Une lettre ouverte signée par European Digital Rights (EDRi), Irish Council for Civil Liberties (ICCL) et noyb alerte la European Commission quant au projet de paquet législatif appelé Digital Omnibus Package. Il s’agit d’un texte proposé pour simplifier et moderniser le cadre numérique européen, mais les signataires estiment que, sous couvert de « simplification », ce projet pourrait en réalité affaiblir des protections fondamentales en matière de données personnelles et de vie privée.
Les points d’alerte
1. Risque de dérégulation déguisée
Les auteurs soulignent que la démarche va bien au-delà d’une simple « simplification ». Ils observent que ce paquet pourrait « déréguler des éléments fondamentaux » du General Data Protection Regulation (RGPD), du cadre relatif à la vie privée en ligne (e-Privacy) et même du Artificial Intelligence Act (AIA). noyb.eu Cette dérégulation est réputée poser un double risque : affaiblir les droits des individus tout en fragilisant la confiance dans le cadre réglementaire européen, élément pourtant essentiel pour l’innovation durable.
2. Absence d’évaluation et de consultation adéquates
La lettre critique le processus suivi : les signataires indiquent que l’appel à contributions (« Call for Evidence ») a clos seulement cinq semaines avant la publication prévue du texte, ce qui laisse présager une concertation et une évaluation d’impact insuffisantes. Ils attirent l’attention sur le fait que cela pourrait produire des réformes sans base solide, et potentiellement en conflit avec le Charter of Fundamental Rights of the European Union.
3. Protections fondamentales en jeu
Trois exemples illustrent les craintes :
-
La redéfinition du « données personnelles » afin de la limiter selon les capacités du responsable de traitement à identifier la personne. Cela pourrait exclure des données pseudonymisées du champ du RGPD.
-
La diminution de la portée des « catégories spéciales » de données sensibles (opinions politiques, orientation sexuelle, santé…), en les limitant aux informations « directement révélées » au lieu de celles « inférées ».
-
Le traitement de données personnelles, y compris sensibles, pour l’entraînement de systèmes d’IA fondé sur l’intérêt légitime du responsable de traitement, avec des garde-fous peu définis. Cela accentuerait un avantage des acteurs IA par rapport aux traitements traditionnels.
4. Impact sur la souveraineté et la compétitivité européenne
Selon les signataires, affaiblir le cadre protectionniste européen ne renforcerait pas la compétitivité. Bien au contraire : sans règles claires et fiables, la dépendance envers les acteurs non-européens pourrait s’amplifier, à rebours de l’objectif de souveraineté technologique.
Ce qu’il est souhaitable de faire
Pour un responsable de traitement ou un chef d’entreprise, voici quelques pistes d’action :
-
Anticiper : suivre de près l’évolution du paquet Digital Omnibus afin d’identifier les scénarios potentiels de changements dans vos traitements de données et vos obligations de conformité.
-
Renforcer la gouvernance-données : une démarche proactive de cartographie des données, d’évaluation des risques et de documentation des finalités est plus que jamais utile, y compris dans un contexte de simplification réglementaire.
-
Maintenir des standards élevés : même si les obligations venaient à être allégées, adopter a minima les meilleures pratiques (minimisation des données, anonymisation ou pseudonymisation, transparence envers les personnes concernées) demeure pertinent pour construire la confiance.
-
Participer au dialogue : lorsque des consultations sont lancées, envisagez de contribuer (soumettre des réponses, rencontrer des associations spécialisées) afin de faire valoir votre position d’entreprise responsable.
-
Prévoir l’avenir : la réglementation européenne en matière de protection des données et d’IA est dynamique. S’aligner sur les « meilleures pratiques » plutôt que sur le minimum légal vous place dans une posture robuste pour les audits futurs et la réputation organisationnelle.
La lettre adressée à la Commission européenne met en garde contre une réforme qui risquerait, sous couvert de simplification, de fragiliser des protections essentielles pour les individus et la régulation numérique en Europe. En tant que responsables de traitement, il convient de rester vigilants, de ne pas attendre les évolutions pour agir, et de privilégier une stratégie de conformité anticipative et de gouvernance solide.
