La fin de semaine dernière a été marquée par la fuite d’un projet de réglementation d’envergure que la Commission européenne entend dévoiler prochainement : le « Digital Omnibus ». Derrière l’objectif affiché d’alléger et d’harmoniser le cadre juridique européen, le texte esquisse en réalité une révision profonde des règles actuelles, notamment du RGPD.
Un chantier présenté comme une simplification, mais qui touche au cœur du RGPD
La Commission européenne justifie son initiative par la nécessité de rendre le corpus législatif numérique plus lisible et moins coûteux à mettre en œuvre. Mais les brouillons consultés montrent que la portée de la réforme dépasse largement la simple mise en cohérence. Certaines des modifications envisagées touchent directement aux principes fondateurs du RGPD. Parmi elles : l’extension du recours à l’« intérêt légitime » pour entraîner des modèles d’IA avec des données personnelles, ou encore la possibilité de traiter, dans certains cas, des données sensibles afin de ne pas entraver le développement de l’IA. Autant d’ajustements qui, en pratique, assoupliraient nettement les contraintes auxquelles sont aujourd’hui soumis les acteurs du numérique. Pour l’ONG noyb qui travaille à l’application des lois sur la protection des données, “le projet divulgué suggère également de donner aux entreprises d’IA (comme Google, Meta ou OpenAI) un chèque en blanc pour aspirer les données personnelles des Européens”. Si la protection spéciale des données sensibles telles que les données de santé, les opinions politiques ou l’orientation sexuelle serait considérablement réduite, l’ONG rappelle aussi que “l’accès à distance aux données personnelles sur les PC ou les téléphones intelligents sans le consentement de l’utilisateur serait autorisé”.
Pour les organisations, et en particulier pour les DSI et RSSI, ces évolutions représentent un changement de cadre potentiellement majeur : la gouvernance des données, les bases légales de traitement, la documentation de conformité et les analyses d’impact pourraient devoir être revues.
IA, données sensibles, ePrivacy : un rééquilibrage assumé en faveur de l’innovation
Selon les documents préparatoires, l’un des objectifs implicites de la Commission est de soutenir plus activement l’industrie européenne de l’IA, notamment face à la concurrence internationale. Plusieurs mesures du paquet Omnibus vont dans ce sens.
La plus notable concerne le traitement des données sensibles : le texte introduit une exception autorisant leur utilisation pour détecter et corriger les biais dans les systèmes d’IA, sous réserve de garanties. En parallèle, l’intégration progressive de la directive ePrivacy dans le RGPD pourrait limiter l’obligation de recourir au consentement pour certains accès aux terminaux et pratiques de suivi, une évolution particulièrement favorable aux plateformes, aux éditeurs et aux acteurs de la publicité.
L’ONG noyb a adressé, le 11 novembre 2025, une lettre ouverte à la Commission européenne, signée aussi par EDRi et ICCL. Elle y affirme que le projet « Digital Omnibus » ne fait pas que simplifier, mais engage une « déréglementation » des protections du RGPD, de l’ePrivacy et de l’IA. Selon noyb, l’un des enjeux clé est la redéfinition des données personnelles, l’élargissement de l’intérêt légitime pour l’IA, et la diminution de la portée du régime “données sensibles”.
Le document n’étant pas définitif, ces éléments doivent être considérés avec prudence. La Commission européenne présentera l’ensemble du paquet législatif le 19 novembre 2025.
