Règles pour les sites web au Royaume-Uni
Les sites web britanniques relèvent du UK GDPR et de PECR. L’ICO applique les règles de confidentialité avec des amendes pouvant atteindre 17,5 millions £. L’enregistrement Companies House doit être affiché.
Autorité de protection des données :
Information Commissioner's Office
(ICO)
Exigences
4
règles spécifiques au pays
Guides
1
guides disponibles
Exigences spécifiques pour Royaume-Uni
Numéro Companies House
Les sociétés limited britanniques doivent afficher leur numéro d’enregistrement, leur place d’immatriculation et leur siège social sur leur site web (Companies (Trading Disclosures) Regulations 2008).
UK GDPR
Le Royaume-Uni a conservé le RGPD après le Brexit sous le nom de UK GDPR. Le contenu est largement identique au RGPD européen, mais l’autorité de contrôle est l’ICO et non la CNIL ou une autre autorité européenne.
PECR (cookies et e-mail)
Les Privacy and Electronic Communications Regulations 2003 régissent les cookies et le marketing électronique. Les amendes peuvent atteindre 500 000 £ (séparées des sanctions UK GDPR).
Accessibilité
Les sites du secteur public doivent respecter WCAG 2.1 AA. La directive Accessibilité européenne (EAA) ne s’applique pas au Royaume-Uni post-Brexit, mais l’Equality Act 2010 impose des « ajustements raisonnables » pour les utilisateurs en situation de handicap.
Application en Royaume-Uni
L’ICO a infligé 20 millions £ à British Airways pour une violation de données en 2018 qui a touché 400 000 clients. Pour les petites organisations, l’ICO a émis des avis d’exécution contre des entreprises qui ne respectaient pas le délai d’un mois pour répondre aux demandes d’accès, avec des sanctions à partir de 500 £ pour les récidives.
Ressources officielles
Pour les entreprises françaises ou belges qui vendent au Royaume-Uni
Depuis le Brexit, le Royaume-Uni n’est plus sous le RGPD européen mais sous le UK GDPR — version britannique conservée et amendée. La décision d’adéquation de la Commission européenne du 28 juin 2021 (renouvelée fin 2025) permet aux données personnelles de circuler librement entre l’UE et le Royaume-Uni. Pas besoin de clauses contractuelles types pour vos prestataires britanniques ordinaires.
Le point qui change : si votre site cible activement les consommateurs britanniques (version en anglais, prix en livres, livraison au Royaume-Uni), l’article 27 du UK GDPR vous oblige à désigner un UK Representative. Un représentant établi en France ou en Belgique sous l’article 27 du RGPD européen ne suffit pas — ce sont deux désignations distinctes. Des prestataires spécialisés (DataRep, GDPR-Rep.eu, EDPO) proposent ce service entre 25 et 50 £ par mois.
L’ICO est nettement moins agressive que la CNIL ou l’AEPD espagnole. Sa pratique d’enforcement principale pour les PME est le rappel public (reprimand) après plainte, non l’amende. Pour un site qui vise les marchés français et britannique en parallèle, la pratique recommandée est de configurer votre bandeau cookies sur la position la plus stricte (CNIL ou ICO selon le cas, en pratique CNIL pour les cookies analytiques) — vous serez conforme des deux côtés de la Manche.
Cookies au Royaume-Uni après la Data (Use and Access) Act 2025
Les règles cookies britanniques se trouvent dans PECR (Privacy and Electronic Communications Regulations 2003), précisément la Regulation 6. La couverture médiatique en 2024-2025 a laissé entendre que la Data (Use and Access) Act 2025 supprimait l’obligation de consentement pour les cookies analytiques. Ce n’est pas ce que prévoit le texte. La loi a clarifié certaines bases légales et le traitement à des fins de recherche, mais PECR Reg 6 reste inchangé.
En novembre 2023, l’ICO a écrit aux exploitants des 100 plus grands sites britanniques pour les avertir que leurs bandeaux ne respectaient pas PECR. En janvier 2024, elle a publié un suivi nommant les sites devenus conformes et ceux qui ne l’étaient toujours pas. La position de l’ICO est désormais explicite : refuser doit être aussi simple qu’accepter, pas de cases pré-cochées, pas de script analytique avant le consentement. Un site français qui s’adresse au public britannique doit s’aligner sur ces critères.
Vérifiez votre site web pour les exigences Royaume-Uni
Notre scanner vérifie automatiquement les exigences spécifiques à Royaume-Uni.