La Commission Européenne suggère un assouplissement de deux textes européens fondamentaux, le RGPD et l’AI Act. Quelles raisons peuvent motiver cette remise en cause et quels en sont les risques pour nos données personnelles et donc notre vie privée ?
Le RGPD, adopté en 2016 et entré en vigueur le 25 mai 2018, est un texte fondamental dont la vocation première est de protéger les données personnelles du citoyen. L’AI Act, dont les Premières mesures sont entrées en vigueur le 2 février 2025 entend de son côté encadrer les usages des systèmes d’intelligence artificielle. Ces 2 textes ont été, chacun à leur façon, salués par la communauté internationale pour leur pertinence et les protections des droits mises en place. Encore aujourd’hui, l’Europe est le seul continent à posséder ce type de réglementation. Alors, essayons de comprendre ce qui pourrait aujourd’hui motiver un assouplissement des règles ?
Les objectifs
Les raisons sont multiples mais en trame de fond, l’ambition de l’Europe d’accéder à son autonomie dans le domaine des nouvelles technologies numériques. La crainte sans doute qu’une réglementation trop stricte et protectrice ne constitue un frein à l’innovation. Le constat également que ces dernières années plusieurs textes importants ont été adoptés en Europe, le RGPD et l’AI Act bien-sûr, mais aussi le Data Act et la directive E-Privecy. Des textes qui se sont superposés et qui pourraient constituer un carcan réglementaire pouvant freiner l’innovation. La phrase lâchée par Monsieur Macron : « Innover avant de réguler » est, en la matière, significative. Assouplir et réduire la complexité juridique pour faciliter l’innovation. Et ne le cachons pas non plus, sans doute la pression des grandes plateformes américaines comme chinoises qui aimeraient sans doute que la réglementation européenne soit moins contraignante…
C’est dans cette perspective que la Commission Européenne a adopté le Digital Omnibus ce 19 novembre. Les mesures proposées concernent pour les unes le RGPD, et pour les autres l’AI Act.
Les mesures concernant le RGPD
Plusieurs mesures viseraient à simplifier les modalités de recueil du consentement de l’internaute pour la collecte et le traitement de ses données personnelles. Ainsi, le consentement ou le refus de l’internaute pourrait être donné de manière automatisée pour une durée de 6 mois. Le choix de l’internaute serait enregistré sur son navigateur et ainsi les sites visités n’auraient plus à solliciter le consentement à chaque visite, procédure qui, en effet, peut arriver à agacer l’internaute. A noter toutefois que les sites de presse seraient exclus de cette disposition.
Concernant les cookies, la Commission Européenne suggère d’intégrer l’E-privacy dans le RGPD avec, pour ambition, d’unifier la procédure de consentement prévue dans ces 2 textes.
Autre assouplissement, les sites pourraient déposer des cookies sans avoir à solliciter l’accord de l’internaute si ces cookies présentent de faibles risques ou s’ils sont fondés sur la notion d’intérêt général. Une mesure qui demandera à être cadrée pour éviter les risques de dérapages.
Autre mesure prévue, exclure du champ du RGPD les données pseudonymisées. Le pseudo, protecteur de la vie privée…
Enfin, les données sensibles seraient restreintes aux données relatives à l’ethnie, la santé et l’orientation sexuelle. En conséquence, les opinions politiques, philosophiques, syndicales et les convictions religieuses ne seraient plus « sensibles », ouvrant ainsi le champ à la collecte et au traitement.
Les mesures concernant l’AI Act
L’entrée en vigueur des dispositions de l’AI Act concernant les systèmes à haut risque (reconnaissance biométrique et surveillance policière notamment) devait avoir lieu en août 2026. Elle serait reportée à août 2027.
Par ailleurs l’entrainement des systèmes d’IA pourrait être envisagé sans nécessiter l’accord des titulaires des données personnelles utilisées. Cette décision serait basée sur l’article 6 du RGPD qui stipule que le traitement est licite si « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. » Une mesure dont la portée est forte car elle conduit à considérer comme intérêt légitime l’entrainement des systèmes d’IA.
Bien des associations et ONG sont vent debout devant ces reculs de deux textes européens fondamentaux parce que protecteurs des droits. Ainsi l’association NOYB évoque-t-elle un cadeau fait aux géants du numérique. Pour l’heure rien n’est fait, la décision finale reviendra au Parlement et au Conseil Européen dans les prochains mois.
