L’« Omnibus numérique » marque une nouvelle politique de protection de la vie privée dans l’UE visant à réduire la charge administrative des entreprises. Les défenseurs de la vie privée y voient plutôt une capitulation face aux États-Unis.
L’Union européenne est connue comme un phare de la confidentialité. Des cadres juridiques tels que le RGPD et l’AI Act définissent des lignes claires dans lesquelles les entreprises technologiques peuvent opérer. Le cadre européen de protection de la vie privée était toutefois une arme à double tranchant : les règles étaient destinées à maîtriser les géants de la technologie, mais pour les PME locales, elles représentaient surtout une lourde charge administrative.
2026 semble être un tournant pour la législation sur la protection de la vie privée en Europe. L’UE change son fusil d’épaule : en novembre, l’« Omnibus numérique » a vu le jour. Celui-ci redéfinira en profondeur le cadre juridique dans lequel opèrent les entreprises technologiques.
En l’honneur de la Journée de la protection des données, une invention du Conseil européen, soit dit en passant, nous examinons les principaux changements qui se profilent pour la législation sur la protection de la vie privée en Europe et quel sera l’impact sur votre vie privée.
Dix ans de RGPD : un parcours cahoteux
Commençons en 2016. Le 14 avril 2016 pour être précis : le jour de la naissance du RGPD (AVG). La législation était révolutionnaire il y a dix ans, car c’était la première du genre au monde. Avec le RGPD, des règles plus strictes sont apparues pour le traitement des « données personnelles » en Europe. Les entreprises technologiques doivent conserver les données des citoyens sur le sol européen et ne peuvent pas les utiliser à des fins commerciales sans autorisation.
Il faudrait encore deux ans, jusqu’en mai 2018, avant que la loi n’entre pleinement en vigueur. Le timing ne pouvait pas être meilleur : le scandale Cambridge Analytica, avec Facebook comme figure centrale, avait clairement montré au monde qu’une machine perverse de collecte de données se cachait derrière les services numériques. Le RGPD aurait donc un impact bien au-delà du territoire européen, après que certains pays asiatiques et États américains ont introduit des règles de confidentialité similaires.
Dix ans plus tard, les avis sur le RGPD sont partagés. Alors que la législation nous a certainement fait réfléchir plus consciemment à ce que nous partageons en ligne, les critiques affirmeront que la loi n’a pas montré suffisamment de dents pour amener les entreprises technologiques à se remettre en question. Les amendes suivent lorsque le mal est déjà fait depuis longtemps. Les petites entreprises se noient dans la paperasse et les consommateurs sont exaspérés par ces fenêtres de cookies.
L’IA met la vie privée sous pression
Le RGPD s’est avéré incapable de faire face à la prochaine vague de récupération massive de données dont les modèles d’IA sont responsables. Pour entraîner ChatGPT, Gemini et autres, les géants de la technologie ont récupéré l’intégralité d’Internet. Les chatbots diffusent donc des informations personnelles et souvent même totalement incorrectes sur les personnes, sans possibilité de les faire supprimer ou modifier.
L’IA a changé les règles du jeu, et l’UE devait donc suivre. Depuis 2024, l’AI Act est introduit au compte-gouttes. Cette loi appelle les développeurs de systèmes d’IA à traiter de manière transparente et responsable les données qu’ils fournissent aux modèles.
L’industrie technologique y a toutefois vu un nouvel élément de législation dans le cadre juridique déjà complexe en Europe. Les entreprises européennes ont également osé exprimer leur mécontentement cette fois-ci, comme cela a été entendu lors de la dernière édition du salon MWC. L’UE voulait d’abord inventer la ceinture de sécurité, puis la voiture, telle était la critique métaphorique.
lire aussi
MWC 2025 : L’Europe manque le train de l’IA, mais dispose des meilleures ceintures de sécurité
Moins d’administration
Cette longue préparation nous amène à l’Omnibus. L’Union européenne semble écouter les entreprises, car l’accent est mis sur la réduction de la complexité. Moins d’administration équivaut à plus de pouvoir de concurrence pour le marché européen. Cependant, les entreprises américaines ne se soucieront pas non plus de moins de règles. Cela ne vaut pas seulement pour la technologie : l’Omnibus I de février 2025 supprime la législation ESG.
L’Omnibus peut être résumé dans les six points clés suivants :
- Moins de charges administratives, en particulier pour les PME, les associations et les organisations ayant des traitements à faible risque ;
- Clarification de ce qui relève du terme « données personnelles » ;
- Intégration des directives e-privacy dans le RGPD ;
- Révision des directives sur les cookies ;
- Plus de place pour l’utilisation des données personnelles pour la formation des modèles d’IA ;
- Un point de contact central pour les violations de données et les incidents.
Les directives actualisées prévoient également un report de certaines mesures contre les systèmes d’IA « à haut risque », tels que l’identification biométrique et le maintien de l’ordre, jusqu’en décembre 2027. « La simplification n’est pas une déréglementation », précise la Commission lors de l’annonce d’Omnibus.
Il reste à voir quel sera l’impact du paquet Omnibus sur d’autres législations. Ainsi, la Data Act devrait normalement entrer en vigueur cette année. Cette législation prévoit des directives concernant les échanges de données dans un contexte B2B et l’accessibilité des données pour les utilisateurs de services numériques.
lire aussi
L’UE remanie les cartes de la confidentialité : moins de règles, moins de confidentialité ?
Capitulation devant l’Amérique
Les militants de la vie privée ont une autre interprétation. Ils considèrent la simplification proposée avant tout comme un affaiblissement du cadre européen de protection de la vie privée qui servait autrefois d’exemple au monde. Les règles Omnibus venaient d’être annoncées que l’association autrichienne Noyb était déjà sur les starting-blocks.
Les mots durs ne sont pas évités. Max Schrems, le visage public de l’organisation, parle d’une « attaque contre les droits numériques dans l’UE » et estime que « les valeurs fondamentales du RGPD sont démolies ». Noyb n’est pas le moindre des adversaires : Schrems a déjà réussi à faire tomber à deux reprises un accord de transfert de données entre l’UE et les États-Unis.
lire aussi
Le cloud illégal ? La souveraineté comme Saint Graal pour le secteur informatique européen
Schrems s’indigne principalement du fait que les entreprises d’IA ont un accès beaucoup plus facile aux données personnelles des citoyens. La protection des données sensibles disparaît également. La Commission européenne cède à la pression de Washington avec les règles révisées, selon Noyb. Trump et ses compagnons ne mâchent pas leurs mots sur ce qu’ils pensent des règles européennes.
Point de basculement
Mais même des dirigeants européens influents comme Macron appellent eux-mêmes à haute voix que les règles entravent l’innovation. L’UE semble au moins disposée à mettre de l’eau dans son vin en matière de protection de la vie privée. Non seulement pour se concilier Trump, mais aussi pour gêner le moins possible ses propres entreprises afin qu’elles puissent rivaliser avec les leaders du marché américain.
Notre vie privée numérique est à un tournant. Les principes idéalistes se heurtent de plus en plus à la réalité politique et économique. L’Union européenne veut être autonome sur le plan technologique et la vie privée est alors considérée comme un obstacle plutôt qu’un outil. La vie privée devra-t-elle céder le pas à la compétitivité ? La Journée de la protection des données semble aujourd’hui plus actuelle que jamais.
Les principes idéalistes se heurtent à la réalité politique et économique.