- L’Union européenne s’apprête à rouvrir le chantier de sa régulation numérique, à peine adoptée.
- Avec le projet de règlement « Digital Omnibus », Bruxelles promet de simplifier les textes pour doper l’innovation, mais se heurte déjà à une vive controverse.
Alors que les États membres réclament un allègement des contraintes pour les entreprises, syndicats, ONG et eurodéputés de plusieurs groupes politiques dénoncent une révision à haut risque des garde-fous posés par l’AI Act et le RGPD.
Présenté comme une simple opération de nettoyage juridique, le « Digital Omnibus » touche au cœur de la régulation numérique européenne. La Commission assure vouloir « apporter un soulagement immédiat » aux entreprises et aux citoyens, quand ses détracteurs y voient « le plus grand recul des droits fondamentaux numériques dans l’histoire de l’UE » au bénéfice des géants de la tech.
Un chantier technique… aux conséquences politiques majeures
La Commission européenne doit présenter officiellement, mercredi 19 novembre, son projet de règlement « Digital Omnibus ». Dans les documents préparatoires, l’exécutif décrit ce texte comme « une série de modifications techniques apportées à un vaste corpus de législation numérique (…) pour apporter un soulagement immédiat aux entreprises, aux administrations publiques et aux citoyens ».
Il s’agit de retoucher plusieurs textes phares, dont le Règlement européen sur l’intelligence artificielle (AI Act) et le Règlement général sur la protection des données (RGPD), pour en faciliter l’application jugée trop lourde et trop complexe par de nombreux acteurs économiques.
Mais la société civile ne partage pas ce diagnostic. Des associations de défense des libertés numériques dénoncent une « coupe claire » dans les principaux garde-fous mis en place ces dernières années, qui ouvrirait aux géants américains de la tech « de nombreuses nouvelles brèches ».
AI Act : délais repoussés et accès élargi aux données personnelles
Premier axe de la réforme : l’intelligence artificielle. Le « Digital Omnibus » entend modifier en profondeur le calendrier et certaines modalités d’application de l’AI Act.
La Commission propose ainsi de repousser plusieurs dates butoirs prévues par le texte. L’entrée en vigueur des obligations visant les modèles d’IA dits « à haut risque », aujourd’hui fixée à août 2026, serait décalée jusqu’à la publication des “outils” et “standards nécessaires” à leur application par les entreprises, ou, à défaut, de 16 mois au plus tard.
Plus sensible encore, Bruxelles souhaite autoriser plus largement l’usage de données personnelles pour entraîner les systèmes d’IA. Les concepteurs pourraient exploiter des données d’internautes sans demander de consentement spécifique, en se fondant sur la base légale de l’« intérêt légitime » et dans le respect des autres textes relatifs aux données. La recherche scientifique est explicitement citée parmi les bénéficiaires de cet assouplissement.
Pour le patronat, ces ajustements sont indispensables pour permettre aux acteurs européens de rivaliser avec les mastodontes américains et chinois. Pour les défenseurs de la vie privée, ils risquent au contraire d’éroder la protection des citoyens face à des technologies de plus en plus intrusives.
Redéfinir les données personnelles : le débat explosif sur la pseudonymisation
Autre volet hautement controversé : la définition même des données personnelles. Le « Digital Omnibus » propose d’en exclure les données dites « pseudonymisées », c’est-à-dire celles qui ont été modifiées pour remplacer les données directement identifiantes (nom, prénoms…) par des données indirectement identifiantes (alias, numéro séquentiel…)
La Commission affirme qu’elle ne fait que s’aligner sur une décision récente de la Cour de justice de l’Union européenne. Dans les faits, une entreprise pourrait ainsi réutiliser des données pseudonymisées produites par une autre pour entraîner des IA, sans être soumise au même niveau de contraintes que pour des données pleinement identifiantes.
Pour les ONG, cette redéfinition crée une zone grise dangereuse : des données toujours corrélables à des individus, mais plus clairement protégées comme telles. Elles estiment qu’elle pourrait faciliter des formes de profilage de masse, difficiles à détecter et à contester.
Cookies et cybersécurité : simplifier sans désarmer ?
Le projet s’attaque aussi aux « cookies », devenue le symbole d’une régulation perçue comme bureaucratique et inefficace par de nombreux internautes. Aujourd’hui, les utilisateurs doivent accepter ou refuser des traceurs à chaque ouverture de site web, ce qui a banalisé les clics automatiques sur « tout accepter ».
Pour y remédier, la Commission propose que les citoyens puissent définir une fois pour toutes leurs préférences dans leur navigateur ou leur système d’exploitation. Ces paramètres seraient ensuite appliqués à l’ensemble des sites visités, réduisant les bandeaux à répétition tout en conservant le contrôle utilisateur.
Sur le versant cybersécurité, le « Digital Omnibus » veut également simplifier les obligations de signalement des incidents. Aujourd’hui, les entreprises doivent se conformer à plusieurs textes et notifier différents points de contact. Le nouveau dispositif créerait un point de contact unique, censé réduire la « paperasse » et rendre les procédures plus efficaces.
Bruxelles promet innovation, compétitivité et maintien des droits fondamentaux
Face au feu roulant des critiques, la Commission européenne insiste sur le fait que l’objectif premier du « Digital Omnibus » est de rendre le cadre numérique européen plus lisible et plus praticable, sans renoncer aux ambitions initiales.
« Nos entreprises, en particulier nos start-up et nos petites entreprises, sont souvent freinées par des règles rigides », regrette la vice-présidente de la Commission en charge du numérique dans le communiqué de présentation.
Elle poursuit : « En réduisant la paperasse, en simplifiant la législation européenne, en ouvrant l’accès aux données (…) nous donnons à l’innovation l’espace nécessaire pour se développer et être commercialisée en Europe (…) en veillant à ce que les droits fondamentaux des utilisateurs restent pleinement protégés ».
Bruxelles assume donc une ligne de crête : relâcher certaines contraintes opérationnelles pour les acteurs économiques, tout en garantissant que l’architecture de protection des droits fondamentaux demeure intacte.
Paris et Berlin « se félicitent » d’un allègement jugé indispensable
Sur le plan politique, la Commission peut compter sur l’appui déterminant des deux principales économies du continent. Dans un communiqué commun publié à l’issue d’un sommet franco-allemand sur la souveraineté numérique, la France et l’Allemagne “se félicitent” du projet.
Paris et Berlin dénoncent un régime actuel porteur de « coûts disproportionnés et une insécurité juridique qui portent atteinte à la capacité de croissance et d’innovation des entreprises européennes ».
Les deux capitales appellent à « apporter rapidement un réel allègement des charges administratives excessives qui pèsent sur les acteurs économiques ».
Elles soutiennent notamment le « report de douze mois » des obligations de l’AI Act proposé par la Commission, « pour garantir la sécurité juridique dans le contexte des retards pris dans l’élaboration de la législation dérivée ». Une position qui ancre le « Digital Omnibus » au cœur de la stratégie industrielle européenne face à la compétition mondiale.