Sous l’impulsion de la Commission, l’Union européenne s’apprête à restructurer en profondeur son cadre numérique au moyen de deux Digital Omnibus Acts. Leur ambition est d’unifier, de corriger et d’aligner des textes adoptés successivement depuis 2016, dont les interactions ont généré une certaine complexité.
Avant cette initiative, le droit des données s’organisait autour d’un ensemble fragmenté d’instruments sectoriels, le RGPD constituant le socle applicable aux données personnelles, tandis que d’autres textes régissaient des domaines connexes : libre circulation des données non personnelles, intermédiation de données, altruisme de données, réutilisation de données publiques. Cette dispersion se traduit par des obligations disparates, une difficulté à articuler des définitions hétérogènes et une gestion opérationnelle lourde pour les entreprises tenues de naviguer entre ces régimes.
Les Digital Omnibus Acts bouleversent cette architecture. Le Data Act révisé et le RGPD deviennent les deux piliers du droit européen des données, non personnelles d’un côté, personnelles de l’autre, tandis que l’intelligence artificielle repose sur un socle encore instable.
Présentés comme des initiatives de simplification, ces Omnibus conduisent en réalité à une recomposition majeure du droit des données et de l’intelligence artificielle. Mais cette harmonisation annoncée ouvre de facto une période d’instabilité, car elle implique une réouverture de débats politiques et techniques à peine stabilisés.
Le Data Act, pilier nouveau du droit européen des données non personnelles
Le Data Act, auquel sont intégrées les dispositifs issus du Free Flow of Data Regulation, de la directive Open Data et du Data Governance Act, regroupe dans la proposition de la Commission :
- Les règles relatives à la circulation des données non personnelles ;
- Les obligations de partage B2B et B2G ;
- Les mécanismes d’accès aux données en cas d’urgence ;
- L’encadrement des intermédiaires de données ;
- Les règles applicables à l’altruisme de données ;
- Les modalités de gouvernance assurées par le European Data Innovation Board ;
- Les dispositions relatives aux transferts internationaux de données non personnelles
Les règles relatives à la circulation des données non personnelles, figurant jusqu’à présent dans un règlement autonome, sont désormais intégrées au Data Act. Cette intégration rattache des dispositions autrefois conçues comme relevant d’une liberté économique à un texte orienté vers l’accès aux données et leur utilisation. Cette recomposition pourrait conduire à de nouvelles interprétations, notamment sur la portée réelle de l’interdiction de la localisation injustifiée.
Les obligations de partage B2B et B2G, qui constituaient le cœur initial du Data Act, évoluent également en termes de dimension. Intégrées dans un cadre plus large, elles ne sont plus perçues comme une exigence spécifique, mais comme un élément d’un écosystème global de circulation des données. Le partage B2G en cas d’urgence, en particulier, s’inscrit dans une logique plus large de résilience systémique, dans laquelle les opérateurs doivent être en mesure de transmettre certaines données sans délai, selon des critères dont la définition est désormais harmonisée avec les obligations issues de la directive REC. Cette fusion crée un régime unifié, mais potentiellement plus intrusif, en raison de l’élargissement des cas d’accès et de la mise en cohérence avec les régimes de sécurité.
L’intégration des mécanismes d’accès aux données en situation d’urgence inaugure un domaine nouveau. Ces mécanismes existaient déjà dans certains textes sectoriels, mais leur intégration dans un cadre transversal les rend plus directement opposables aux opérateurs privés. Elle oblige ceux-ci à repenser l’organisation interne de leurs flux, car le déclenchement de tels mécanismes peut survenir dans des contextes variés, sans que les conditions d’accès n’aient encore été pleinement clarifiées.
L’encadrement des intermédiaires de données, lui aussi intégré au Data Act, change de nature. Ce qui était autrefois un régime de certification obligatoire se transformerait en un dispositif de conformité facultatif, ce qui atténuerait la charge réglementaire mais créerait une incertitude économique pour les acteurs ayant investi dans des dispositifs de conformité. Ces intermédiaires doivent désormais gérer un équilibre délicat entre la valeur ajoutée de leur certification volontaire et la perte de la protection réglementaire qui en faisait un avantage concurrentiel.
Les règles applicables à l’altruisme de données, issues du Data Governance Act, changent également de portée en étant intégrées dans un texte plus large. Elles deviennent un mécanisme annexe dans un système qui accorde désormais davantage d’importance à la gouvernance des écosystèmes de données qu’à la logique propre de l’altruisme. Cette modification de hiérarchie peut atténuer la visibilité de ce mécanisme, mais peut aussi permettre une harmonisation accrue avec les obligations de transfert et de partage imposées ailleurs.
Les modalités de gouvernance de l’European Data Innovation Board, autrefois rédigées dans un texte autonome, sont repositionnées au sein du Data Act. Cela renforce la cohérence institutionnelle, mais peut également accroître la centralisation de la gouvernance des données au niveau européen, avec le risque que les spécificités sectorielles soient moins bien prises en compte.
Enfin, l’intégration des dispositions relatives aux transferts internationaux de données non personnelles apporte une innovation substantielle. Jusqu’à présent, le droit européen ne permettait d’opposer un refus à une demande d’accès ou de partage de données que dans des situations circonscrites : atteinte caractérisée à un secret d’affaires, violation du RGPD, ou absence de proportionnalité de la demande. Le Digital Omnibus introduit une nouvelle possibilité : celle de refuser une divulgation sur le fondement d’un risque élevé d’acquisition, d’usage ou de divulgation illicite lié à l’exposition du destinataire à un cadre juridique extraterritorial insuffisamment protecteur.
Ce mécanisme transforme profondément la logique antérieure. Le refus n’est plus fondé sur une atteinte avérée, mais sur une analyse prospective du risque, reposant sur une appréciation, faite par l’entreprise elle-même, de la qualité du régime juridique du pays tiers, de sa capacité à protéger les informations confidentielles, ou encore de l’existence de lois imposant des obligations de divulgation. Cela implique des évaluations documentées, proches de ce que l’on connaît en matière de transferts de données personnelles au regard du RGPD, mais désormais étendues aux données non personnelles. Cette nouveauté, qui renforce la souveraineté numérique européenne, impose toutefois aux opérateurs une évaluation juridique complexe, fondée sur l’analyse de cadres extraterritoriaux dont ils ne maîtrisent pas toujours les contours.
Le RGPD, pilier consolidé du droit européen des données personnelles
Le Digital Omnibus modifie également le RGPD sur plusieurs aspects structurels.
La définition des données personnelles fait l’objet d’une révision majeure. Dans la version actuelle du RGPD, les données personnelles sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, ce dernier caractère pouvant résulter de moyens raisonnablement susceptibles d’être utilisés. Le Digital Omnibus précise et actualise cette définition en intégrant explicitement le critère des moyens techniques « accessibles et pertinents au regard de l’état de l’art » et en distinguant plus clairement les situations où la réidentification nécessite des efforts disproportionnés. Cette précision vise à répondre aux incertitudes nées de l’usage croissant de techniques de pseudonymisation avancée, dont les effets sur la possibilité d’identification étaient débattus.
Les exigences relatives à l’exercice du droit d’accès, ainsi que celles concernant les informations à fournir par le responsable de traitement, sont allégées. Les notifications de violation de données sont harmonisées, notamment quant à leurs délais, pour tenir compte des exigences sectorielles issues du DORA et du NIS2, ce qui traduit un mouvement d’intégration des régimes d’incident aujourd’hui éclatés.
Les analyses d’impact relatives à la protection des données voient également leur périmètre clarifié : certaines catégories de traitements sont explicitement exclues de l’obligation, tandis que d’autres sont confirmées comme nécessitant systématiquement une AIPD. L’objectif est de stabiliser des pratiques qui variaient fortement d’une autorité nationale à l’autre.
Le Digital Omnibus modifie également le régime des cookies et autres traceurs, en repositionnant leur traitement au sein du RGPD révisé, et non plus dans la directive e-Privacy. Cette évolution répond à la volonté de la Commission d’éliminer les doublons, d’unifier les règles applicables aux terminaux et de réduire la charge normative liée au « consent fatigue ».
La Commission maintient le principe du consentement préalable, mais élargit la catégorie des traceurs exemptés lorsqu’ils sont strictement nécessaires au service demandé ou lorsqu’ils contribuent à la sécurité du service ou du terminal. Une liste plus explicite et fermée de ces cas d’exemption est intégrée au RGPD révisé, afin de limiter les divergences d’interprétation entre États membres et de stabiliser l’application des exemptions opérationnelles. L’enjeu est de réduire le recours artificiel aux bannières tout en renforçant l’effectivité du consentement lorsqu’il est réellement requis. Le Digital Omnibus ouvre par ailleurs la possibilité, pour les navigateurs et les systèmes d’exploitation, d’intégrer des paramètres de confidentialité globaux permettant à l’utilisateur de formuler un choix unique applicable aux sites visités.
Enfin, les possibilités d’entraîner des systèmes d’IA sur des données personnelles sont plus largement ouvertes.
Le règlement IA : un pilier encore instable
Le règlement IA, adopté récemment au terme d’un long processus, établit un régime structuré reposant sur une classification par niveaux de risque et une distinction entre systèmes interdits, systèmes à haut risque et modèles à usage général. Or, le Digital Omnibus procède déjà à des ajustements substantiels, alors que seules les dispositions applicables aux systèmes interdits s’appliquent.
Le Digital Omnibus spécifique à l’IA précise les exigences documentaires et techniques imposées aux fournisseurs de systèmes d’IA à haut risque afin d’éviter des interprétations divergentes entre les États membres et de réduire les charges disproportionnées pour certaines entreprises.
La révision porte également sur la documentation relative aux données d’entraînement, aux performances du modèle, aux limites du système et aux tests d’évaluation. L’objectif est d’alléger des obligations qui, dans la version initiale, apparaissaient trop lourdes ou trop ambiguës.
Les modèles d’IA à usage général font eux aussi l’objet d’un traitement revisité, ce qui est significatif car ils constituent la base technique de nombreuses applications. Les obligations qui pesaient initialement sur leurs fournisseurs sont clarifiées, en particulier celles relatives à la transparence, à la divulgation des caractéristiques d’entraînement, à l’évaluation des risques et à la prévention des effets indésirables. L’enjeu est de définir un régime proportionné qui n’étouffe pas l’innovation tout en assurant un niveau de protection adéquat.
Enfin, les obligations des intégrateurs et des utilisateurs sont ajustées afin de mieux distinguer leurs responsabilités de celles des fournisseurs, et ainsi éviter des obligations redondantes. Cette révision intervient cependant avant même que le texte initial n’ait été mis en œuvre, créant une zone d’incertitude pour les entreprises qui avaient déjà entamé leur mise en conformité fondée sur la première version du texte.
Ainsi, les Digital Omnibus Acts ne constituent pas une simple opération cosmétique : ils recomposent profondément le droit numérique européen. Si leur objectif affiché est une plus grande cohérence, la phase de transition qu’ils ouvrent sera marquée par une forte instabilité normative, car les entreprises devront recalibrer des processus de conformité déjà complexes, alors même que les textes préexistants n’étaient pas encore pleinement ancrés dans la pratique.
Formation au RGPD
Notre cours Protection et confidentialité des données : Formation RGPD
