Par redaction , 3 décembre 2025
RGPD

La Commission européenne prépare une révision profonde du RGPD dans le cadre du « Digital Omnibus ». Les propositions dévoilées suscitent de fortes inquiétudes : assouplissement du consentement cookie, élargissement de l’intérêt légitime pour l’entraînement des IA, redéfinition des données sensibles et exemptions nouvelles pour certains traitements. Associations, juristes et organisations européennes alertent sur un risque réel de recul des droits fondamentaux. Pour les entreprises, ces changements transformeraient profondément la gouvernance des données, entre opportunités de simplification et nouvelles exigences de justification.

La Commission européenne s’apprête à revisiter en profondeur le règlement général sur la protection des données (RGPD) dans le cadre du paquet législatif Digital Omnibus, attendu le 19 novembre 2025. Cette initiative, présentée comme un exercice de « simplification », soulève toutefois de fortes inquiétudes chez les acteurs de la protection des droits fondamentaux. Les documents de travail révélés par Netzpolitik.org et confirmés par plusieurs organisations européennes laissent entrevoir une réorientation majeure de l’équilibre entre innovation, compétitivité et protection de la vie privée.

Vers un consentement moins strict pour les cookies

L’un des changements les plus significatifs serait l’intégration de l’article 5(3) de la directive ePrivacy au sein même du RGPD via un nouvel article 88 bis. Cette évolution permettrait aux sites web de déposer des cookies non essentiels sans consentement explicite, dès lors que le traitement s’appuie sur une liste restreinte de finalités considérées comme « à faible risque » ou sur un autre fondement juridique, y compris l’intérêt légitime.

Un tel glissement reviendrait à passer d’un modèle fondé sur l’accord préalable à un cadre d’opposition a posteriori. La Commission justifie cette évolution par la complexité actuelle du dispositif et par le chevauchement des compétences des autorités nationales. Selon les associations, cette « restructuration » instrumentalise la lassitude des utilisateurs face à la multiplication des bannières de cookies, au risque d’affaiblir une garantie essentielle du contrôle individuel.

Un cadre plus permissif pour l’entraînement de l’intelligence artificielle

La proposition introduit également un changement majeur : la possibilité d’entraîner, tester ou valider des systèmes d’IA sur des données personnelles en se fondant sur l’intérêt légitime, sous réserve de garanties de minimisation, de transparence et d’un droit d’opposition inconditionnel. Le texte consulté affirme que ce traitement doit être « bénéfique pour la personne concernée et pour la société dans son ensemble », citant la détection des biais comme exemple.

Toutefois, des experts en protection des données interrogés rappellent que l’intérêt légitime est un fondement juridiquement exigeant, difficilement compatible avec des traitements massifs tels que ceux requis par les modèles d’IA. L’association Noyb estime que cette orientation offrirait « une carte blanche » aux acteurs dominants pour collecter des données à grande échelle sans consentement préalable.

Redéfinition des données sensibles : un périmètre resserré

Une autre évolution notable viserait à limiter la qualification de données sensibles aux seules informations révélant directement une caractéristique protégée (origine, santé, religion, etc.). Les données permettant d’en déduire ces caractéristiques n’entreraient plus systématiquement dans le champ de l’article 9.

Cette interprétation inquiète les associations, qui rappellent que de nombreuses dérives actuelles reposent précisément sur des capacités de déduction permises par l’analyse de données apparemment neutres. Le risque serait de fragiliser la protection face aux profilages les plus intrusifs.

Positions des organisations européennes

Les organisations de défense des droits numériques, notamment EDRi, pointent une démarche qui privilégierait la « simplification » au détriment des droits fondamentaux. Dans sa réponse officielle à la Commission, EDRi souligne que le RGPD, la directive ePrivacy et l’IA Act constituent le socle du modèle européen centré sur l’humain, et non un frein à l’innovation .

L’Institut de droit européen (ELI), dans son rapport publié le 14 octobre 2025, reconnaît la nécessité d’ajustements ciblés, mais insiste sur l’impératif de ne pas réduire le niveau de protection des droits fondamentaux. L’ELI propose par ailleurs une révision plus structurée du RGPD fondée sur une approche par les risques, avec un régime différencié selon la taille des organisations et la nature des traitements .

Quels impacts pour les entreprises ?

Pour les organisations opérant en Europe, la révision projetée représenterait un double mouvement : une simplification potentielle sur la gestion du consentement, mais une logique de responsabilité renforcée. La disparition possible des bannières de cookies pour une partie des traitements s’accompagnerait d’une obligation accrue de documenter l’intérêt légitime, d’assurer la proportionnalité des traitements et de rendre compte des garanties appliquées.

L’entraînement de modèles d’IA sur des données personnelles deviendrait plus accessible, mais exigerait une gouvernance robuste : documentation des finalités, traçabilité des données, contrôles renforcés de minimisation et de non-discrimination.

Un moment charnière pour la gouvernance des données en Europe

La révision du RGPD s’inscrit dans un contexte où l’Union tente de conjuguer compétitivité, innovation et protection des droits. Les propositions dévoilées laissent entrevoir une redéfinition profonde de cet équilibre. Pour les acteurs économiques, il s’agit d’anticiper des scénarios divergents : un cadre plus souple mais plus exigeant en justification, ou, au contraire, un durcissement suite aux réactions des organisations de la société civile.

Dans tous les cas, les entreprises devront renforcer leur capacité à démontrer la licéité, la proportionnalité et la maîtrise opérationnelle de leurs traitements, en particulier lorsqu’ils impliquent de l’IA ou des données à caractère sensible.

Catégorie
Veille