En finir avec la « fatigue des cookies » tout en dopant l’IA. Voilà la double promesse de la réforme « Omnibus numérique » dévoilée par Bruxelles. Mais derrière ce toilettage du RGPD, censé simplifier la vie des internautes et des entreprises, la crainte d’une dérégulation massive au profit des géants de la tech grandit déjà au Parlement européen.
La révision du RGPD, annoncée par la Commission européenne dans le cadre de sa réforme « Omnibus numérique » pourrait sembler n’être qu’un ajustement technique. Mais derrière ce chantier se trouve un objectif clair consistant à simplifier les règles, réduire les irritants pour les citoyens et offrir aux entreprises un cadre plus lisible pour développer des services, partager des données ou entraîner des modèles d’IA.
Cookies
Le premier changement vise directement ce que les internautes ressentent le plus, à savoir la prolifération des bandeaux d’acceptation des cookies. Avec la fusion des règles ePrivacy dans le RGPD, la Commission veut réduire la fatigue du consentement. Refuser les cookies devrait devenir aussi simple qu’un clic, sans parcours obscur, et ce refus devra être respecté durant une période minimale de six mois. Navigateur et outils automatisés pourront aussi gérer les préférences des utilisateurs en envoyant des signaux lisibles par les sites, une manière de déléguer la corvée. Les médias, eux, conserveront la possibilité de solliciter directement l’accord des lecteurs, Bruxelles estimant que la viabilité du journalisme indépendant le justifie.
Fuites de données
La réforme touche également aux notifications de fuites de données. Aujourd’hui, dès qu’une entreprise subit une fuite de données, elle doit la signaler aux autorités qui sont parfois noyées sous des signalements mineurs, ce qui brouille la perception des incidents graves. Le niveau d’alerte requis sera désormais relevé afin que seules les violations susceptibles d’entraîner un risque élevé pour les personnes soient communiquées. Les entreprises disposeront de quatre jours pleins pour analyser la situation avant d’en informer les régulateurs. Un modèle de notification commun sera également établi, dans l’idée de mettre fin aux divergences nationales. Pour le citoyen, cela réduit le bruit des notifications inutiles, mais cela suppose de faire confiance au jugement des entreprises sur le niveau de risque.
Données personnelles
Beaucoup d’entreprises se demandent si certaines informations qu’elles manipulent sont ou non des « données personnelles ». Le texte de la réforme « Omnibus numérique » rappelle qu’une information n’est personnelle que si l’entité qui la détient dispose réellement de moyens raisonnables pour relier cette donnée à quelqu’un. Si un autre acteur, mieux équipé, peut le faire, cela ne change rien pour le premier. De quoi éviter que des organisations soient soumises à des obligations lourdes pour des données qu’elles ne peuvent pas exploiter à des fins d’identification. Cette logique s’applique également aux données pseudonymisées, la Commission pouvant désormais définir les cas où elles cessent d’être identifiables pour certains acteurs.
Données biométriques
Les données biométriques (empreinte digitale, reconnaissance faciale…) sont normalement très protégées. La révision introduit cependant aussi une dérogation encadrée pour l’usage des données biométriques, afin de permettre leur utilisation pour la vérification ou l’authentification de l’identité. Mais la condition est stricte, car les données doivent rester sous le contrôle exclusif de l’utilisateur, par exemple stockées localement sur son appareil ou chiffrées de façon telle que lui seul possède la clé. L’intention est de permettre des usages pratiques sans ouvrir la porte à des dérives potentielles liées à la centralisation biométrique.
Droit d’accès
Le droit d’accès permet à chacun de demander à une entreprise les données qu’elle détient sur lui. Selon la Commission, certaines personnes en abusent, notamment pour faire pression ou obtenir une compensation. Les entreprises pourront refuser des demandes manifestement abusives, répétitives ou détournées de leur finalité. Certaines obligations d’information disparaîtront également lorsque la relation entre l’utilisateur et le service est claire et limitée, et que l’on peut supposer que la personne connaît déjà les informations essentielles sur le traitement de ses données. En revanche, ce relâchement cesse dès qu’un transfert vers un tiers, un envoi hors Union européenne ou une décision automatisée à risque intervient. Dans ces cas, la transparence reste impérative.
Entre simplification et inquiétudes
Ces modifications s’inscrivent dans un mouvement plus large. La Commission veut rendre le cadre plus lisible et plus favorable à l’innovation et revendique la volonté de stimuler les opportunités liées au partage des données, à l’économie numérique et à l’entraînement des modèles d’intelligence artificielle. Une nouvelle base légale, fondée sur l’intérêt légitime, permettra d’utiliser certaines données personnelles dans les phases d’entraînement ou de test des modèles d’IA, dans la limite des droits fondamentaux des utilisateurs. Pourtant adopté seulement l’an dernier, cette utilisation des données personnelles est une réécriture de l’AI Act, car au-delà du débat sur les données disponibles pour entraîner les modèles, la Commission propose de repousser à décembre 2027, plutôt qu’août 2026, l’entrée en vigueur des obligations imposées aux systèmes dits « à haut risque », ceux pouvant affecter la santé ou la sécurité. Ce point, parmi d’autres, nourrit les craintes. Plusieurs associations de défense des droits numériques dénoncent un risque de recul. L’organisation autrichienne Noyb parle d’un texte dégradant massivement la protection des Européens et d’un cadeau offert aux grandes entreprises technologiques américaines.
Ces critiques illustrent la tension qui traverse toute la réforme, celle qui consiste à alléger le cadre lorsqu’il devient trop pesant sans pour autant fragiliser les droits ayant fait du RGPD une référence mondiale. Moins de bandeaux, moins d’alertes inutiles, une biométrie mieux encadrée et un droit d’accès rééquilibré composent la promesse d’un quotidien numérique plus fluide, assure Bruxelles. Reste à savoir jusqu’où il est possible de simplifier sans céder aux pressions d’un secteur technologique pour qui la donnée, essentielle à l’IA, est devenue l’oxygène de la compétition mondiale.
À ces critiques s’ajoutent des tensions politiques au Parlement européen. Le groupe social-démocrate estime qu’un exercice de dérégulation trop large pourrait rompre l’équilibre fragile que l’Europe a construit entre progrès technologique et intérêt général. Pour eux, la simplification peut être utile lorsqu’elle supprime des doublons ou des charges injustifiées, mais elle ne doit jamais affaiblir la protection des droits fondamentaux ni la sécurité juridique du cadre actuel. Les Verts et les libéraux de Renew Europe partagent ces réserves. Leur opposition pourrait ralentir le processus, le texte devant désormais franchir une double étape, celle du Parlement puis celle des États membres, un parcours législatif qui pourrait encore durer plusieurs mois.
