Digital Omnibus

La proposition dite « Digital Omnibus” communiquée le 26 février dernier, s’inscrit dans un mouvement de simplification du cadre législatif européen. Bien que sa finalité première soit la réduction des charges administratives qui pèsent sur les entreprises, cette initiative aurait des effets sans précédent d’affaiblissement sur la réglementation en matière de protection des données personnelles, alors même que l’essor de l’IA générative exige une approche contraire.

1.Affaiblissement de la catégorie donnée à caractère personnel

Pour rappel, l’article 4 du RGPD définit la donnée personnelle de manière très large comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » toute personne qui peut être identifiée, directement ou indirectement. »

Sous couvert de « clarification», l’article 3 §1 de la proposition exclut du champ d’application du RGPD les données pseudonymisées lorsque le destinataire ne dispose pas de moyens raisonnables de réidentification. Cette nouvelle définition, qui restreint considérablement la protection des données concernées et fragilise la portée du RGPD, consacre la décision de la CJUE du 4 septembre 2025 (affaire C-413/23).

La proposition énonce que des critères doivent être précisés à la suite pour démontrer que les données ne peuvent pas conduire à la réidentification des personnes concernées. Cette précision annonce un véritable risque, car, en raison de l’évolution rapide de la technologie, il est difficile de garantir qu’une donnée pseudonymisée ne puisse pas permettre l’identification d’une personne.

Ainsi, cette approche pourrait compromettre la protection des données personnelles, alors même que le RGPD constitue l’une des bases les plus solides de protection contre l’utilisation illicite des attributs de la personne humaine (image, voix, etc.) par l’intelligence artificielle.

2.Affaiblissement de la catégorie donnée à caractère sensible

Deux nouvelles exemptions concernant le traitement des données sensibles sont prévues :

• D’une part, l’interdiction du traitement des données biométriques serait exclue dans les cas où ce traitement est nécessaire pour confirmer l’identité de la personne concernée.
• D’autre part, une exception pour le traitement résiduel de données sensibles dans le cadre du développement et de l’exploitation de systèmes ou de modèles d’intelligence artificielle. Sous réserve de la mise en place de mesures techniques et organisationnelles adéquates visant à éviter la collecte de données sensibles et à garantir leur suppression lorsqu’elles ne sont plus nécessaires.

La deuxième dérogation soulève de lourdes inquiétudes concernant le respect des droits des individus dans le cadre des IA.

En effet, quelle donnée serait considérée comme « résiduelle » dans le cadre d’un traitement de données dit sensible ?

3.Mise à mal du consentement aux cookies

Au prétexte d’une “lassitude des utilisateurs face aux bannières de consentement” et “des coûts considérables pour concevoir des bannières conformes” supportés par les fournisseurs de services en ligne, la Commission allège les obligations des fournisseurs et de surcroit, la protection de la vie privée.

Il est ainsi prévu par l’article 3 §12 de la proposition d’intégrer un nouvel article 88a au RGPD qui stipule “certains cas dans lesquels il ne devrait pas être nécessaire d’obtenir le consentement et où le traitement ultérieur devrait être considéré comme licite, en particulier lorsqu’il présente un faible risque pour les droits et libertés des personnes concernées ou lorsque la mise en place de ces technologies est nécessaire à la fourniture d’un service demandé par la personne concernée.”

Cet article introduit finalement des exceptions à l’obligation d’obtenir le consentement des utilisateurs, un consentement qui constitue l’outil principal de contrôle par l’individu de ses droits en matière de vie privée.

4. Un droit d’accès paralysé

3. Droit d’accès paralysé

• Si une demande est infondée ou excessive (ex. répétitive ou détournement du droit d’accès), le responsable du traitement peut :
  • Facturer des frais raisonnables, ou
  • Refuser la demande.

• Le responsable du traitement doit prouver que la demande est abusive.

5.Droit de regard fragilisé

Le paragraphe 4 du même article supprime l’obligation d’informer les individus du traitement de leurs données prévu par le RGPD lorsque des « raisons légitimes » permettent de supposer que la personne concernée dispose déjà de cette information. Cette dérogation ne s’applique pas si le responsable du traitement :

• Transmet les données à d’autres destinataires ou catégories de destinataires,
  
• Transfère les données vers un pays tiers,
  
• Effectue une prise de décision automatisée,

Ou si le traitement est susceptible d’engendrer un risque élevé pour les droits de la personne concernée.

6. Obligation de notification des violations réduite

L’obligation du responsable du traitement de notifier les violations de données à la CNIL et aux personnes concernées en vertu de l’article 33 du RGPD n’est requise que “si une violation de données est susceptible d’entraîner un risque élevé pour les droits des personnes concernées.” De plus, le délai de notification est porté à 96 heures au lieu de 72 heures (article 3§6).

En somme, la proposition Digital Omnibus offre effectivement une simplification législative au bénéfice des entreprises et, par extension, pour les responsables de traitement.

Toutefois, elle comporte des risques considérables pour les droits des personnes puisqu’elle vise à affaiblir la protection instaurée par le RGPD sur les attributs de la personnalité tels que la voix et l’image.