Une réforme silencieuse aux conséquences majeures
Il y a des réformes qui se font dans le bruit, et d’autres dans le silence. Le Digital Omnibus appartient à cette seconde catégorie. Peu connu du grand public, rarement expliqué dans sa globalité, ce paquet législatif porté par la Commission européenne est pourtant l’un des tournants politiques les plus lourds de conséquences de ces dernières années pour les droits numériques en Europe.
Présenté comme une opération de simplification administrative, le Digital Omnibus promet de libérer les entreprises européennes de ce qui serait devenu un carcan réglementaire excessif. Il s’agirait, nous dit-on, de restaurer la compétitivité du continent face aux États-Unis et à la Chine, de faire émerger des champions technologiques européens, d’accélérer l’innovation, notamment dans le domaine de l’intelligence artificielle. Le discours est rodé, presque consensuel. Mais derrière cette rhétorique de l’efficacité se cache une autre réalité : une remise en cause méthodique des fondements mêmes du modèle numérique européen.
Une attaque systémique contre l’ADN numérique européen
Car le Digital Omnibus n’est pas une réforme isolée. Il agit simultanément sur plusieurs piliers essentiels de la régulation numérique : le RGPD, l’AI Act, la directive ePrivacy, le Data Act. C’est cette approche systémique qui en fait la dangerosité. Comme l’a formulé Max Schrems, l’un des plus grands défenseurs européens de la vie privée, (avocat et dirigeant de l’ONC NOYB « None Of Your Business »), nous ne sommes pas face à une attaque frontale, mais à une « mort par mille coupures ». Chaque ajustement pris séparément peut sembler technique, presque anodin. Ensemble, ils dessinent une véritable réécriture de l’ADN numérique européen.
Quand la donnée personnelle devient une opinion d’entreprise
L’un des points les plus révélateurs de ce basculement concerne la définition même de la donnée personnelle. Jusqu’à présent, le RGPD reposait sur une approche objective : une donnée est personnelle dès lors qu’elle permet d’identifier une personne, directement ou indirectement. Le Digital Omnibus introduit une rupture majeure en rendant cette définition subjective. Désormais, une information ne serait plus considérée comme personnelle si l’entreprise qui la traite estime ne pas disposer de moyens « raisonnables » pour identifier l’individu concerné. Autrement dit, celui qui exploite la donnée devient juge de son propre cadre juridique.
Cette modification ouvre une brèche considérable. Elle permet de qualifier comme non personnelles des données pourtant parfaitement réidentifiables par des tiers, notamment par les courtiers en données qui croisent massivement les fichiers. Le résultat est paradoxal : des informations présentées comme anonymes peuvent circuler librement, tout en conservant un pouvoir de ciblage extrêmement précis. Et tout cela, demain, dans un cadre légal.
L’IA érigée en intérêt légitime avant le consentement
La même logique est à l’œuvre concernant l’intelligence artificielle. Le Digital Omnibus introduit dans le RGPD un nouveau principe selon lequel l’entraînement, le développement et l’exploitation des systèmes d’IA constitueraient par défaut un « intérêt légitime ». Ce glissement est loin d’être neutre. Il transforme le régime du consentement. Là où l’utilisateur devait auparavant donner un accord explicite pour l’utilisation de ses données, il devra désormais s’opposer activement à leur exploitation. Le consentement devient une exception, non plus la règle.
Ce renversement a des conséquences très concrètes. Les modèles d’IA peuvent être entraînés sur des historiques de navigation, des données d’usage, des logs techniques, voire des informations sensibles collectées de manière indirecte. Le risque n’est pas seulement théorique. Il réside dans ce que l’on appelle le data leakage, c’est-à-dire la capacité d’un système à restituer ou à halluciner des informations personnelles à partir de données absorbées massivement, sans contrôle réel.
L’AI Act vidé de sa substance
Le Digital Omnibus fragilise également l’AI Act, pourtant adopté récemment après des années de débats. L’obligation de transparence, qui imposait l’enregistrement public des systèmes d’IA à haut risque, est tout simplement supprimée. Les entreprises s’autoévaluent, décident elles-mêmes du niveau de risque de leurs systèmes, sans mécanisme de reddition de comptes accessible au public. Pire encore, l’entrée en application de l’encadrement voire l’interdiction selon le cas des IA à haut risque est repoussée de près d’un an. Cette période transitoire offre un boulevard à l’industrie pour déployer des technologies sensibles sans les garde-fous initialement prévus.
Le retour des décisions automatisées sans recours humain
Dans le même mouvement, le texte revient sur l’interdiction de principe des décisions entièrement automatisées. Désormais, dès lors qu’une entreprise juge l’automatisation « nécessaire », elle devient acceptable. Cela concerne des domaines aussi critiques que le crédit, l’emploi, la gestion contractuelle ou la modération de contenus. Le citoyen se retrouve face à des décisions algorithmiques opaques, sans interlocuteur humain, sans véritable possibilité de contestation.
ePrivacy : la fin du consentement sous couvert de simplification
Le volet ePrivacy n’échappe pas à cette logique. Certes, certaines avancées ergonomiques sont mises en avant, comme la simplification du refus des cookies. Mais elles s’accompagnent de nouvelles exceptions larges au consentement, notamment pour les statistiques d’audience ou la sécurité des terminaux. Ces notions, volontairement floues, ouvrent la voie à des pratiques de traçage de masse requalifiées en nécessités techniques.
Le soulagement des entreprises, l’angle mort de la confiance
Du point de vue des entreprises, et en particulier des directions des systèmes d’information, le Digital Omnibus peut apparaître comme une bouffée d’oxygène. Allègement des obligations, délais de notification allongés, guichet unique pour les incidents de cybersécurité, réduction des registres pour les PME. À court terme, l’efficacité opérationnelle est réelle. Mais cette simplification se paie d’un coût invisible : l’érosion de la confiance.
Les citoyens face à la fin de l’exception européenne
Pour les citoyens, l’impact est autrement plus préoccupant. Le droit d’accès aux données, pilier du RGPD, devient conditionnel. Une entreprise pourra refuser une demande si elle la juge abusive ou non liée à la seule protection des données. Ce droit, qui permettait de contester un refus de crédit, de révéler une discrimination ou de comprendre une décision algorithmique, perd sa fonction de contre-pouvoir.
Sur le plan géopolitique, le Digital Omnibus marque un renoncement symbolique. L’Europe avait imposé ses standards au reste du monde à travers ce que l’on appelait le « Brussels Effect ». Elle devient aujourd’hui importatrice d’une dérégulation largement inspirée du modèle américain.
Une bataille politique encore ouverte
Rien n’est encore joué. Le texte devra passer par les trilogues entre la Commission, le Conseil et le Parlement. Des résistances existent. Des organisations de la société civile, des partis politiques de gauche et du centre, ainsi que certains États membres, alertent sur les dangers de cette précipitation. Mais le rapport de force est réel, et le calendrier est serré.
Un choix de société assumé
Au fond, le Digital Omnibus pose une question politique simple et brutale. Voulons-nous d’une Europe compétitive à tout prix, ou d’une Europe innovante sans renoncer à la protection des individus ? Voulons-nous être de simples passagers de cet omnibus lancé à pleine vitesse, ou ceux qui exigent encore que l’on vérifie les freins avant de démarrer ?
La réponse dessinera le monde numérique dans lequel nous vivrons demain.
