la Commission européenne propose d’assouplir le RGPD et la directive ePrivacy

Le RGPD a marqué un tournant en 2018, imposant une plus grande transparence sur la collecte et l’usage des données au sein de l’Union européenne. L’application d’une directive « ePrivacy » modifiée a notamment rendu obligatoire la demande de consentement pour les cookies, ces traceurs qui suivent le parcours des internautes.

Aujourd’hui, la Commission évoque une « fatigue liée au consentement et à la prolifération des bandeaux » pour justifier la modification de la directive ePrivacy. Le projet vise à centraliser les règles : l’encadrement serait désormais regroupé sous le seul RGPD. Mais aussi à simplifier l’enregistrement du choix : Les internautes pourront enregistrer leur préférence de consentement directement dans leur navigateur ou via une autre application. Le but est d’éviter l’affichage systématique et répétitif des bandeaux sur chaque site.

Toutefois, une exception est prévue pour la presse. Compte tenu de « l’importance des sources de revenus en ligne pour le journalisme indépendant », les médias conserveraient la possibilité de demander l’accord des internautes visitant leurs sites de manière directe.

Entraînement des IA

L’autre évolution majeure concerne l’accès aux données personnelles par les entreprises de la Tech, qui se sont régulièrement inquiétées d’une réglementation européenne trop stricte, en particulier depuis l’explosion de l’IA.

Pour « stimuler les opportunités pour un environnement commercial dynamique » et encourager le partage et la réutilisation des données, l’exécutif européen introduit un nouveau motif d’utilisation pour l’entraînement des modèles d’IA.

Les entreprises pourraient se fonder sur un « intérêt légitime » pour alimenter leurs modèles d’IA pendant les phases d’entraînement ou de test. Cet usage ne doit pourtant pas outrepasser les « intérêts ou droits et libertés fondamentaux » des utilisateurs.

Le projet entend également « clarifier » la définition même de « données personnelles », pour la réduire aux seuls éléments qui, à eux seuls, permettent d’identifier clairement une personne.

En parallèle, le texte prévoit d’autres allègements administratifs. Par exemple, en cas de fuite de données personnelles, le niveau de risque est relevé avant d’exiger une alerte aux autorités, et le délai de l’obligation d’alerte est rallongé.

Un « recul massif » dénoncé par les associations

Ce projet de modification a immédiatement suscité la colère des associations de défense des droits numériques.

L’association autrichienne Noyb a dénoncé un texte qui « dégrade massivement la protection des Européens ». Selon elle, les changements proposés représentent un « cadeau aux grandes entreprises technologiques américaines » en ouvrant de « nombreuses nouvelles failles » que leurs services juridiques pourront exploiter.

Le lendemain de l’officialisation du projet, 127 associations et organisations européennes se sont alarmées de ce qu’elles considèrent comme « le plus grand recul des droits fondamentaux numériques de l’histoire de l’UE ». Elles ont rappelé que le RGPD est « l’un des rares mécanismes qui offre au public des moyens de s’élever contre des entreprises puissantes ou des autorités lorsqu’elles dépassent les limites ».