Bruxelles change de ton sur le numérique. Au nom de l’innovation et la course à l’IA, la Commission européenne a annoncé ce mercredi un projet de simplification de la réglementation notamment sur l'IA et les données personnelles. « Un désastre », « un franchissement de ligne rouge », « la plus grande attaque contre les droits numériques des Européens depuis des années ». C'est peu dire que la réforme Digital Omnibus, présentée ce mercredi 19 novembre à Bruxelles, a été accueillie avec une hostilité rare par les défenseurs des droits numériques. Ce texte a pour objectif de simplifier l'application de certaines réglementations numériques en allégeant les procédures. Or, selon des juristes, députés et ONG, il menace de revenir sur certaines protections fondatrices de l'UE en termes de données personnelles. « Recul majeur » Henna Virkkunen, vice-présidente de la Commission chargée de la Souveraineté technologique, de la Sécurité et de la Démocratie, a pourtant tenté de désamorcer la polémique, lancée il y a déjà une dizaine de jours suite à la fuite d'un brouillon du texte. Elle a précisé que l'objectif n'était pas « d'assouplir la loi », mais de « réduire le fardeau administratif qui pèse sur nos entreprises ». Selon la Commission, cette simplification pourrait générer 1 milliard d'euros d'économies par an dès l'entrée en vigueur du texte. Surtout elle serait indispensable pour ne pas manquer « la transformation de l'intelligence artificielle », qui promet d'importants gains de productivité dixit les haut-fonctionnaires européens. A plusieurs reprises, les commissaires ont cité le rapport Draghi publié en septembre 2024. Celui-ci pointait le fardeau administratif comme l'un des freins à la compétitivité européenne. Mais cette argumentaire d'une Europe qui veut simplement être plus "business-friendly", davantage prompte à aider les entreprises, n'a pas suffi à éteindre les critiques. Il y a une semaine, après la diffusion officieuse d'une version de travail, 127 organisations de la société civile avaient signé une lettre ouverte dénonçant un texte dont l'impact serait « significatif sur le droit fondamental des personnes à la vie privée et à la protection des données ». Et certaines dont Noyb (None of your business) et Edri ont renouvelé leurs attaques après la publication officielle. Noyb estime que la commission veut « démanteler les principes fondamentaux du RGDP (texte sur la protection des données personnelles) » et EDRi (European digital rights) estime que l'Omnibus est « un recul majeur ». Au-delà de ces associations, la plupart des États membres s'étaient opposés à une réouverture du RGPD. Il y a quelques jours, les groupes S&D, Renew et Verts du Parlement ont, eux aussi, dénoncé les mesures les plus radicales du texte Omnibus. Des personnalités du Parti populaire européen (PPE) - la famille politique d'Ursula von der Leyen - se sont elles positionnées en faveur du texte. Une redéfinition explosive de la donnée personnelle Concrètement, la réforme modifie l'un des piliers du RGPD : la définition de la donnée personnelle. Une information ne sera plus considérée comme telle si l'entreprise estime qu'il n'est pas raisonnablement possible pour elle d'identifier une personne à partir de cette donnée. Pour les ONG, cette « approche subjective » rouvre la porte à de nombreux contournements :« Cela donne le pouvoir aux entreprises de définir elles-mêmes si les données qu'elles collectent sont personnelles ou non », résume Itxaso Domínguez de Olazábal, professeure de droits et membre d'EDRi. Max Schrems, activistes autrichien et fondateur de Noyb, l'explique ainsi dans un communiqué : « C'est comme une loi sur les armes à feu qui ne s'applique que lorsque le propriétaire confirme qu'il est capable de manier une arme et qu'il a l'intention de tirer sur quelqu'un. Il est évident que de telles définitions subjectives sont absurdes. » Une acceptation plus simple des Cookies La réforme prévoit par ailleurs un mode d'acceptation ou de refus des cookies plus simple. Plutôt que d'approuver ou non la collecte de données à chaque ouverture de site, les Internautes pourront refuser ou accepter une seule fois via leur navigateur. Si les associations voient cette modification plutôt d'un bon œil, certains acteurs de l'économie numérique eux s'en plaignent. « Cela signifie que les navigateurs, donc les géants du Web, auront le contrôle unique sur le consentement, et que pour des sites Web qui reposent sur un modèle publicitaire, l'impossibilité de demander directement à leurs utilisateurs un tracking », explique Thomas Adhumeau, Chief Privacy Officer de Didomi, spécialiste de la gestion du consentement dont le business est donc directement menacé. La réforme prévoit tout de même des exceptions pour les médias qui pourront demander à leurs lecteurs leur consentement. Un autre point de l'Omnibus est jugé comme un cadeau fait au Big Tech. Le texte permet aux entreprises d'entraîner leurs modèles d'IA sur les données personnelles des utilisateurs sans demander explicitement leur consentement en invoquant l'intérêt légitime. Cet argument, déjà revendiqué par Meta ou LinkedIn, est désormais explicitement inscrite dans cette réforme du RGPD. L'intérêt légitime est bien prévu par le texte d'origine mais ne peut être invoqué que si des critères stricts sont respectés - ce qui est rarement le cas pour l'entraînement d'IA, selon Itxaso Domínguez de Olazábal. A ses yeux, en écrivant cette possibilité dans la loi pour l'entraînement des IA, le Digital Omnibus en vide les garde-fous. Les données dites « sensibles », qui donnent des informations sur les opinions politiques, l'orientation sexuelle ou encore la pratique religieuse de leurs détenteurs, restent davantage protégées. Mais les entreprises qui, malgré leurs efforts pour exclure ces données, en conserveraient dans leurs jeux d'entraînement n'auraient plus à recommencer tout leur travail pour être en conformité comme c'est le cas aujourd'hui. Report de l'AI Act Troisième élément polémique de ce Digital Omnibus : le report de l'application de l'AI Act, le texte de loi réglementant l'intelligence artificielle, pour les applications les plus à risque. Cela comprend les systèmes qui peuvent porter atteinte à la sécurité d'une personne ou à ses droits fondamentaux. Sont notamment concernés : l'IA pour le recrutement, les systèmes biométriques, les systèmes intégrés dans les véhicules ou les dispositifs médicaux. Normalement l'AI Act devait les obliger à de nouvelles contraintes dès l'été 2026 afin de mieux protéger les citoyens de ces systèmes. Mais Henna Vikunnen a estimé que les standards ne seraient pas prêts à temps. Elle prévoit un report de l'entrée en vigueur d'un an et demi au maximum. Mais ce report interroge car, d'une part, Bruxelles semble reculer sur un texte fort, revendiqué comme le premier au monde encadrant l'IA. D'autant que cette pause intervient alors qu'un lobbying intense est exercé par l'administration Trump et les entreprises contre les réglementations européennes. D'autre part, ce changement instaure une nouvelle incertitude législative pour les entreprises, qui n'ont plus de vision claire sur le calendrier. Or, l'objectif affiché de la Commission européenne est pourtant d'en finir avec les incertitudes juridiques. « Cela risque d'être une double peine pour les entreprises qui avaient commencé à se conformer à la loi et qui vont devoir faire machine arrière. Cela engendrera des coûts », note Stéphanie Yon-Courtin. Un changement de ton général sur la régulation Ce texte illustre aussi un changement de ton général à Bruxelles. Durant leur présentation, les commissaires ont multiplié les messages sur la « nécessité d'agir vite », l'urgence de « ne pas perdre la course de l'IA », et la volonté d'« adapter notre cadre au nouveau contexte géopolitique ». Cette transformation du discours en faveur de la nécessité absolue d'innover et de facilité l'accès aux technologies était aussi visible lors du Sommet sur la souveraineté numérique organisé à Berlin le 18 Novembre. Le spectre de la dérégulation n'inquiète pas seulement les associations. Stéphanie Yon-Courtin, députée Renew, craint elle aussi un détricotage de la réglementation. « Si l'Union en vient à déréguler, c'est à la fois une faute géopolitique - car cela montre notre alignement sur les intérêts étrangers, notamment américains — et une faute économique, car cela servira surtout les Big Tech. » Bien que la proposition Omnibus soit censée être une procédure simplifiée, elle doit tout de même passer par les institutions législatives. Le document devra passer par le Conseil et par le Parlement européen avant d'être adopté. « Désormais la balle est dans le camp des co-législateurs », pointe Stéphanie Yon-Courtin.