Paquet ‘Digital Omnibus’ : la Commission propose d’assouplir le RGPD et les règles sur l’IA

Le 19 novembre prochain, la Commission européenne prévoit d’adopter un ensemble de modifications réglementaires regroupées sous le nom de « Digital Omnibus ». D’apres des textes consultés par l’association allemande Netzpolitik.org et des informations parues dans le Financial Times, le projet vise non seulement l’AI Act mais aussi le règlement général sur la protection des données (RGPD), avec des conséquences potentielles sur la façon dont les entreprises traitent les données personnelles.

Un assouplissement du consentement pour les cookies

Selon le texte, la Commission proposerait de transférer la régulation des cookies de la directive ePrivacy au RGPD en introduisant un nouvel article 88 bis, couvrant le « traitement des données à caractère personnel sur et à partir d’équipements terminaux ». Actuellement, l’article 5, paragraphe 3, de la directive ePrivacy exige un consentement explicite avant de stocker ou d’accéder à des cookies non essentiels.

La modification envisagée supprimerait l’obligation pour les sites d’obtenir un consentement explicite pour déposer des cookies de suivi et autoriserait explicitement l’entraînement des IA sur des données personnelles quand cela est justifié par les « intérêts légitimes » des entreprises. Les sites pourraient donc traiter les données collectées via des cookies sur la base d’une liste restreinte de finalités jugées à faible risque ou sur tout autre fondement prévu par le RGPD, dont l’intérêt légitime. Le projet note que « si le consentement est nécessaire pour garantir le contrôle des personnes concernées, il ne constitue pas toujours le fondement juridique le plus approprié pour un traitement ultérieur ».

Le texte prévoit aussi l’article 88b, qui obligerait les navigateurs et systèmes d’exploitation à transmettre automatiquement les préférences de consentement des utilisateurs une fois que des normes techniques seraient définies. Cela pourrait conduire à la disparition progressive des bannières de cookies telles qu’elles existent aujourd’hui. Une exception serait prévue pour les entreprises de presse, qui pourraient continuer à exiger un consentement explicite afin de protéger les « fondements économiques » du journalisme.

Autorisation encadrée de l’entraînement des IA sur des données personnelles

La proposition aborde directement la question de l’entraînement des systèmes d’IA sur des données personnelles. Le projet de texte stipule que l’entraînement, les tests et la validation de l’IA pourraient être réalisés au titre de l' »intérêt légitime » prévu par le RGPD, à condition que des garanties soient mises en place : minimisation des données, transparence et droit d’opposition inconditionnel.

Le projet précise que le traitement de données personnelles pour l’entraînement de l’IA peut être effectué s’il est mené dans un but jugé « bénéfique pour la personne concernée et pour la société dans son ensemble », citant la détection de biais et l’assurance de la précision des modèles comme exemples. Une exemption limitée est également proposée pour les données sensibles apparaissant par inadvertance dans des ensembles de données : si leur suppression exige un « effort disproportionné », les entreprises pourraient les conserver à condition d’appliquer des mesures empêchant leur usage ou leur divulgation.

Contre-arguments et craintes

Les associations de défense de la vie privée ont vivement critiqué ces orientations. European Digital Rights (EDRi) a estimé que la Commission instrumentalise « la lassitude face aux cookies » pour affaiblir les protections de la directive ePrivacy. Des juristes spécialisés préviennent qu’invoquer l’intérêt légitime pour l’entraînement des IA pourrait ouvrir la voie à un traitement massif de données sans consentement individuel, au détriment des objectifs initiaux du RGPD.

Max Schrems, dirigeant de l’association Noyb, a qualifié les mesures envisagées de donnant potentiellement « une carte blanche aux entreprises specialisees dans l’IA (comme Google, Meta ou OpenAI) pour collecter les données personnelles des Europeens ».

Redefinition restreinte des données sensibles

Autre modification controversée : la proposition limiterait la définition des données sensibles au sens de l’article 9 du RGPD. La protection renforcée ne s’appliquerait que lorsque les informations révèlent directement des caractéristiques telles que l’origine ethnique, la religion ou la santé, et exclurait les cas de déduction ou d’inférence. Le projet justifie ce choix en estimant qu' »il n’existe pas de risques significatifs lorsque les données ne sont pas intrinsèquement sensibles ».

Les critiques font valoir que cette approche permettrait de déduire des caractéristiques protégées – orientation sexuelle, opinions politiques, etc. – à partir de données apparemment neutres sans déclencher des protections accrues.

Réactions institutionnelles et conséquences pour les entreprises

L’Institut de droit europeen a reconnu que certaines actualisations limitées du RGPD pouvaient être utiles, mais a averti que « les ameliorations ne doivent pas se faire au detriment de la protection des droits fondamentaux ». Le Réseau europeen des droits numeriques a critiqué la consultation, dénoncant une « exclusion deliberée » avec des delais tres courts et des evaluations centrees presque exclusivement sur les acteurs du secteur.

Si ces modifications étaient adoptées, elles pourraient bouleverser la gouvernance des données en Europe : les entreprises pourraient ne plus avoir besoin de solutions de gestion du consentement pour la plupart des cookies de suivi, mais devraient documenter et justifier l’usage de l' »interet legitime ». Les débats restent vifs entre enjeux d’innovation, protection de la vie privee et equilibre economique du secteur des medias.