Simplification pour limiter la « paperasse » ou « recul des droits » ? Ce que prévoit le « Digital Omnibus », qui veut changer les règles du numérique dans l’UE

La Commission européenne propose de modifier plusieurs textes clés, notamment ceux encadrant l’intelligence artificielle et les données personnelles. Si le patronat salue des changements censés faciliter l’innovation, des associations de défense de la vie privée dénoncent de leur côté un affaiblissement des règles qui protègent les citoyens.

« Un coup d’accélérateur décisif pour la compétitivité industrielle de l’Europe » ou le « plus grand recul des droits fondamentaux numériques dans l’histoire de l’Union européenne » ? Les débats se sont enflammés avant même que la Commission européenne ne présente officiellement son « Digital Omnibus », mercredi 19 novembre. Cette proposition de règlement est décrite par l’exécutif européen comme « une série de modifications techniques apportées à un vaste corpus de législation numérique (…) pour apporter un soulagement immédiat aux entreprises, aux administrations publiques et aux citoyens ».

Des associations dénoncent pour leur part une coupe claire dans plusieurs textes phares de la réglementation européenne, dont le Règlement européen sur l’intelligence artificielle (AI Act) et le Règlement général sur la protection des données (RGPD), qui permettra aux géants américains de la tech d’exploiter « de nombreuses nouvelles brèches ». Voici ce qu’il faut savoir de ce projet.

De nombreuses mesures sur l’intelligence artificielle et les données personnelles

Le « Digital Omnibus » entend modifier de nombreuses règles qui encadrent la création d’intelligence artificielle (IA) en Europe. La Commission européenne propose par exemple de repousser plusieurs dates butoirs prévues par l’AI Act. L’entrée en vigueur des obligations concernant les modèles d’IA dits « à haut risque », actuellement prévue pour août 2026, serait décalée jusqu’à la publication d' »outils » et de « standards nécessaires » à leur application par les entreprises, ou de 16 mois au plus tard.

Surtout, la proposition veut autoriser les concepteurs d’IA à utiliser plus largement des données personnelles d’internautes pour entraîner leurs programmes, sans avoir à demander de consentement spécifique aux individus concernés, sur la base légale de l' »intérêt légitime » et dans le respect des autres textes relatifs aux données. La recherche scientifique bénéficierait par exemple de cette autorisation élargie.

Les concepteurs de modèles d’IA qui contiennent déjà des données personnelles ne devraient pas les reprendre à zéro pour les expurger, s’ils ont mis en place des mesures pour limiter leur collecte initiale et pour limiter la capacité des IA à les « recracher » intactes.

Autre point important : le « Digital Omnibus » propose de modifier la définition des données personnelles pour en exclure les données « pseudonymisées », c’est-à-dire qui ont été modifiées pour « remplacer les données directement identifiantes (nom, prénoms…) par des données indirectement identifiantes (alias, numéro séquentiel…) », comme l’explique la Cnil, le gendarme français des données personnelles. La Commission européenne affirme qu’elle s’aligne sur une décision récente de la Cour de justice de l’UE. Une entreprise pourrait donc utiliser des données « pseudonymisées » par une autre pour entraîner des IA, par exemple.

Pour lutter contre la « fatigue des cookies », la Commission propose également de modifier les règles entourant ces trackers qui pistent vos actions sur internet. Les utilisateurs n’auraient plus à accepter ou refuser le dépôt de cookies à l’ouverture de chaque site web, mais pourraient définir leur préférence générale directement sur leur navigateur et leur système d’exploitation. Enfin, sur le volet cybersécurité, le « Digital Omnibus » prévoit de simplifier les obligations de signalements qui incombent aux entreprises, encadrées par plusieurs textes différents, en créant un point de contact unique.

Une lutte contre la « paperasse » favorable à l’innovation, selon ses soutiens

La Commission européenne affirme que son projet simplifiera les règles pour favoriser l’innovation et la compétitivité, tout en protégeant les libertés personnelles. « Nos entreprises, en particulier nos start-up et nos petites entreprises, sont souvent freinées par des règles rigides », déplore la vice-présidente de la Commission en charge du Numérique dans le communiqué de l’institution. 

« En réduisant la paperasse, en simplifiant la législation européenne, en ouvrant l’accès aux données (…) nous donnons à l’innovation l’espace nécessaire pour se développer et être commercialisée en Europe (…) en veillant à ce que les droits fondamentaux des utilisateurs restent pleinement protégés », ajoute Henna Virkkunen. Ce mouvement de simplification est promis depuis le début de l’année par la Commission européenne, depuis la publication de sa « boussole de compétitivité » et le Sommet pour l’action sur l’IA en février à Paris.

La France et l’Allemagne « se félicitent » de ce projet, selon un communiqué commun publié mardi, à l’issue du sommet franco-allemand sur la souveraineté numérique. Paris et Berlin évoquent un régime actuel porteur de « coûts disproportionnés et une insécurité juridique qui portent atteinte à la capacité de croissance et d’innovation des entreprises européennes ». Ils appellent, entre autres, à « apporter rapidement un réel allègement des charges administratives excessives qui pèsent sur les acteurs économiques ». Ils demandent notamment le « report de douze mois » des obligations de l’AI Act proposé par la Commission, « pour garantir la sécurité juridique dans le contexte des retards pris dans l’élaboration de la législation dérivée ».

L’organisation patronale BusinessEurope a également salué dans un communiqué des mesures qui répondent « aux demandes légitimes et anciennes des entrepreneurs européens », appelant les Etats membres et le Parlement européen à les approuver rapidement. Le Parti populaire européen (PPE, droite), le plus gros groupe parlementaire européen, a salué dans un communiqué « un coup d’accélérateur décisif pour la compétitivité industrielle de l’Europe ».

Un « cadeau » aux géants américains de la tech, selon ses détracteurs

Le texte du « Digital Omnibus », qui a fuité quelques jours avant sa présentation officielle, a vite entraîné une levée de boucliers des groupes spécialisés dans la protection des données. « Ce qui est présenté comme une ‘simplification technique’ (…) est en réalité une tentative de démanteler secrètement les plus fortes protections de l’UE contre les menaces numériques », dénoncent dans une lettre 127 syndicats et organisations de la société civile européenne, qui critiquent « le plus grand recul des droits fondamentaux numériques dans l’histoire de l’UE (…) à l’aide de processus bâclés et opaques conçus pour éviter le contrôle démocratique ».

L’organisation autrichienne de protection de la vie privée NOYB (pour « None of your Business », ou « ça ne vous regarde pas » en français), fer de lance de la contestation, retoque de nombreux arguments de la Commission. Ces mesures « ne présentent pratiquement aucun avantage réel pour les petites et moyennes entreprises européennes », car « la plupart des articles deviennent plus complexes, flous et illogiques », mais elles « constituent un cadeau pour les géants technologiques américains » en ouvrant « de nombreuses nouvelles brèches que leurs services juridiques pourront exploiter », argue l’ONG dans un communiqué.

Elle critique également les changements de définition des données personnelles pour exclure les données « pseudonymisées », qui introduisent une « approche subjective » menaçant l’applicabilité du RGPD, et l’élargissement des types de données utilisables par les entreprises d’IA. « Cela profite principalement à l’industrie américaine qui pèse des milliers de milliards de dollars et qui élabore des modèles [d’IA] basés sur nos données personnelles », dénonce le cofondateur de NOYB, le militant autrichien Max Schrems.

Le « Digital Omnibus » est aussi décrié au sein même des institutions européennes. « L’Omnibus ne doit pas affaiblir l’application de nos règles », réclame le groupe Socialistes & Démocrates (gauche) au Parlement européen. Il rappelle, dans un communiqué publié le 11 novembre, que « le leadership européen en matière de régulation (…) est sous pression, dans un contexte géopolitique où les Big Tech attaquent frontalement nos règles ». Le groupe Renew Europe (centre) a également fait part de ses « importantes préoccupations » face à l' »affaiblissement possible des principes centraux du RGPD, une protection réduite des données sensibles et la création de larges exemptions susceptibles de permettre un suivi intrusif ou un profilage discriminatoire ».

Une adoption encore lointaine

Le « Digital Omnibus » n’est encore qu’une « proposition » qui « va maintenant être soumise au Parlement européen et au Conseil de l’Union européenne pour adoption », écrit la Commission européenne. Selon le cabinet d’avocats international Bird & Bird, spécialisé dans les questions numériques, les comités du Parlement européen concernés par le dossier devraient s’en saisir dans les prochaines semaines, mais la procédure réglementaire européenne pourra s’étendre jusqu’à mi-2026, sauf si une procédure d’urgence est déclenchée, comme dans le cadre de précédents paquets « omnibus ».