Les rapports Draghi et Letta ont lancé l’alerte : l’Union européenne, en multipliant les règles, n’affirme plus sa puissance normative, elle freine sa propre compétitivité. Pour inverser la tendance, la Commission Von der Leyen II a placé la simplification réglementaire au cœur de son agenda.

Le numérique est emblématique de ce dysfonctionnement : une avalanche de textes adoptés de façon anarchique depuis une dizaine d’années – du Règlement général pour la protection des données (RGPD) jusqu’au règlement sur l’intelligence artificielle (AI Act) – a créé un véritable enchevêtrement normatif. Pour y voir plus clair, la Commission européenne a présenté le 19 novembre dernier un paquet législatif dit “Omnibus numérique” censé rationaliser l’ensemble.

Quelles sont concrètement les promesses de cet omnibus pour les entreprises ? Moins de lourdeur administrative, plus de sécurité juridique et, surtout, la libération des données, indispensables pour que les entreprises européennes puissent entraîner des algorithmes et rester dans la course mondiale à l’intelligence artificielle (IA), le tout bien sûr en accord avec les valeurs fondamentales européennes.

Mais la proposition de la Commission n’est qu’un début : ces objectifs ne devront pas se diluer lors des négociations législatives si l’Europe veut réellement conquérir sa souveraineté technologique.

RGPD : quand la précaution freine l’utilisation des données 

L’Omnibus intègre un texte phare de l’UE, le RGPD. En s’y attaquant, la Commission reconnaît tout autant son rôle fondateur dans la réglementation des données que son échec à créer une véritable harmonisation permettant leur libre circulation au sein de l’Union.

Cet échec résulte de deux conceptions opposées de la société qui ouvrent un vrai débat politique : d’une part la mise en œuvre d’un droit fondamental de l’individu -si cher aux pays ayant traversé des phases de surveillance étatique – et donc par définition un droit non-négociable. De l’autre côté on trouve une approche plus libérale et pragmatique de l’utilisation des données qui doivent certes être protégées mais dont l’utilisation peut être modulée en fonction du risque réel encouru par les individus. C’est plutôt la première approche – absolutiste – qui a prévalu jusqu’à présent et a fait basculer le RGPD vers une logique de précaution, aboutissant à limiter la collecte et le partage des données.

A l’opposé, des textes portés par l’ancien Commissaire au Marché intérieur Thierry Breton (Data Act, Data Governance Act, AI Act) incitent à l’utilisation, la réutilisation et la circulation de grands volumes de données, lesquelles sont d’abord appréhendées sous l’angle de leur valeur stratégique, économique et finalement de souveraineté dans un monde incertain.

Ces trajectoires doivent dorénavant se rejoindre pour aller dans la même direction : libérer le potentiel de la donnée tout en la protégeant quand nécessaire. Car derrière ce débat de spécialistes, c’est la capacité de l’Europe à peser dans la course mondiale à l’intelligence artificielle et à affirmer sa souveraineté technologique.

Remettre la réglementation sur la voie de la simplicité et du pragmatisme

L’Omnibus numérique propose des mesures simples qui peuvent rapidement générer des résultats concrets : l’ajustement de la définition de donnée personnelle pour l’aligner avec la jurisprudence de la Cour de Justice de l’UE. Un arrêt de septembre 2025 (« SRB ») a clairement confirmé que la donnée personnelle devait s’apprécier de façon subjective c’est-à-dire en fonction de la détention par son destinataire des éléments permettant de relier une information à une personne individuellement nommée. Elle s’éloigne donc clairement de la vision absolutiste décrite plus haut.

L’Omnibus s’attaque ensuite au millefeuille réglementaire créé par l’adoption d’interprétations divergentes du RGPD par les régulateurs nationaux en transférant à la Commission européenne le pouvoir d’adopter des actes délégués dans des cas précis : l’adoption d’un formulaire unique de notification des violations de données ou d’étude d’impact, l’établissement de la liste des traitements de données présentant un risque élevé pour les personnes ou la définition d’une méthodologie permettant d’évaluer le risque d’identification de données qui ne sont pas à première vue des données personnelles. Ces nouveaux pouvoirs sont destinés à produire des recommandations plus opérationnelles et s’exerceraient en lien étroit avec les régulateurs.

Enfin l’Omnibus numérique adopte la voie du pragmatisme dans plusieurs cas. En matière d’IA, ce serait la base légale de l’intérêt légitime qui permettrait d’entraîner des algorithmes d’IA au lieu du consentement de la personne parfois trop rigide et contraignant. Le délai de notification des violations de données passerait de 72 à 96 heures et bénéficierait d’un guichet unique lorsque plusieurs régulateurs sont impliqués. Les excès de zèle dans l’exercice des droits des personnes pourraient être qualifiés d’abus de droit et autoriser les entreprises à refuser de répondre ou à facturer le service lorsque les demandes excèdent le cadre strict de la protection des données personnelles.

Attention aux fausses bonnes idées de simplification

Simplifier, oui… mais pas à n’importe quel prix. Si certaines mesures vont dans le bon sens, d’autres pourraient produire d’importants effets de bord aboutissant à l’effet inverse de celui initialement recherché. Tel est le cas par exemple de la tentative de « clarifier » les champs d’application du RGPD et de la directive européenne sur les communications électroniques (ePrivacy).

Aujourd’hui, cette directive impose le consentement préalable pour toute lecture ou écriture d’informations sur le terminal d’un utilisateur (ordinateur, téléphone, tablette), car ce terminal est considéré comme une extension de son domicile. Cette règle s’applique même si les données ne sont pas personnelles.

Sous couvert de simplification, l’Omnibus propose d’intégrer ces dispositions dans le RGPD… sans toucher à la directive ePrivacy. Résultat : deux régimes juridiques distincts, deux consentements différents pour accéder au même terminal. D’un côté, le consentement RGPD pour les données personnelles ; de l’autre, celui d’ePrivacy pour les données non personnelles.

Difficile de voir en quoi cela apporterait de la clarté, surtout quand données personnelles et non personnelles coexistent de façon inextricable dans les systèmes. L’utilisateur final comme l’entreprise risquent d’être perdus. En résumé, si l’intention est bonne, la copie doit être revue pour éviter de recréer des zones d’ombre. C’est désormais au Parlement européen et au Conseil de s’assurer que la simplification ne tourne pas en réalité à la complexification.

Nathalie Laneret
Vice-présidente Relations institutionnelles et Affaires publiques de Criteo