Digital Omnibus : de profondes modifications du RGPD !

Trois domaines clés ont été retenus dans le cadre de l'analyse : (i) l'acquis en matière de données, y compris les règles relatives au partage des données, (ii) la protection des données et à la vie privée, la rationalisation de la notification des incidents de cybersécurité et (iii) une mise en œuvre plus claire des règles relatives à l'intelligence artificielle.

Le projet de règlement prévoit la modification de multiples textes, notamment le RGPD et la directive ePrivacy, le Règlement DORA, la directive NIS 2, le Règlement eIDAS, ou encore le Data Act, dans lequel il est proposé de fusionner des dispositions de textes existants concernant le secteur public, issues du Data Governance Act, ou encore de la directive Open Data.

Les mesures ont vocation à "stimuler les opportunités pour un environnement commercial dynamique, en créant davantage de sécurité juridique et d'opportunités, par exemple dans le partage et la réutilisation des données, le traitement des données à caractère personnel ou l'entraînement des systèmes et modèles d'intelligence artificielle."

Les dispositions liées au droit à la vie privée et à la protection des données à caractère personnel sont présentées comme "calibrées de manière à préserver le niveau de protection le plus élevé et à aider les personnes à exercer efficacement leurs droits, tout en optimisant les coûts et en créant de nouvelles possibilités d'innovation."

1. Des modifications profondes : définition de donnée à caractère personnel, conditions de traitement des catégories particulières de données, dispositions relatives aux recherches scientifiques

Une clarification de la définition des "données à caractère personnel" au sens de l'article 4 du RGPD est proposée : les informations ne seraient pas considérées comme des données à caractère personnel pour une entité donnée lorsqu'elle ne dispose pas de moyens raisonnablement susceptibles d'être utilisés pour identifier la personne physique à laquelle ces informations se rapportent. Cette entité ne relèverait alors pas du champ d'application du RGPD.

Cette proposition entérine la position retenue par la CJUE dans son arrêt du 4 septembre 2025[1] sur la notion de pseudonymisation, consacrant une approche subjective de l'appréciation du caractère identifiable d'une personne concernée.

Le projet opère une "clarification" de la notion de de la "recherche scientifique" en consacrant une définition à l'article 4 du RGPD "toute recherche pouvant également soutenir l'innovation, telle que le développement technologique et la démonstration. Ces actions doivent contribuer aux connaissances scientifiques existantes ou appliquer les connaissances existantes de manière novatrice, être menées dans le but de contribuer à l'enrichissement des connaissances générales et au bien-être de la société et respecter les normes éthiques dans le domaine de recherche concerné. Cela n'exclut pas que la recherche puisse également viser à promouvoir un intérêt commercial".

Ces amendements viseraient à remédier au "manque de clarté concernant les conditions applicables à la recherche scientifique" -et ainsi, bien que cela ne constitue pas une évolution dans l'interprétation du RGPD-, le projet retient expressément que "le traitement ultérieur à des fins scientifiques serait compatible avec la finalité initiale du traitement (.) en précisant que la recherche scientifique constituerait un intérêt légitime" au sens de l'article 6 du RGPD. Toutefois, les traitements à des fins de recherches scientifiques impliqueront le plus souvent un traitement de données relatives à la santé, de sorte que ces précisions concernant la base légale au titre de l'article 6 du RGPD sont sans impact sur les conditions de traitement au titre de l'article 9 du RGPD, et ce faisant n'ont pas vocation à bouleverser les pratiques.

La notion de "recherche scientifique" est également utilisée afin de consacrer une nouvelle exception à l'obligation d'information individuelle prévue à l'article 13 du RGPD. Ainsi, lorsque des données sont traitées à des fins de recherche scientifique et que "la fourniture d'informations à la personne concernée s'avère impossible ou impliquerait un effort disproportionné", le responsable de traitement pourrait "informer les personnes concernées de manière indirecte, par exemple en rendant les informations accessibles au public".

En outre, l'article 9.2 du RGPD prévoirait deux exceptions supplémentaires au traitement de catégories particulières de données :

-une exception à l'interdiction générale de traiter des données biométriques, lorsque cela est nécessaire pour confirmer l'identité de la personne concernée et lorsque les données et les moyens permettant cette vérification sont sous le contrôle exclusif de cette personne concernée.

- une exception pour le traitement résiduel de catégories particulières de données à caractère personnel aux fins du développement et de l'exploitation d'un système ou d'un modèle d'IA, sous réserve de certaines conditions, notamment la mise en place de mesures organisationnelles et techniques appropriées pour éviter la collecte de catégories particulières de données à caractère personnel et supprimer ces données. "(…) lorsque, malgré la mise en œuvre de mesures organisationnelles et techniques appropriées, le responsable du traitement identifie des catégories particulières de données à caractère personnel dans les ensembles de données utilisés pour l'entraînement, les tests ou la validation, ou dans le système ou le modèle d'IA, il supprime ces données. Si la suppression de ces données nécessite des efforts disproportionnés, le responsable du traitement protège en tout état de cause efficacement et sans retard injustifié ces données contre toute utilisation pour produire des résultats, contre toute divulgation ou toute autre forme de mise à disposition à des tiers". L'objectif de cette dernière mesure étant de "ne pas entraver de manière disproportionnée le développement et le fonctionnement de l'IA et compte tenu de la capacité du responsable du traitement à identifier et à supprimer les catégories particulières".

Enfin, considérant qu' "une IA fiable est essentielle pour assurer la croissance économique et soutenir l'innovation avec des résultats socialement bénéfiques", le projet propose que l'intérêt légitime au sens de l'article 6  du RGPD fonde les traitements de données mis en œuvre dans le cadre de l'entraînement et la détection ou l'élimination des biais des systèmes d'IA, relevant que "cela n'affecte pas l'obligation du responsable du traitement de veiller à ce que le développement ou l'utilisation (le déploiement) de l'IA dans un contexte spécifique ou à des fins spécifiques soit conforme à d'autres dispositions du droit de l'Union ou du droit national, ou de garantir la conformité lorsque son utilisation est explicitement interdite par la loi. Cela n'affecte pas non plus son obligation de veiller à ce que toutes les autres conditions de l'article 6, paragraphe 1, point f), du règlement (UE) 2016/679 ainsi que toutes les autres exigences et principes dudit règlement soient respectés".

2. Des propositions de modifications de nature à simplifier le quotidien des entreprises

Le projet souligne la complexité d'une articulation de la directive ePrivacy avec le RGPD et propose de "simplifier immédiatement l'interaction entre les règles applicables" en prévoyant que le traitement des données à caractère personnel sur et à partir d'équipements terminaux devrait être régi uniquement par le RGPD. Ce texte intégrera ainsi l'exigence claire du consentement pour accéder à l'équipement terminal d'une personne physique lorsque des données à caractère personnel sont collectées. Les modifications proposées prévoient notamment de clarifier les hypothèses dans lesquelles (i) le consentement d'un internaute n'est pas requis et (ii) le traitement est licite, à savoir lorsqu'il présente un faible risque pour les droits et libertés des personnes",ou "lorsque la mise en place de ces technologies est nécessaire à la fourniture d'un service demandé par la personne concernée".

Une proposition majeure également porte sur le périmètre du droit d'accès de l'article 12 du RGPD : lorsqu'il serait utilisé par les personnes concernées à des fins autres que la protection de leurs données à caractère personnel, le responsable du traitement pourrait refuser de donner suite à la demande ou facturer des frais raisonnables. Les conditions permettant de démontrer qu'une demande d'accès est excessive serait clarifiées.

L'obligation des responsables du traitement d'informer les personnes concernées du traitement de leurs données à caractère personnel en vertu de l'article 13 du RGPD serait supprimée dans les situations où il existe des motifs raisonnables de penser que la personne concernée dispose déjà de ces informations (à moins que le responsable du traitement ne transmette les données à d'autres destinataires ou catégories de destinataires, ne transfère les données vers un pays tiers, ne procède à une prise de décision automatisée ou que le traitement soit susceptible de présenter un risque élevé pour les droits de la personne concernée).

Les exigences relatives à la prise de décision individuelle automatisée au titre de l'article 22 du RGPD serait clarifiées), dans le contexte de la conclusion ou de l'exécution d'un contrat entre la personne concernée et un responsable du traitement, en précisant notamment que l'exigence de "nécessité " s'applique indépendamment du fait que la décision puisse être prise autrement que par des moyens automatisés.

L'obligation du responsable du traitement de notifier les violations de données à l'autorité de contrôle compétente en vertu de l'article 33 du RGPD serait alignée avec celle d'informer les personnes concernées de ces violations, elle ne serait requise que lorsque la violation est susceptible d'entraîner un risque élevé pour les droits de la personne concernée. Le texte prolongerait également le délai de notification à 96 heures. Les responsables du traitement pourraient notifier la violation à un guichet unique pour l'UE. Enfin, le Comité européen de la protection des données serait tenu d'élaborer et de soumettre à la Commission une proposition de modèle commun pour les notifications de violations de données, que la Commission serait habilitée à adopter au moyen d'un acte d'exécution, après l'avoir examinée, si nécessaire.

De même, s'agissant des analyses d'impact, une liste unique des opérations de traitement nécessitant et ne nécessitant pas d'analyse d'impact relative à la protection des données serait fournie au niveau de l'UE, contribuant ainsi à l'harmonisation de la notion de risque élevé. Une proposition de modèle commun et de méthodologie commune pour les réaliser seraient adoptées au moyen d'un acte d'exécution.

La proposition d'Omnibus fait réagir. Les députés sociaux-démocrates européens dénoncent les risques liés à la déréglementation et à l’affaiblissement du cadre juridique ; les organisations de défense des libertés civiles (dont NOYB) alertent sur une réduction de la portée des droits fondamentaux des citoyens de l'UE, et même…. les organisations américaines s'alarment d'un démantèlement des règles qui constituent le fondement de l’UE et qui ont " inspiré des gouvernements dans le monde entier ".

A suivre !