Les organisations qui opèrent dans l’économie numérique sont confrontées à un cadre réglementaire de plus en plus complexe. Outre le Règlement général sur la protection des données (RGPD), de nombreux instruments supplémentaires sont désormais en vigueur, tels que le Digital Services Act, le Digital Markets Act et l’AI Act, qui imposent chacun leurs propres obligations en matière de données et de technologie.
Dans la pratique, cette accumulation de réglementations est source d’incertitude et engendre des coûts administratifs liés à la mise en conformité. Cette prolifération de réglementations est considérée comme l’une des causes du problème de compétitivité auquel l’UE est confrontée.
Le « Digital Omnibus » est une ambitieuse proposition visant à simplifier le cadre réglementaire européen du numérique. Il s’agit selon la Commission européenne, d’une mesure purement technique qui ne remet pas en cause les objectifs sous-jacents.
Bien que le « Digital Omnibus » couvre plusieurs domaines, c’est surtout la proposition de modifier le RGPD qui suscite un vif débat. Nous mettons en lumière trois changements marquants.
L’une des modifications les plus importantes proposées concerne la définition même des « données à caractère personnel » (art. 4.1, du RGPD).
Aujourd’hui, cette notion fait l’objet d’une interprétation large : les données sont considérées comme des données à caractère personnel dès lors qu’une personne est identifiable, quelle que soit l’entité disposant des moyens de rendre cette identification effective. Dans la pratique, cela conduit à une application très large du RGPD, y compris dans des situations où l’identification relève plutôt du domaine théorique.
Le Digital Omnibus semble vouloir nuancer cette approche. Il est proposé de subordonner la qualification de « donnée à caractère personnel » aux possibilités concrètes dont dispose le responsable du traitement. Les données ne seraient désormais considérées comme des données à caractère personnel que si la partie concernée est raisonnablement en mesure d’identifier effectivement la personne concernée. Cela implique un glissement fondamental d’une conception absolue vers une conception relative, tenant compte du contexte.
Un tel changement entraînerait des conséquences importantes sur le champ d’application du RGPD. Les données pseudonymisées, par exemple, ne seraient plus considérées comme des « données à caractère personnel » lorsque la réidentification est interdite par la loi ou s’avère pratiquement impossible sans efforts disproportionnés.
Pour les entreprises, cela ouvre toutes sortes de perspectives – notamment en matière d’analyse de données et de formation/déploiement de systèmes d’IA basés sur des données dont l’utilisation est actuellement interdite.
NOYB et d’autres associations de défense des droits soulignent les risques fondamentaux liés à une telle réforme. En effet, l’appréciation de ce qui est « raisonnablement possible » dépend fortement des circonstances concrètes, des technologies disponibles et des moyens dont dispose l’organisation concernée. Alors que la définition actuelle offre une sécurité juridique, une approche plus contextuelle risque d’aboutir à l’inverse.
Une deuxième évolution réside dans la numérisation poussée de l’économie, où les données sont de plus en plus considérées comme une « matière première » et où les systèmes d’IA ont fait leur apparition dans pratiquement tous les secteurs.
Le RGPD actuel a été conçu à une époque où le traitement de données à grande échelle et les systèmes d’IA auto-apprenants ne jouaient pas encore un rôle central. Cela crée aujourd’hui un véritable fossé entre le cadre juridique et la réalité technologique.
Le « Digital Omnibus » semble vouloir apaiser ces tensions en accordant explicitement davantage de latitude pour l’utilisation des données, notamment dans le cadre de l’IA. Il ne vise pas seulement à simplifier les procédures, mais aussi à renforcer la compétitivité européenne en matière d’innovation numérique.
Ainsi, dans certains cas, les responsables du traitement pourraient invoquer un « intérêt légitime » comme fondement juridique pour le traitement des données à caractère personnel dans le cadre du développement et de l’exploitation de systèmes d’IA. Cela marque un changement notable par rapport à la pratique actuelle, qui repose souvent sur le consentement ou d’autres fondements juridiques plus restrictifs.
Il est également tenu compte de la réalité technique des systèmes d’IA, dans lesquels des données – y compris des données potentiellement sensibles – peuvent parfois subsister involontairement dans des sets de données ou des modèles. Cette présence dite « résiduelle » ne serait plus automatiquement considérée comme une violation, tant qu’il n’y a pas de traitement intentionnel et que des garanties supplémentaires appropriées sont mises en place.
Ces évolutions témoignent d’une tendance plus générale selon laquelle le cadre réglementaire ne vise plus uniquement à limiter le traitement des données, mais aussi à favoriser l’innovation.
Pour les entreprises, cela offre indéniablement des opportunités. Des données qui sont aujourd’hui difficiles, voire impossibles à exploiter dans le cadre du RGPD pourraient, à l’avenir, être utilisées de manière plus souple pour le développement et l’utilisation de systèmes d’IA. En ce sens, cette réforme peut contribuer à renforcer la sécurité juridique et à réduire les coûts de mise en conformité, ce qui pourrait considérablement faciliter l’accès au marché pour les start-ups et les scale-ups (technologiques).
Les modifications proposées ne font pas l’unanimité. Les détracteurs soulignent que le champ d’application de l’« intérêt légitime » est considérablement élargi et que l’exploitation des systèmes d’IA pourrait également en relever. De plus, la protection des données sensibles est affaiblie par la tolérance d’une présence « résiduelle » dans les sets de données.
La pratique montrera si ces modifications proposées peuvent réellement stimuler l’innovation et la compétitivité sans compromettre le rôle protecteur du RGPD.
Une troisième évolution importante concerne la manière dont la conformité au RGPD est abordée.
La réglementation actuelle est souvent perçue comme formaliste et lourde sur le plan administratif, mettant fortement l’accent sur la documentation, les procédures et les obligations de déclaration. Le Digital Omnibus semble vouloir repenser cette approche en misant davantage sur une démarche basée sur les risques.
Cela se traduit notamment par un certain nombre d’assouplissements concrets :
Ces évolutions témoignent d’un choix politique clair : mettre moins l’accent sur le respect formel des règles et davantage sur l’évaluation des risques et la proportionnalité.
Pour les entreprises, cela pourrait potentiellement alléger la charge administrative. Dans le même temps, cette évolution implique que les organisations assument elles-mêmes une plus grande responsabilité dans l’évaluation et la documentation des risques, ainsi que dans la reddition de comptes.
Les modifications proposées dans le cadre du « Digital Omnibus » marquent un changement d’orientation clair pour le RGPD, avec un transfert (supplémentaire) des responsabilités vers les organisations relevant de son champ d’application.
Alors que l’accent était initialement mis sur la protection et la restriction, le modèle envisagé semble accorder davantage d’importance à l’efficacité économique et à l’innovation technologique.
Le principal défi consistera à concilier cette évolution avec les objectifs initiaux : garantir un niveau élevé de protection des données à caractère personnel en tant que droit fondamental. Enfin, seule la pratique permettra de déterminer si les assouplissements finaux suffiront à combler réellement le fossé européen en matière d’innovation et de compétitivité.