N° 626
SÉNAT
SESSION ORDINAIRE DE 2025-2026
Enregistré à la Présidence du Sénat le 13 mai 2026
RAPPORT D'INFORMATION
FAIT
au nom de la commission des affaires
européennes (1)
sur l'omnibus numérique
européen : un risque pour la protection des droits
numériques des citoyens,
Par Mmes Catherine MORIN-DESAILLY et Karine DANIEL,
Sénatrices
(1) Cette commission est composée de : M. Jean-François Rapin, président ; MM. Alain Cadec, Ronan Le Gleut, Mme Gisèle Jourda, MM. Didier Marie, Claude Kern, Mme Catherine Morin-Desailly, M. Teva Rohfritsch, Mme Cathy Apourceau-Poly, MM. Cyril Pellevat, Louis Vogel, Mme Mathilde Ollivier, M. Ahmed Laouedj, vice-présidents ; Mme Marta de Cidrac, M. Daniel Gremillet, Mmes Florence Blatrix Contat, Amel Gacquerre, secrétaires ; MM. Georges Patient, Pascal Allizard, Jean-Michel Arnaud, Bruno Belin, François Bonneau, Mmes Valérie Boyer, Sophie Briante Guillemont, M. Pierre Cuypers, Mmes Karine Daniel, Brigitte Devésa, MM. Jacques Fernique, Christophe-André Frassa, Mmes Pascale Gruny, Nadège Havet, MM. Olivier Henno, Bernard Jomier, Mme Christine Lavarde, M. Dominique de Legge, Mme Audrey Linkenheld, MM. Vincent Louault, Louis-Jean de Nicolaÿ, Mmes Elsa Schalck, Silvana Silvani, M. Michaël Weber.
L'ESSENTIEL
Le 11 novembre 2025, la Commission européenne a présenté un paquet omnibus de simplification relatif au numérique. Composé de deux volets, - l'un portant spécifiquement sur l'intelligence artificielle (IA), l'autre couvrant plus largement le champ du numérique et des données -, l'omnibus numérique est un ensemble très dense qui modifie plusieurs textes formant l'arsenal juridique européen du numérique.
Face à des retards pris dans l'élaboration de normes harmonisées, le volet sur l'IA a fait l'objet de négociations au pas de course afin de permettre le report de certaines obligations du règlement sur l'IA de 2024, qui devaient sinon s'appliquer au 2 août 2026.
Concernant le volet « données », présenté par la Commission européenne comme un paquet de mesures de simplification « ciblées », il appelle plusieurs observations, notamment concernant la réduction du niveau de protection des droits numériques garantis par le standard international qu'est le RGPD.
Alors que la très grande majorité des plateformes en ligne et des systèmes d'IA dominant le marché européen sont américains et chinois, l'Union européenne, tout en veillant à mener une politique industrielle offensive pour le secteur et à soutenir ses propres entreprises, ne doit ni trembler ni transiger dans l'application de l'arsenal juridique novateur et ambitieux qu'elle a commencé à construire pour encadrer le secteur numérique et l'IA.
Les principales recommandations
1. S'opposer à la modification de la définition de « données à caractère personnel » dans le RGPD, au risque d'en bouleverser l'équilibre protecteur : dans un univers numérique de plus en plus complexe, l'Union européenne doit demeurer une boussole pour la protection des données personnelles.
2. Refuser tout privilège pour l'IA dans le traitement des données sensibles, notamment biométriques ou de santé, en l'absence de garanties de protection suffisantes pour les droits et libertés numériques : en dépit de l'importance de l'exploitation des données pour la compétitivité européenne, l'utilisation sans contrôle par l'IA de données sur le genre, l'origine ethnique, l'âge ou encore la religion est une source potentielle de discriminations.
3. Interdire au niveau européen toute pratique en matière d'IA capable d'exploiter les éventuelles vulnérabilités économiques, personnelles ou sociales et de causer préjudice aux personnes concernées. Cette interdiction ne saurait se limiter aux hypertrucages sexuels ; il convient d'interdire les contenus générés ou manipulés par l'IA à caractère pédocriminel, et plus largement toute pratique en matière d'IA de nature à porter atteinte à la dignité de la personne humaine.
4. S'employer sérieusement au niveau européen à réduire la fatigue du consentement aux cookies, mais toute solution consistant à déplacer les règles en matière de cookies de la directive e-Privacy vers le RGPD créerait un double régime juridique dangereux pour le contrôle de ces traceurs, sans répondre à l'enjeu de diminution de la lassitude des citoyens européens face aux bannières de gestion des cookies.
5. Ne pas concentrer les déclarations d'incidents en matière de cybersécurité au sein d'un point d'entrée unique géré par l'Agence de l'Union européenne pour la cybersécurité (ENISA) : celui-ci pourrait en effet devenir un point de faille unique, concentrant des risques cyber nombreux et critiques, avec des implications potentielles pour la sécurité nationale, laquelle demeure une compétence exclusive des États membres.