La Commission européenne s’apprête à dévoiler une bombe législative. Ce 19 novembre, elle présentera des changements radicaux au cadre de protection des données du bloc. Ces changements pourraient remodeler la façon dont les entreprises technologiques utilisent les données européennes pour l’intelligence artificielle. C’est un recul stupéfiant par rapport aux réglementations qui ont servi de référence mondiale pendant près d’une décennie. Le paquet, nommé « Digital Omnibus », vise officiellement à « simplifier la conformité » pour le RGPD et la loi sur l’IA. Mais des projets de texte, qui ont fuité, révèlent une réalité bien différente. Les défenseurs de la vie privée avertissent que ces modifications affaibliraient fondamentalement les protections essentielles. Elles donneraient à des entreprises comme Google, Meta et OpenAI un accès plus large aux données européennes, sans consentement explicite.
Les protections fondamentales menacées par le projet
L’analyse de noyb, le groupe autrichien de défense de la vie privée, est accablante. L’association, fondée par Max Schrems, a analysé les fuites et identifié quatre points de rupture majeurs.
Premièrement, le projet introduirait une large exception « d’intérêt légitime ». Cette exception permettrait aux entreprises de traiter des données personnelles pour l’entraînement de l’IA. Cela inclurait même certaines informations sensibles. En clair, une entreprise pourrait utiliser vos données pour son IA sans vous demander votre avis.
Deuxièmement, la proposition restreindrait la définition même des « données personnelles ». Elle chercherait à exclure les identifiants « pseudonymisés ». Cela concerne les identifiants publicitaires de votre téléphone ou les cookies sur votre navigateur. Si le régulateur ne considère plus ces traceurs comme des données personnelles, ils échappent totalement au RGPD. Cela supprimerait les protections pour une grande partie du suivi en ligne.
Troisièmement, le projet limiterait fortement les droits des citoyens. La Commission veut limiter les droits d’accès, de rectification ou de suppression aux « finalités de protection des données ». Cela semble technique, mais l’impact est immense. Actuellement, des travailleurs, des journalistes ou des consommateurs utilisent les demandes de données RGPD dans des litiges. Ils s’en servent pour enquêter ou prouver une discrimination. Le projet de la Commission vise à bloquer cet usage.
Quatrièmement, le texte s’attaque au cœur du réacteur : les données sensibles. La loi ne protégerait les catégories comme l’état de santé ou les opinions politiques que si une personne les divulgue explicitement. La protection disparaîtrait si une IA déduit ces informations. Or, l’IA ne fait que déduire. Un algorithme peut deviner vos opinions politiques de votre historique de navigation. Avec ce projet de loi, les données ainsi déduites ne bénéficieraient plus de protection. Cette proposition inverse des décisions existantes des tribunaux européens.
Max Schrems et l’architecte du RGPD sonnent l’alarme
Les experts de la protection des données réagissent de manière unanime et glaciale. Max Schrems, le militant qui a fait tomber deux accords de transfert de données entre l’UE et les États-Unis, n’a pas mâché ses mots.
« Ce serait une dégradation massive de la vie privée des Européens, dix ans après l’adoption du RGPD », a-t-il déclaré. Il a également attaqué la méthode de la Commission. « Une partie de la Commission européenne semble essayer de prendre de vitesse tous les autres à Bruxelles. Elle ne tient pas compte des règles de bonne législation, avec des résultats potentiellement terribles ».
L’un des pères du texte original partage cet avis. Jan Philipp Albrecht, l’eurodéputé allemand qui fut l’un des principaux architectes du RGPD, a averti que ces changements « pourraient compromettre dramatiquement les normes européennes ». L’homme qui a bâti le bouclier européen voit aujourd’hui la Commission elle-même le démanteler.
Le « rapport Draghi » justifie la course à l’innovation
Pourquoi la Commission prend-elle un tel risque politique ? Pourquoi détricoter son texte le plus célèbre ? La réponse se trouve dans un rapport de septembre 2024.
L’ancien Premier ministre italien, Mario Draghi, a remis à la Commission un rapport très attendu sur la compétitivité. Le constat était sombre. Les lois complexes de l’Europe, y compris le RGPD, étouffent l’innovation. Elles entravent la concurrence avec les États-Unis et la Chine. Cet avertissement a agi comme un électrochoc à Bruxelles.
Le « Digital Omnibus » est la réponse directe à ce rapport. La Commission, que la vice-présidente exécutive Henna Virkkunen dirige sur ce dossier, a clairement choisi son camp : celui de l’innovation et de l’IA, au détriment de la vie privée.
Pour confirmer ce parti pris, le paquet législatif contient une autre mesure. Il retarderait l’application de la loi sur l’IA (AI Act). Les entreprises qui déploient des systèmes d’IA à « haut risque » (santé, recrutement, justice) bénéficieraient d’une période de grâce d’un an avant l’entrée en vigueur des amendes. La Commission reporterait même les pénalités de transparence jusqu’en août 2027. C’est un cadeau clair fait aux géants de la tech.
Un processus « accéléré » qui divise les États membres
Cette tentative de « blitzkrieg » législatif ne passe pas inaperçue. Le processus accéléré suscite des critiques intenses. La consultation publique s’est terminée en octobre. Selon des sources à Bruxelles, certaines unités de la Commission n’ont eu que cinq jours ouvrables pour examiner le projet de 180 pages.
La manœuvre divise aussi les capitales européennes. Plusieurs États membres s’opposent farouchement à la réouverture du RGPD. La République tchèque, l’Estonie, l’Autriche, la Slovénie et même la France ont exprimé leur désaccord. Ils estiment que le texte actuel, bien qu’imparfait, ne doit rien perdre de sa force.
À l’inverse, l’Allemagne, pourtant réputée pour sa sensibilité à la vie privée, a plaidé pour des réformes. Son économie, très industrialisée, craint de rater le virage de l’IA. Cette division entre les États membres sera la clé de la bataille qui s’annonce.
Conclusion
En définitive, l’Union européenne arrive à la croisée des chemins. Après avoir passé une décennie à s’imposer comme le champion mondial de la protection des données, elle s’apprête à faire marche arrière. La peur du déclassement face aux États-Unis et à la Chine, et le rapport Draghi, poussent la Commission à vouloir sacrifier des protections du RGPD sur l’autel de l’IA. La proposition du 19 novembre ouvre une bataille politique majeure. Elle oppose les géants de la tech et la Commission aux gardiens de la vie privée et à plusieurs États membres.
