Revenant sur sa position intransigeante en matière d’application du numérique, la Commission européenne a dévoilé aujourd’hui une vaste proposition « Digital Omnibus » qui retarderait les échéances clés de la loi sur l’IA et assouplirait les règles de confidentialité du RGPD pour stimuler la compétitivité industrielle.
Le paquet, qui vise à économiser 5 milliards d’euros aux entreprises en coûts de conformité, annule effectivement l’engagement de la Commission en juillet d’appliquer sans délai les règles d’IA à haut risque.
En liant la conformité de l’IA aux futures normes techniques et en codifiant « légitimes » intérêt”pour le traitement des données, Bruxelles signale un tournant majeur de la protection des droits fondamentaux à la priorité donnée au secteur technologique en retard du bloc face à ses rivaux américains et chinois.
Motivée par les craintes de stagnation économique et d’un écart croissant en matière d’innovation, la Commission a officiellement reconnu que son cadre réglementaire actuel étouffe la croissance. La vice-présidente exécutive Henna Virkkunen a présenté cette initiative comme une mission de sauvetage de l’industrie européenne, notant que les entreprises sont actuellement « freinées par des couches de règles rigides ».
Cet aveu fait suite à la pression intense exercée par les dirigeants de l’industrie et au récent rapport Draghi sur la compétitivité, qui avertissait que l’Europe s’autorégulait jusqu’à ce qu’elle ne soit plus pertinente.
Les charges administratives devraient diminuer d’environ 5 milliards d’euros par an d’ici 2029 dans le cadre du nouveau plan. Un pilier central de cette stratégie économique est le « European Business Wallet », un outil d’identité numérique unifié destiné à rationaliser les opérations transfrontalières.
Les projections suggèrent que ce système de portefeuille numérique pourrait débloquer jusqu’à 150 milliards d’euros d’économies annuelles si son adoption atteint une masse critique dans les 27 États membres. Valdis Dombrovskis, commissaire chargé de l’économie et de la productivité, a souligné que « combler le fossé de l’innovation et réduire les formalités administratives » sont désormais les principaux moteurs de la politique de l’UE.
Marquant un changement idéologique distinct, la proposition s’éloigne de l’approche « les droits fondamentaux d’abord » du mandat précédent pour un pragmatisme « donnant la priorité aux entreprises ». Il cible explicitement le problème du « scale-up », dans le but de créer un environnement dans lequel les startups européennes peuvent se développer sans se délocaliser immédiatement vers des juridictions plus permissives.
Des documents divulgués au début du mois ont fait allusion à cette déréglementation, mais l’annonce officielle confirme l’ampleur du renversement.
Réécrire les règles : délais conditionnels et lacunes juridiques
Le plus perturbateur parmi les changements est le retard effectif de la Les obligations à haut risque de l’AI Act, qui étaient initialement fixées pour un calendrier strict. Selon la nouvelle proposition, l’application des règles à haut risque n’est plus fixée à une date mais est conditionnée à la disponibilité de normes techniques harmonisées et d’outils de soutien.
Un tel mécanisme crée un calendrier glissant qui pourrait repousser l’application jusqu’à fin 2027, un contraste frappant avec la position de la Commission en juillet.
Il y a quelques mois à peine, le porte-parole Thomas Regnier a insisté: « Laissez-moi être aussi clair que possible, il n’y a pas d’arrêt du temps. Il n’y a pas de grâce.”Il n’y a pas de pause”, un engagement qui a maintenant été effectivement abandonné.
En liant la conformité à l’achèvement des normes techniques, la Commission a introduit une variable que les lobbyistes de l’industrie peuvent potentiellement exploiter pour prolonger davantage le délai de grâce.
Sur le front de la confidentialité, l’Omnibus introduit une clause d’« intérêt légitime » spécifiquement pour la formation des modèles d’IA, permettant aux développeurs de traiter des données personnelles sans le consentement explicite de l’utilisateur.
Un tel changement codifie une pratique que des entreprises comme Meta ont tenté d’utiliser, légalisant ainsi la récupération des données des utilisateurs à des fins d'”amélioration du service”et de formation de modèles.
Les modifications techniques cachent une redéfinition des données sensibles qui exclut les caractéristiques déduites, une décision qui, selon les analystes juridiques, pourrait permettre aux entreprises de profiler les utilisateurs en fonction de leur comportement sans déclencher des protections plus strictes du RGPD.
La réglementation sur les cookies est également confrontée à une refonte complète, la Commission proposant un mécanisme « en un clic » pour remplacer les bannières de consentement omniprésentes. S’appuyant sur des signaux automatisés du navigateur pour communiquer les préférences de l’utilisateur, le nouveau système éliminerait théoriquement le besoin de pop-ups répétitifs sur chaque site Web.
Bien que convivial en apparence, les défenseurs de la vie privée craignent que cela centralise la gestion du consentement entre les mains de fournisseurs de navigateurs comme Google et Apple.
Omnibus numérique de la Commission européenne sur la proposition de réglementation de l’IA
La réaction négative : les défenseurs de la vie privée mettent en garde contre une « boule de démolition »
Les organismes de surveillance de la vie privée ont réagi avec une hostilité immédiate, accusant la Commission de sacrifier les valeurs européennes au profit des entreprises.
Max Schrems, fondateur de NOYB, a qualifié cette décision d’opération secrète, déclarant qu’« une partie de la Commission européenne tente secrètement de submerger tout le monde » à Bruxelles.
La principale préoccupation est que la faille de « l’intérêt légitime » permettra aux grandes technologies de traiter des données sensibles déduites, telles que les opinions politiques ou l’orientation sexuelle dérivées du comportement, sans aucun consentement.
Jan Philipp Albrecht, un architecte clé du RGPD original, a remis en question la légalité de cette décision, se demandant si cela signifiait « la fin de la protection des données et de la vie privée », comme le prévoit les traités de l’UE.
Les critiques affirment que même si le paquet est conçu comme une aide aux PME, les principaux bénéficiaires du changement d’« intérêt légitime » sont les hyperscalers américains dotés de vastes fossés de données.
Loin d’une simple mise à jour administrative, la proposition représente une réécriture fondamentale du contrat social concernant la confidentialité numérique dans Europe.
Lukasz Olejnik, chercheur indépendant sur la protection de la vie privée, a prédit une bataille législative féroce, qualifiant les négociations à venir de « Jeux olympiques du lobbying ». L’adoption de la proposition nécessite l’approbation du Parlement européen et du Conseil, où elle se heurte à l’opposition des États membres les plus radicaux en matière de protection de la vie privée et des groupes de défense des libertés civiles.
Les analystes juridiques avertissent que redéfinir les « données sensibles » pour exclure les caractéristiques déduites sape la philosophie fondamentale du RGPD, ce qui pourrait déclencher des contestations devant la Cour de justice européenne.
