs de première ligne, les RH et les managers doivent comprendre ce qu'exige réellement un réexamen sérieux.

Où se situe Spicy Advisory

C'est ce que la plupart des déploiements IA ratent : gouvernance et adoption sont traitées comme deux projets distincts, par des équipes distinctes, sur des calendriers distincts. Le DUAA comble cet écart — les garanties ne sont réelles que si les personnes qui opèrent votre IA les comprennent et les appliquent.

Spicy Advisory est un cabinet boutique de conseil et de formation IA dirigé par ses fondateurs. Nous avons formé plus de 1 500 professionnels dans plus de 50 entreprises dont L'Oréal, EssilorLuxottica et l'IGN, avec une note client de 4,98/5. Nous aidons les équipes britanniques à transformer la réglementation en réalité opérationnelle : un audit de maturité et de gouvernance IA qui cartographie vos décisions automatisées, un sprint stratégie IA qui traduit les garanties du DUAA en workflows réellement utilisés, et un accompagnement terrain pour que « l'humain dans la boucle » soit un humain formé, pas un tampon — en anglais ou en français. Pour les fondations de gouvernance, voir nos guides sur le cadre de gouvernance IA de l'ICO et la comparaison réglementation IA UK / UE.

Questions fréquentes

Le Royaume-Uni a-t-il une loi IA comme l'UE ?

Non. En 2026, le Royaume-Uni n'a pas de loi IA unique équivalente à l'AI Act européen. Il encadre l'IA via des régimes existants — menés par la protection des données au titre du UK GDPR et du Data (Use and Access) Act 2025 — ainsi que les régulateurs sectoriels et des outils comme le bac à sable réglementaire AI Growth Lab lancé le 8 juin 2026. Un code de pratique IA de l'ICO est imposé mais pas encore rédigé.

Quelle est l'échéance du 19 juin 2026 dans le Data (Use and Access) Act ?

À compter du 19 juin 2026, une nouvelle obligation légale de traitement des réclamations (article 164A du Data Protection Act 2018) impose à chaque responsable de traitement une procédure conforme pour gérer les réclamations relatives à la protection des données, environ douze mois après la sanction royale du texte. Les organisations sans procédure documentée sont déjà en retard.

Peut-on désormais utiliser l'IA pour prendre des décisions automatisées sur des personnes au Royaume-Uni ?

Oui, davantage qu'avant. Depuis le 5 février 2026, les nouveaux articles 22A–22D autorisent les décisions entièrement automatisées à effets juridiques ou significatifs sur des données personnelles ordinaires, à condition de fournir à la personne une information, un moyen de présenter ses observations, une intervention humaine et une voie de contestation. Les décisions reposant sur des données sensibles restent strictement encadrées.

L'« intérêt légitime reconnu » permet-il d'entraîner une IA sur les données clients ?

Non. Ce nouveau fondement supprime le test de mise en balance uniquement pour une liste restreinte de finalités d'intérêt public comme la prévention de la criminalité, la protection des personnes et les urgences. Entraîner une IA sur des données personnelles requiert toujours un fondement juridique standard et, en cas d'intérêt légitime ordinaire, une analyse de mise en balance documentée.

Quand le code de pratique IA de l'ICO arrivera-t-il, et que faire d'ici là ?

Le règlement qui l'impose est entré en vigueur le 12 mai 2026, mais le code lui-même n'est pas attendu avant 2027. Profitez de cette fenêtre pour bâtir votre gouvernance sur les règles déjà en vigueur — les garanties des articles 22A–22D, l'obligation de réclamation et des AIPD actualisées — afin que le futur code vous trouve conforme.

Envie de traduire cela en plan d'action pour votre stack et vos équipes ? Réservez un audit IA gratuit de 20 minutes, ou consultez d'abord nos avis clients.