L’Europe simplifie tout, même la vie privée

Quand Ursula veut "simplifier le numérique" il faut comprendre ici "permettre aux GAFAM de tout pomper sans demander".

« Faire simple ». C’est la nouvelle manie de la Commission européenne. Après avoir réglementé à tour de bras pendant une décennie, Bruxelles s’est soudain découvert une passion pour la “simplification du numérique”. Dans la grande tradition bruxelloise, “simplifier” signifie évidemment "supprimer ce qui dérange".

Le 19 novembre 2025, la Commission présentera son grand projet de “Digital Omnibus” : un paquet législatif censé harmoniser les lois sur les données, la cybersécurité et l’intelligence artificielle. Mais derrière ce vernis technocratique se cache un programme autrement plus ambitieux : enterrer le RGPD et assouplir le règlement sur l’IA avant même qu’il ne soit appliqué.

L’“Omnibus numérique”, un bus qui écrase la vie privée

Le mot “omnibus” vient du latin “pour tous”. Dans ce cas précis, on pourrait le traduire par “contre tous”. L’objectif officiel ? Réduire la “complexité” et la “fatigue du consentement” des utilisateurs. L’objectif réel ? Abolir le consentement tout court. Sous couvert de “cohérence” et de “réduction de la bureaucratie”, la Commission prévoit de fusionner ou modifier plusieurs textes : la loi sur les données, la directive sur les données ouvertes, le règlement sur la libre circulation des données non personnelles et la loi sur la gouvernance des données. Et, tant qu’à faire, d’y glisser un petit lifting du RGPD, histoire de le rendre plus “business friendly”.

RGPD : paix à ses données

Le RGPD, jadis symbole mondial de protection des données, se prépare à passer de "règlement général" à "suggestion facultative".

• Le consentement devient optionnel : les entreprises pourront désormais justifier la collecte de données personnelles pour entraîner leurs IA au nom de leur “intérêt légitime” (votre visage, votre voix ou votre historique de navigation deviennent donc une matière première comme une autre).
• Des cookies qui sont restés trop longtemps dans le four : le texte prévoit d’autoriser le pistage sans consentement explicite, à condition que cela relève de l’“intérêt légitime” du site. En clair, vous pourrez toujours refuser les cookies… mais après coup, dans un menu obscur, bien caché entre deux pop-ups de pub. La Commission appelle ça “réduire la fatigue du consentement”. Une idée lumineuse pour réponde à fatigué de cliquer sur “Non” ? On dira “Oui” à ta place !
• Données sensibles, version allégée : l’article 9 du RGPD protégeait les données “révélant l’origine ethnique, les opinions politiques, la religion ou l’orientation sexuelle”. Désormais, seules les informations explicitement déclarées seront protégées. Du coup, si une IA déduit votre orientation sexuelle ou vos convictions religieuses à partir de votre historique de navigation, ce n’est plus une donnée sensible. Une avancée majeure pour la recherche scientifique ou pour la publicité ciblée, à vous de juger.

L’AI Act “simplifié”, ça veut dire "plus de liberté et moins de règles"

L’autre volet de la réforme, c’est la réécriture de l’AI Act, à peine entré en vigueur. Officiellement, il s’agit d’alléger la charge pour les entreprises, officieusement, c’est une déprogrammation partielle des garde-fous avant même que la loi n’entre en application.

• L’autocontrôle européen : la supervision des IA à risque sera centralisée dans un “AI Office” directement placé… sous la Commission elle-même. Un modèle d’indépendance et de transparence, on s’en doute.

Article 75 – Market surveillance and control of AI systems and mutual assistance (1) Where an AI system is based on a general-purpose AI model, with the exclusion of AI systems related to products covered by the Union harmonisation legislation listed in Annex I, and the model and the system are developed by the same provider, the AI Office shall have powers to monitor and supervise compliance of that AI system with obligations under this Regulation in accordance with the tasks and responsibilities assigned by it to market surveillance authorities.

The AI Office shall have all the powers of a market surveillance authority provided for in this Section and Regulation (EU) 2019/1020 and be empowered to take the appropriate measures and decisions to adequately exercise its powers.

Article 14 of Regulation (EU) 2019/1020 shall apply mutatis mutandis. The authorities involved in the application of this Regulation shall cooperate actively in the exercise of these powers, in particular where enforcement actions need to be taken in the territory of a Member State.

• Des obligations allégées : les entreprises pourront “simplifier” leur documentation technique, ne plus enregistrer certains systèmes “à faible risque”, et tester leurs IA dans des “conditions réelles” (traduction : sur le public). Quant aux PME et aux “small midcaps” (petites ETI), elles bénéficieront de “grâce administrative”, parce qu’un algorithme discriminatoire reste sympathique quand il vient d’une start-up européenne (Articles 11, 49 et 60 du projet Digital Omnibus – B – KI).
• Le biais, cet “intérêt public” : le texte autorise explicitement les fournisseurs d’IA à traiter des données biométriques ou sensibles afin de “détecter et corriger les biais”.

Magnifique paradoxe : pour éviter la discrimination, on autorise les traitements discriminants.

Article 4a – Processing of special categories of personal data for bias detection and correction “To the extent that it is necessary for the purpose of ensuring bias detection and correction (…) the providers and deployers of such systems may exceptionally process special categories of personal data, subject to appropriate safeguards for the fundamental rights and freedoms of natural persons.”

Suit une liste de conditions (a à f), parmi lesquelles : – “the bias detection and correction cannot be effectively fulfilled by processing other data, including synthetic or anonymised data;” – “the special categories of personal data are subject to technical limitations on the re-use (…) and state-of-the-art privacy-preserving measures, including pseudonymisation;” – “the special categories of personal data are deleted once the bias has been corrected…”

Et on appelle ça innovation responsable !

“Fatigue du consentement” : une invention géniale

L’un des passages les plus savoureux du projet est consacré à la “fatigue du consentement”. Selon Bruxelles, les utilisateurs sont épuisés de devoir cliquer sur “Accepter” ou “Refuser” des cookies. La solution ? Les navigateurs décideront pour eux, via un signal automatique. Évidemment, “par défaut”, ce signal sera favorable à la collecte Et pour “préserver le journalisme indépendant”, les médias seront exemptés de ces règles. Rien de tel que le libre consentement… sauf quand il met en danger le modèle publicitaire.

Données de santé, génétique et biométrie deviennent un buffet à volonté

Le texte prétend maintenir une “protection renforcée” pour les données génétiques et biométriques. Mais en restreignant la définition des données sensibles, la Commission ouvre un boulevard : les données de santé anonymisées, pseudonymisées, contextualisées… deviennent exploitables sans consentement.

Article 9 — Special categories of personal data “The Commission wishes to ensure that sensitive data (‘special categories of personal data’) are defined in a narrower way. Only data that explicitly reveal the information listed shall remain specially protected.” [...] “This means that if a person explicitly declares his or her sexual orientation in a selection field, this information remains specially protected. However, if a controller infers a person’s presumed orientation based on interests or characteristics, the previous restrictions would be removed.”

Une bénédiction pour les assurances, les labos pharmaceutiques et les IA médicales “d’intérêt général”.

Simplifier la vie des entreprises, compliquer celle des citoyens En résumé, le “Digital Omnibus” coche toutes les cases du cynisme administratif :

• On appelle “innovation” la suppression des contrôles.
• On baptise “harmonisation” la dérégulation.
• Et on prétend défendre les citoyens en rendant leurs données exploitables “plus efficacement”.

À force de “simplifier” la réglementation, la Commission européenne est en train de simplifier la démocratie : moins de droits, plus de cases cochées par défaut.

Épitaphe du RGPD

Le RGPD aura donc vécu sept ans. Né en 2016, mis en application dès 2018 et déjà mort en 2025 sous les coups de la “Simplification Act”. Ursula von der Leyen peut être fière : elle a réussi ce que même les GAFAM n’osaient plus espérer : une Europe qui protège… ses partenaires commerciaux.

Sources :

• Next
• Netzpolitik
• Loi omnibus sur les données et RGPD (PDF)
• Loi omnibus sur l'IA (PDF)