II. LE VOLET « DONNÉES » DE L'OMNIBUS NUMÉRIQUE : UNE REVISITE DU RGPD PRÉOCCUPANTE POUR LA PROTECTION DES DONNÉES PERSONNELLES EN EUROPE
A. CERTAINES « VRAIES » MESURES DE SIMPLIFICATION JUGÉES BIENVENUES
Outre des mesures techniques qui relèvent d'une codification à droit constant de dispositions relatives aux données, plusieurs propositions présentées par la Commission sont de vraies mesures de simplification pour les entreprises. Il en va ainsi de l'allongement du délai de notification des incidents de sécurité par les délégués à la protection des données aux autorités nationales compétentes, qui passe de 72 heures à 96 heures, permettant aux organisations concernées de parer à l'urgence puis de remplir, dans des délais demeurant raisonnables, leurs obligations de notification.
B. UN CUMUL DE MODIFICATIONS QUI POURRAIT VIDER LE RGPD DE SA SUBSTANCE, AU DÉTRIMENT DE LA PROTECTION DES DROITS ET LIBERTÉS NUMÉRIQUES
Le volet « données » de l'omnibus numérique modifie de manière substantielle le règlement général sur la protection des données (RGPD) de 2016. Or ce texte est devenu un étalon-or mondial de la protection des données personnelles, d'autant plus protecteur pour les citoyens européens que sa portée est extraterritoriale.
Dès lors, la commission des affaires européennes invite à la plus grande précaution dans la modification du RGPD :
• il apparaît contreproductif et dangereux de modifier la définition de « données à caractère personnel », pour en écarter les données pseudonymisées ;
• les dérogations supplémentaires envisagées pour le traitement de données à caractère personnel (aux fins d'entraînement de l'IA, pour la recherche scientifique, y compris à des fins commerciales, au motif d'intérêt légitime...) apparaissent de nature à fragiliser les garanties existantes pour la protection des données sensibles (notamment de santé), avec des risques induits pour les libertés fondamentales.
À la différence du train de mesures sur l'IA qui a donné lieu à un accord en trilogue, le volet « données » de l'omnibus numérique en est encore au stade des négociations inter-institutionnelles, les premières réunions de trilogue ne devant pas avoir lieu avant l'été 2026.
La commission des affaires européennes invite le Gouvernement à veiller scrupuleusement au maintien d'un niveau de protection suffisant des données à caractère personnel, eu égard aux risques nouveaux que fait peser l'IA en la matière.
L'union européenne ne doit ni trembler ni transiger dans l'application de l'arsenal juridique novateur et ambitieux qu'elle a commencé à construire pour encadrer l'IA. Au contraire, elle devrait avoir l'ambition de faire du règlement sur l'IA un standard international en la matière, à l'instar du RGPD il y a huit ans, en matière de protection des données personnelles.