Vincent Gautrais

Defodji Houndolo est étudiant dans le cadre du cours DRT 6903 «Droit du commerce électronique» (Automne 2025)

L’escalade des besoins en capacité de régulation du monde numérique oblige les législateurs tant nationaux que communautaires à se surpasser afin que la prose des ingénieurs de la loi puisse donner le change face à l’expansion du cyberespace.

Entre l’évolution des modes d’exploitation et de « moissonnage » des données et la nécessité d’alimenter toujours plus prestement les appétits insatiables des systèmes d’intelligence artificielle, le droit se devait de rester pertinent de peur que les textes sur la protection de la vie privée ne tombent au rang des roupies de sansonnet.

C’est donc dans ce contexte particulièrement exigeant et sélectif que la Commission européenne a élaboré le 19 novembre 2025 la proposition Digital Omnibus, un ensemble de modifications s’appliquant à divers textes en matière de vie privée, d’intelligence artificielle et de gouvernance des données notamment le célèbre RGPD ou encore le AI Act.

L’objectif annoncé de cette nouvelle bouture est de simplifier les obligations et d’alléger la charge de conformité pesant sur les entreprises, en particulier les plus modestes.

Bien que ces desseins ne soient on ne peut plus empreints de noblesse, nombre de praticiens redoutent un texte trop permissif et une édulcoration de la teneur des textes préexistants.

La première crainte exprimée est celle touchant aux opérations de collecte de données aux fins d’entrainement de l’intelligence artificielle. Le moins que l’on puisse dire est que le Digital Omnibus fait la part belle aux sangsues du numérique.

Un élargissement en faveur de l’intelligence artificielle

La proposition Digital Omnibus apporte avec lui un lot important de simplifications et de permissions. Parmi elles, l’entrainement des modèles d’intelligence artificielle sur des ensembles de données comportant des catégories de données jusqu’ici très surveillées.

Pour être fidèle aux termes du Proposal for Regulation on simplification of the digital legislation, :

« The development of certain AI systems and AI models may involve the collection of large amounts of data, including personal data and special categories thereof. Special categories of personal data may residually exist in the training, testing or validation data sets or be retained in the AI system or the AI model, although the special categories of personal data are not necessary for the purpose of the processing. In order not to disproportionately hinder the development and operation of AI and taking into account the capabilities of the controller to identify and remove special categories EN 10 of personal data, derogating from the prohibition on processing special categories of personal data under Article 9(2) of Regulation (EU) 2016/679 should be allowed. »

Ainsi, le Digital Omnibus ouvre la voie à l’utilisation de volumes massifs de données à grande échelle, y compris dans des environnements à fort risque (santé, RH, finance), là où les bases légales actuelles sont restrictives.

L’ouverture posée par le Digital Omnibus nous impose de nous intéresser à un concept majeur du jargon des data scientists, le big data ou les données massives.

Le big data peut être défini comme suit :

« Big data refers to massive, complex data sets that traditional data management systems cannot handle. When properly collected, managed and analyzed, big data can help organizations discover new insights and make better business decisions. ».

Par ailleurs, il est important de souligner les trois premiers attributs de la notion du V qui caractérise le big data : le volume, la vélocité et la variété.

Il apparait donc que le concept de big data implique en lui-même l’utilisation d’une mixité catégorielle de données personnelles, mixité qui avec le Digital Omnibus se transforme en véritable boite noire impénétrable et indéchiffrable.

Les entreprises d’intelligence artificielle bénéficient donc désormais d’un laisser-passer au nom de la performance, une belle jambe pour les principes de transparence et de nécessité.

Une conséquence non-négligeable de cette logique abjecte est la naissance d’une certaine forme de présomption de justesse ou de nécessité en ce qui concerne les données d’entrainement de l’intelligence artificielle. Il n’y a plus à scruter réellement l’ensemble afin de déterminer si oui ou non des catégories de données y ont leur place, il faut simplement supposer que la performance requiert leur présence.

Cette vision urticante des choses rappelle le titre de l’article de Lawrence Lessig paru en janvier 2000 dans le Harvard Magazine : Code is law.

Finalement, le développeur informatique et l’ingénieur en intelligence artificielle sont ceux qui font et défont les paradigmes de fonctionnement et de régulation des technologies devenues maitresses de l’optimisation des activités humaines et ce au détriment de prérogatives durement acquises.

Cette consécration implicite de non-droit sur la régulation des ensembles de données servant de carburant à l’intelligence artificielle ne pouvait évidemment pas être la seule engendrée de l’engeance normative du Digital Omnibus.

L’olibrius de la Commission européenne se plait également à porter atteinte au périmètre de la donnée dite sensible.

Une restriction du spectre de la donnée sensible

L’article 9 du célébrissime Règlement Général sur la Protection des Données (RGPD) disposait jusqu’ici une interdiction ou tout au moins une sévère restriction des traitements de données révélant directement ou indirectement des caractéristiques humaines protégées.

Cela dit, avec l’en-bon-point permissif du Digital Omnibus, cette protection admirable pourrait bien tomber aux oubliettes.

En effet, le projet limite la catégorie des données sensibles aux seules données qui révèlent directement une caractéristique protégée.

L’implication désastreuse de cette limitation mal avisée est la sortie des données déduites, inférées et résultant du profilage du champ des traitements restreints par l’article 9 du RGPD.

Le Digital Omnibus pourrait donc faire tomber la mesure de réciprocité voulant qu’une donnée permettant de déduire une caractéristique protégée soit elle-même protégée au même niveau.

Cette générosité de la Commission européenne n’a pas manqué d’alarmer l’opinion publique qui continue de voir en cette proposition une dérive laxiste au profit d’une technologie puissante et encore assez peu maitrisée en termes d’encadrement juridique.

Après la publication de la proposition du Digital Omnibus, une lettre conjointe du Irish Council for Civil Liberties, de l’European Digital Rights (EDRI) et de l’ONG autrichienne Noyb a été adressée à la Vice-Présidente exécutive Henna Virkunnen ainsi qu’au Commissaire Michael McGrath afin d’exprimer de vives inquiétudes quant aux effets pratiques d’un tel texte s’il venait à être rigoureusement mis en application.

La missive objectrice de conscience porte un titre évocateur : Digital Omnibus – Deregulation instead of simplification.

Nul n’aurait mieux dit car les modifications projetées par le Digital Omnibus n’auraient d’autres effets que le dérèglement de paradigmes entiers de régulation.

Les termes de la lettre sont clairs et méritants de pertinence :

« We agree that the digital acquis should be consistent and that its application should be coordinated. However, the legislative changes now contemplated go far beyond mere simplification. They would de regulate core elements of the GDPR, the e-Privacy framework and AI Act, significantly reducing estab lished protections. ».

Le Digital Omnibus n’est donc pas qu’une simple simplification des obligations de conformité mais plutôt un passe-droit normatif pour les acteurs du monde technologique engagés dans la course lucrative à l’intelligence artificielle.

Une boulimie permissive douteuse : les manifestations d’un lobbying assidu de l’industrie de l’IA ? 

Le texte de la proposition du Digital Omnibus témoigne d’une si grande flexibilité à l’égard des concepteurs d’intelligence artificielle que l’on en vient à se demander si cet opus maladroit n’est pas une tentative désespérée de l’Europe de rattraper son retard en matière d’intelligence artificielle.

Pour certains activistes comme l’autrichien Max Schrems, le Digital Omnibus favorise sans ambages les géants technologiques dont le lobbying est fortement soupçonné.

Il affirme :

« L’Omnibus numérique profiterait principalement aux grandes entreprises technologiques, sans apporter d’avantages tangibles aux entreprises européennes moyennes. ».

Il poursuit en estimant que ce texte est

« un signe de panique quant à l’élaboration d’un avenir numérique en Europe et non un signe de leadership ».

Quoiqu’il en soit, la panique ne devra désormais plus uniquement être logée à l’enseigne des ambitions technologiques de l’Europe mais également à celle de la pérennité de régulation dans le monde.

Hypothèse d’une réaction en chaine : vers une apocalypse de la privacy ?

Bien que le RGPD ne soit en vigueur que dans l’Union européenne, il faut reconnaitre que son influence dans l’imaginaire collectif et les pratiques maladroites s’étend à la quasi-totalité de la planète.

Nombreuses sont les entreprises et les personnes physiques qui regroupent naïvement la notion de privacy et ses obligations subséquentes sous l’emblème du très plébiscité RGPD.

Les questions à se poser sont donc les suivantes :

Qu’adviendrait-il du mur déjà fragile de la protection des données dans le monde si le Digital Omnibus venait à enrayer les dispositifs préexistants ?

Ne serait-on pas en droit de redouter un effet domino à l’échelle de la planète entière ?

L’avenir de la vie privée pourrait bien être en train de se jouer en Europe en ce moment même.

 

 

Ce contenu a été mis à jour le 26 novembre 2025 à 20 h 48 min.