Omnibus numérique européen

II. LA PROPOSITION DE RÈGLEMENT OMNIBUS NUMÉRIQUE MODIFIANT « L'ACQUIS NUMÉRIQUE » ET LES MODIFICATIONS AU RGPD : QUEL AVENIR POUR LA PROTECTION DES DONNÉES PERSONNELLES ?

1. Des propositions de la Commission européenne qui balaient un large champ de l'arsenal juridique européen sur le numérique

La proposition de règlement du Parlement européen et du Conseil COM(2025)837 modifiant les règlements (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 et (UE) 2023/2854 ainsi que les directives 2002/58/CE, (UE) 2022/2555 et (UE) 2022/2557 en ce qui concerne la simplification du cadre législatif numérique, et abrogeant les règlements (UE) 2018/1807, (UE) 2019/1150 et (UE) 2022/868 ainsi que la directive (UE) 2019/1024, dite « règlement omnibus numérique », entend simplifier le cadre législatif numérique, en modifiant neuf textes de « l'acquis numérique » et en abrogeant quatre autres textes.

Ce texte comprend plusieurs aspects, dont les dispositions principales sont présentées ci-après, ainsi que la position des rapporteures sur chacun des volets, eu égard aux points de vigilance soulevés par les personnes entendues et l'analyse juridique et contextuelle des propositions.

À la différence du train de mesures omnibus numérique sur l'IA, pour lequel les négociations ont abouti à l'occasion du trilogue conclusif du 7 mai 2026 et présagent d'une suite favorable et rapide pour la proposition de règlement en la matière, la proposition de « règlement omnibus numérique » n'a à ce stade fait l'objet que de premières réunions techniques au sein du Conseil de l'UE. Les trilogues pourraient ne débuter qu'à compter de l'ouverture de la prochaine présidence tournante, par l'Irlande, à compter du 1^er juillet 2026.

La présente proposition de résolution entend donc présenter l'avis du Sénat quant à cette proposition de règlement, en vue de sa prise en compte pour la conduite des négociations inter-institutionnelles en cours et à venir.

a) Un volet « données non sensibles » jugé essentiellement technique et qui n'appelle pas de vigilance particulière

Le volet « données non sensibles » du « règlement omnibus numérique » opère pour l'essentiel une codification à droit constant de dispositions figurant dans divers textes, avec l'objectif d'harmoniser et d'améliorer la coordination des textes entre eux et de supprimer les redondances.

Dans ce contexte, les mesures envisagées sur ce point n'appellent pas de réaction particulière de la part des rapporteures, qui soulignent leur pertinence dans un objectif de clarté et d'intelligibilité du droit européen du numérique. Par exemple, la proposition améliore la cohérence et l'articulation entre les différentes dispositions portant sur la gestion et l'utilisation des données, notamment en abrogeant le règlement sur le libre flux des données à caractère non personnel^25(*), rendu obsolète par l'adoption du règlement sur les données^26(*) (ou « data act »), tout en conservant ce principe fondamental qui s'exprime notamment au travers de l'interdiction d'imposer la localisation des données. Il en va de même de l'abrogation de la directive « données ouvertes^27(*) », devenue obsolète.

Par ailleurs, concernant les données non sensibles, les amendements aux règles existantes sont largement perçus comme des améliorations techniques, avec par exemple le renforcement de la protection du secret des affaires en matière de données. Il s'agit ainsi d'élargir la possibilité de s'opposer à la divulgation de données qui constituent un secret des affaires, lorsqu'il existe un risque élevé d'obtention ou d'utilisation illicites ou de divulgation illicite à des pays tiers, ou à des entités placées sous leur contrôle.

b) Le volet « cyber » : la création d'un point d'entrée unique pour la déclaration des incidents ou le risque d'un point de faille unique

Le volet « cyber » du « règlement omnibus numérique » consiste principalement en la création d'un point d'entrée unique (dit « single entry point » ou « SEP »), pour la déclaration des incidents de cybersécurité dans l'UE. Ce point d'entrée unique serait géré par l'Agence de l'Union européenne pour la cybersécurité (ENISA).

Cette proposition répond à une problématique concrète issu du cadre régulatoire actuel : un même incident peut aujourd'hui nécessiter plusieurs notifications, selon des formulaires différents avec des informations différentes à fournir et dans des délais différents. Cette situation crée une lourdeur et une complexité administrative non négligeable pour les entités concernées.

La création du point d'entrée unique ne modifierait pas les destinataires finaux des signalements (selon les obligations imposées par les directives NIS2^28(*) pour la résilience cyber, REC^29(*) pour la résilience physique, le RGPD, le règlement eIDAS^30(*), mais aussi les textes sectoriels applicables pour le secteur bancaire et financier, le secteur de l'énergie, ou encore celui des transports aériens). La création du point d'entrée unique ne modifierait pas non plus le contenu des obligations déclaratives des incidents.

Dans une contribution écrite qu'elle a souhaité transmettre aux rapporteures, l'Afep indique accueillir favorablement la proposition de la Commission européenne visant à mettre en place un point d'entrée unique pour répondre aux obligations de déclaration des entreprises soumises à des obligations en matière de cybersécurité, mais que cette mesure soulève néanmoins des questions et des incertitudes quant à sa mise en oeuvre pratique. Les rapporteures déplorent en effet l'absence de détails opérationnels quant à l'organisation concrète que pourrait prendre le point d'entrée unique, notamment en l'absence d'étude d'impact, qui là encore fait défaut.

Auditionnée le 29 avril 2026, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) considère même que - de par la concentration en un même lieu de l'ensemble des informations sur les failles de cybersécurité européennes - le point d'entrée unique pourrait se transformer en un point de faille unique (« single point of failure »), qu'il pourrait par ailleurs être très compliqué pour l'ENISA de sécuriser de manière robuste. En effet, la logique du SEP est contraire aux bonnes pratiques de la résilience cyber, fondées notamment sur l'idée de redondance. Le système de gouvernance actuel, fondé sur la possibilité pour les États membres de mettre en place des guichets régionaux ou sectoriels, participe de la création de relais locaux de confiance pour les entreprises et entités confrontées à des incidents de cybersécurité. La centralisation de la notification vers un point central distant ne va pas dans le sens du renforcement de la confiance.

Pour répondre aux complexités administratives existantes, une solution alternative fondée sur l'harmonisation des obligations de notification des incidents cyber, issues de différents textes (NIS2, cyber resilience act, cybersecurity act^31(*), eIDAS, etc.) apparaît préférable. Elle passerait une retouche à la marge des textes concernés pour assurer que sont demandés pour les mêmes incidents des informations identiques dans des calendriers identiques, aux fins d'harmonisation des formulaires.

En complément, avec la création du SEP, le renforcement des prérogatives de l'ENISA et la centralisation des déclarations d'incident apparaissent contraires aux principes de subsidiarité et de proportionnalité, eu égard aux enjeux de sécurité nationale sous-jacents en matière d'incidents cyber. En déplaçant le centre de gravité des États membres vers l'ENISA, les États membres perdent le droit de filtrage dont ils disposent aujourd'hui pour partager ou non, à l'échelon européen, des informations sur les failles de cybersécurité d'infrastructures critiques nationales.

Les rapporteures invitent donc le Gouvernement à s'opposer fermement à la proposition de la Commission européenne et à soumettre au Conseil une solution alternative fondée sur une harmonisation des exigences déclaratives figurant dans les différents textes européens.

Dans le cadre des premières négociations techniques, le Gouvernement français - en phase avec plusieurs autres États-membres (Allemagne, Italie, Suède...) - s'est indiqué très réservé concernant la proposition de ce point d'entrée unique, notamment en l'absence de détails sur les modalités techniques de sa mise en oeuvre.

c) La fausse bonne idée pour réduire la lassitude du consentement aux cookies

Si les rapporteures partagent largement l'objectif de réduire la lassitude face à la prolifération des bannières de consentement aux traceurs (cookies), il apparaît que plusieurs mesures du nouveau régime de consentement aux cookies pourraient soulever des difficultés d'application sérieuses.

Le bouton de refus en un clic, l'interdiction de re-sollicitation pendant six mois et la consécration des signaux automatisés (article 88 ter) pourraient constituer des avancées concrètes. Toutefois, en l'absence d'étude d'impact, les rapporteures estiment que ces mesures créent des zones d'incertitude qu'il convient de lever en amont de l'adoption du texte.

En outre, les rapporteures rappellent que beaucoup de secteurs économiques utilisent les cookies pour proposer des contenus « gratuits », notamment culturels ou informatifs. L'incidence du nouveau régime des cookies serait dès lors très fortement néfaste pour les médias en ligne.

Par ailleurs, la centralisation des décisions de consentement ou de rejet au niveau des navigateurs web risquerait d'avantager indument les grandes plateformes américaines, qui exploitent les principaux navigateurs.

Enfin, un point de vigilance majeur est à souligner sous l'effet du déplacement proposé des règles en la matière, de la directive e-Privacy^32(*) vers le RGPD, en matière de sanction des manquements aux règles applicables aux cookies. Un tel déplacement créerait un double régime juridique pour ces traceurs (les traceurs adossés à des données à caractère personnel seraient soumis au RGPD, les autres, à la directive e-Privacy). Or, comme l'a rappelé la Cnil lors de son audition du 28 avril 2026, le RGPD et la directive e-Privacy relèvent de logiques très distinctes. Le RGDP prévoit un mécanisme de guichet unique dans le lieu d'établissement principal du responsable de traitement (souvent l'Irlande ou les Pays-Bas s'agissant des grandes plateformes américaines). Quant à elle, la directive e-Privacy prévoit que chaque autorité nationale est compétente pour sanctionner les manquements sur son propre sol. Par conséquent, le nouveau régime pourrait conduire à rendre compétentes dans les faits presque uniquement les autorités nationales irlandaise et néerlandaise. Cette situation réduirait l'effectivité des recours, face au risque d'embolie de ces autorités qui centraliseraient la quasi-totalité des plaintes.

En complément, cette mesure créerait un manque à gagner important pour les finances publiques françaises. Le produit des amendes issues de ce champ régulatoire s'élèverait ainsi pour la France à près d'un milliard d'euros depuis 2020, pour une cinquantaine de sanctions décidées dans cette période. Sur ce montant, la Cnil estime que - si le système envisagé dans l'omnibus numérique s'était appliqué - la France aurait connu un manque à gagner de l'ordre 90 %, soit près de 900 millions d'euros en moins.

Les rapporteures invitent donc le Gouvernement à continuer de défendre une position ferme de suppression de cette proposition, tout en soulignant que lassitude du consentement doit être effectivement prise en compte et soulagée à brève échéance, au bénéfice des citoyens européens.

d) Des révisions du RGPD trop substantielles et trop risquées  

Le dernier volet du « règlement omnibus numérique » porte sur des révisions décrites comme « ciblées » du règlement général sur la protection des données (RGPD).

Face à la marchandisation croissante et aux risques inhérents à la manipulation des données, sous l'influence de la législation pionnière de la France dite « Informatique et libertés » du 6 janvier 1978, l'Union européenne avait reconnu les droits d'une personne à garder la maîtrise de ses données en adoptant en 2016 le règlement général sur la protection des données (RGPD)^33(*).

Un temps critiqué par le secteur privé comme un frein à l'innovation, ce texte est devenu un étalon-or mondial de la protection des données personnelles au niveau international. Il est d'autant plus protecteur pour les citoyens européens que sa portée est extraterritoriale. À la différence d'autres textes européens, il est marqué par une cohérence interne forte entre les principes qu'il pose et les droits et les limites qu'il établit.

Comme le souligne la Commission européenne dans son document de travail sur l'omnibus : « Les parties prenantes partagent globalement l'avis que le RGPD représente un cadre juridique équilibré et solide en matière de protection des données personnelles ^34(*) ». Cependant, certaines modifications qu'elle se propose d'y apporter sont jugées par de nombreux acteurs comme entrainant une réduction effective de la protection offerte actuellement par le RGPD (notamment dans l'IA, le marketing programmatique, la recherche privée) voire vectrices d'instabilité juridique. Les conséquences seraient l'affaiblissement du RGPD comme standard international et l'introduction d'incertitudes juridiques.

Il demeure que certaines modifications proposées sont jugées favorablement, y compris par les professionnels du secteur de la protection des données. Ainsi, l'association Française des Correspondants à la Protection des Données (AFCDP), auditionnée le 16 avril 2026, a présenté les résultats d'une enquête réalisée par le CEDPO (Confederation of European Data Protection Organisations), sur l'Omnibus numérique, à laquelle ont répondu 672 professionnels de la protection des données dans les 27 États membres de l'UE. De manière générale, les professionnels de la protection des données accueillent ainsi favorablement la création de méthodologies et modèles communs pour les analyses d'impact pour la protection des données (AIPD), lesquels ne sont actuellement pas harmonisés au niveau européen, ce qui crée des incohérences pour les organismes installés dans plusieurs États membres.

Sur ce point, les rapporteures soulignent toutefois que la Commission européenne demande à se faire attribuer le droit de prendre des actes d'exécution relativement aux documents harmonisés d'AIPD. Or, comme pour d'autres points où la Commission européenne se propose de prendre des actes d'exécution, il apparaît que les autorités européennes sectorielles compétentes, plus proches du terrain, sont plus à même pour proposer des normes d'exécution. En matière d'AIPD, il en va ainsi des autorités de protection des données, réunies au niveau européen, avec le comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (EDPS).

De même, l'allongement du délai de notification des alertes de sécurité par les délégués à la protection des données aux autorités nationales compétentes (de 72 heures à 96 heures) est perçu favorablement ; il apparaît de nature à permettre aux délégués à la protection des données de parer à l'urgence de sécurité puis de remplir dans des délais raisonnables leurs obligations de notification. Entendue par les rapporteures le 28 avril 2026, la Cnil partage également cette analyse favorable sur ce point.

En revanche, plusieurs amendements au RGPD semblent loin d'être anodins ; ils sont assez peu « ciblés » et leurs conséquences potentiellement très dangereuses pour la protection des données sensibles.

Ainsi, outre l'ajout de diverses définitions d'ordre technique (par exemple, pour les termes « équipement terminal »), la Commission européenne entend proposer des modifications importantes de certaines définitions, notamment la définition canonique de « données à caractère personnel » (article 4, point 1 du RGPD), mais aussi celle de « recherche scientifique », élargie à toute recherche soutenant l'innovation, y compris à un intérêt commercial.

Des dérogations supplémentaires au traitement portant sur des catégories particulières de données à caractère personnel - c'est-à-dire les données « sensibles » (telles les données biométriques, les données de santé, les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, etc.) - seraient par ailleurs ajoutées au RGPD :

· une exception pour l'entraînement et le développement de l'IA, en permettant le recours à la base légale de l'intérêt légitime (article 88 e), d'une part ;

· un assouplissement concernant l'utilisation des données biométriques concernant la vérification d'identité, sous conditions.

En contrepoint, à l'issue des auditions, les rapporteures estiment que la proposition de la Commission européenne aurait pu aller plus loin dans l'encadrement du droit d'accès, dans les cas de demandes manifestement infondées ou excessives, notamment lorsque la demande porte sur un volume important de données. En effet, le droit d'accès est de plus en plus détourné de sa vocation première de protection des données personnelles, en décalage avec l'intention du législateur européen rappelée au considérant 63 du RGPD, lequel suggère que les personnes concernées doivent pouvoir accéder à leurs données à titre d'information, pour vérifier la licéïté du traitement et la nature des données qui les concernent.

Ainsi, entendu par les rapporteures, l'AFCDP indique que, dans le cadre de démarches administratives, le droit d'accès est détourné à des fins autres que la protection des données, par exemple pour modifier ou corriger incidemment un dossier administratif, voire pour contourner les délais ou retirer des informations désavantageuses.

Dans une contribution écrite qu'elle a transmise aux rapporteures, l'Association des grandes entreprises françaises (Afep) estime que le droit d'accès - préoccupation importante pour les grandes entreprises françaises - doit être fortement encadré, dans les situations litigieuses, par exemple dans le cas de litiges entre un employé et un employeur. De même, l'Afep souligne qu'il aurait été utile d'amender cette disposition pour indiquer que le droit d'accès ne peut porter que sur des données personnelles et non sur des documents dans leur intégralité.

2. Face aux risques potentiels pour la protection des droits et libertés numériques, les rapporteures appellent à la plus grande précaution dans la modification du RGPD

En ligne avec l'objectif affiché par la Commission européenne, les rapporteures considèrent que toute modification du RGPD doit être strictement proportionnée et finement équilibrée pour ne pas « compromettre les objectifs politiques du RGPD, notamment le niveau élevé de protection des données^35(*) » qu'il assure.

Ainsi que le souligne l'association Française des Correspondants à la Protection des Données (AFCDP), si certaines propositions semblent acceptables individuellement, une fois cumulées, elles pourraient affaiblir le cadre du RGPD. Ce cumul pourrait « vider le RGPD de sa substance » et affaiblir la place du RGPD comme standard international.

a) La modification de la définition de « données à caractère personnel » : une proposition contreproductive et dangereuse

Dans son document de travail pour les services en date du 19 novembre 2025, qui en l'absence de véritable analyse d'impact fait référence, la Commission européenne souligne que la conformité au RGPD implique à la fois des avantages et des coûts pour les entreprises, notamment les plus petites, et que « des difficultés ont été identifiées, notamment en ce qui concerne l'interprétation et l'application cohérentes du RGPD par les autorités de contrôle. Les parties prenantes ont souligné la nécessité de renforcer la sécurité juridique en introduisant des mesures visant à réduire la fragmentation du droit et à améliorer l'application cohérente du RGPD^36(*) ».

En particulier, la Commission européenne souhaite proposer « une plus grande clarté sur certains aspects clés essentiels à l'interprétation du RGPD, tels que la définition des données personnelles à la lumière de la jurisprudence récente de la Cour de justice de l'Union européenne (CJUE), afin de garantir une compréhension commune et harmonisée de ce concept fondamental dans toute l'UE^37(*) ».

La Commission européenne propose donc de « codifier » les arrêts Breyer (CJUE, 19 octobre 2016, C-582/14) et EDPS c/ SRB (CJUE, 4 septembre 2025, C-413/23 P) sur l'approche relative de l'identifiabilité, dans l'idée de préciser la portée de la notion de « donnée à caractère personnel » dans le contexte d'un transfert de données pseudonymisées à des tiers. La proposition introduit ainsi une modification de l'article 4, point 1, du RGPD pour disposer que des informations relatives à une personne physique ne sont pas nécessairement des données personnelles pour toute entité, dès lors que cette entité ne dispose pas des moyens raisonnablement susceptibles d'identifier la personne.

Néanmoins, dans un communiqué de presse en date du 4 décembre 2025, le Comité européen de la protection des données (CEDP) estime que la modification de la définition des données personnelles proposée par la Commission européenne « semble aller au-delà de la jurisprudence récente de la CJUE et d'une modification ciblée du RGPD ».

Dans leur avis conjoint (n° 2/2026) sur la proposition de règlement omnibus numérique en date du 10 février 2026, le Comité européen de la protection des données (CEDP) et le Contrôleur européen de la protection des données (EDPS) considèrent la proposition de la Commission européenne comme une régression et porterait atteinte au droit fondamental à la protection des données.

Entendue le 28 avril 2026, la Cnil a indiqué rejoindre l'analyse très ferme du CEDP sur ce point.

En effet, la rédaction projetée crée une zone grise : un opérateur pourrait soutenir que, ne « visant » pas l'identification, les données qu'il traite ne relèvent pas du RGPD, alors même que des moyens techniques d'identification existent dans son système d'information ou dans son écosystème. Il y a donc un risque réel de contournement des obligations par des acteurs déclarant ne pas « viser » l'identification des personnes.

Cette proposition apparaît dès lors contreproductive. Elle est en effet contradictoire avec la logique objective et contextuelle que retenait la jurisprudence jusque-là : ce sont les moyens raisonnablement disponibles, non l'intention déclarée de l'opérateur de traitement des données, qui doivent fonder la qualification de données à caractère personnel.

L'effet serait amplifié par l'habilitation qui serait donnée à la Commission européenne de prendre des actes d'exécution pour spécifier les moyens et les critères permettant de déterminer si des données issues de la pseudonymisation constituent encore ou pas des données personnelles (nouvel article 41 bis). Les rapporteures estiment ainsi que la combinaison des modifications proposées réduirait significativement le champ matériel du RGPD par voie réglementaire, sans contrôle effectif des législateurs européens et nationaux.

En conséquence, à l'issue des auditions, notamment de la CNIL et de l'Association française des correspondants à la protection des données (AFCDP), les rapporteures jugent que la modification proposée par la Commission européenne à la définition canonique du RGPD de « données à caractère personnel » est dangereuse, pour plusieurs raisons :

· elle conduirait à une réduction du champ d'application du RGPD en proposant une définition négative (« ce qui n'est pas une donnée à caractère personnel », après pseudonymisation), risquant de « générer de nouvelles incertitudes juridiques », contrariant donc l'objectif affiché par la Commission européenne ;

· la classification d'une donnée comme à caractère personnel ou non deviendrait incertaine car elle dépendrait des capacités techniques du destinataire à identifier une personne, créant une fragmentation de l'interprétation. Elle reposerait donc sur une interprétation subjective ;

· la perte du caractère personnel d'une donnée pseudonymisée est potentiellement réversible. En effet, une donnée pseudonymisée peut ne pas permettre l'identification d'une personne à un instant donné, mais le permettre ultérieurement au moyen de recoupement de jeux de données devenus entre temps disponibles. En outre, une entité qui n'a pas les moyens d'identifier une personne est susceptible de transférer les données pseudonymisées (qui ne bénéficient plus d'aucune protection particulière puisqu'elles ne sont plus des données à caractère personnel) à une entité qui, elle, détient ces moyens ;

· elle serait partiellement en contradiction avec la jurisprudence de la CJUE qui rappelle que des données anonymes pour une entité peuvent devenir personnelles si un destinataire ultérieur dispose des moyens de réidentification. Or, en affirmant que la transmission à une tierce partie ne rend pas les données personnelles pour l'entité initiale, la proposition de la Commission européenne ne semble pas tenir compte de ce principe.

Ainsi que le résume l'Association française des correspondants à la protection des données (AFCDP) : « En basant la définition sur les moyens qu'un acteur peut ``raisonnablement'' utiliser, la proposition ouvre la porte à ce que des organisations classent des données identifiables comme « non personnelles » au motif qu'elles (ou leurs destinataires) n'ont pas l'intention ou les capacités techniques immédiates de viser l'identification. Il est craint que les données ne finissent par être considérées comme non personnelles par défaut, affaiblissant ainsi toute la chaîne de responsabilité et laissant circuler des données personnelles (même sensibles) sans supervision légale adéquate ».

En somme, les rapporteures estiment que cette modification nuirait aux droits fondamentaux eu égard à la protection des données personnelles des citoyens français et européens, sans pour autant apporter de clarté juridique pour les entreprises et responsables de traitement. Au contraire, elles considèrent comme non nul le risque d'exploitation de cette flexibilité pour contourner le RGPD par des acteurs mal intentionnés.

Les rapporteures invitent le Gouvernement français à continuer de tenir fermement la position de suppression de la modification de la définition de données à caractère personnel, laquelle est majoritaire au sein du Conseil européen. En outre, les rapporteures jugent préférable de rechercher une clarification de cette définition par des lignes directrices (en cours d'élaboration), plutôt qu'une révision de la réglementation européenne.

En complément, les rapporteures soulignent que la disposition visant à permettre à la Commission européenne de prendre des actes d'exécution relativement aux critères de définition des données pseudonymisées, ne leur apparaît pas justifiée. Là encore, elles appellent la Commission européenne à davantage de mesure et à en référer aux autorités européennes et nationales compétentes, plutôt que de viser une démarche centralisatrice qui présente des limites.

Ces réserves semblent partagées par le Conseil de l'UE, qui dans son deuxième compromis sur le volet « RGPD », en date du 15 avril 2026, a proposé d'amender le projet de la Commission européenne sur la question de la pseudonymisation, afin de détailler que « les données à caractère personnel ayant fait l'objet d'une pseudonymisation, qui pourraient être attribuées à une personne physique grâce à l'utilisation d'informations supplémentaires, doivent être considérées comme des informations relatives à une personne physique identifiable ». En outre, le Conseil souhaite que le CEDP puisse rendre un avis au plus tard douze mois après l'entrée en vigueur du règlement, portant sur « l'application de la pseudonymisation et de l'anonymisation, y compris les mesures techniques et organisationnelles connexes, et précisant les moyens et les critères permettant de déterminer si l'application de la pseudonymisation aux données à caractère personnel est de nature à empêcher efficacement des personnes autres que le responsable du traitement d'identifier une personne concernée, de telle sorte que, pour ces personnes, la personne concernée ne soit pas ou ne soit plus identifiable ».

b) Une modification hasardeuse de la définition de recherche scientifique pour y inclure toute recherche soutenant l'innovation, y compris dans un intérêt commercial

Dans ses lignes directrices 03/2020 sur le traitement de données concernant la santé à des fins de recherche scientifique dans le contexte de la pandémie de COVID-19, le Comité européen de la protection des données (EDPB) rappelle que l'article 4 actuel du RGPD ne contient pas de définition explicite du « traitement à des fins de recherche scientifique » et que le considérant 159 indique que « le traitement de données à caractère personnel à des fins de recherche scientifique devrait être interprété au sens large et couvrir, par exemple, le développement et la démonstration de technologies, la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé ». Néanmoins, il suggère des difficultés d'application liée à l'imprécision de cette définition.

Dès lors, une définition harmonisée de la « recherche scientifique » apparaît bienvenue. Selon la proposition de la Commission européenne, la définition de « recherche scientifique » serait élargie à toute recherche menée pour générer de nouvelles connaissance ou soutenant l'innovation, y compris la recherche privée. Elle pourrait donc dès lors englober des activités essentiellement commerciales présentées comme de la R&D. Une telle définition est souhaitée par les grandes entreprises, car elle est favorable à l'innovation, comme le souligne l'Association des grandes entreprises françaises (Afep), dans la contribution écrite qu'elle a transmise aux rapporteures le 27 avril 2026.

Or, comme le rapporte l'Association française des correspondants à la protection des données (AFCDP) dans le cadre de son audition, l'élargissement de la notion de « recherche scientifique » pour préciser qu'elle peut poursuivre un intérêt commercial associé à la proposition de considérer la réutilisation de données pour la recherche comme automatiquement compatible avec la finalité initiale est perçue par certains délégués à la protection des données, comme une atteinte aux principes fondamentaux du RGPD, et notamment en raison du caractère automatique de cette autorisation. Selon l'AFCDP, il est à craindre que l'inclusion de l'intérêt commercial ne serve de « prétexte » à certaines entreprises pour contourner les garde-fous posés par l'article 9 du RGPD. Pour les données de santé ou biométriques, la réutilisation de ces données sans évaluation de compatibilité au cas par cas peut mener à des risques élevés de stigmatisation, de profilage ou d'inférences.

Ainsi, des professionnels de la protection des données recommandent de maintenir un test approfondi de compatibilité des finalités. Selon l'AFCDP, ces mesures, couplées à la réduction de l'obligation d'information des personnes dans le contexte de la recherche scientifique aboutissent à une atteinte directe au principe de transparence et sont perçues comme venant limiter les possibilités de contrôle des individus sur leurs propres données, notamment lorsque la recherche scientifique a un but commercial.

Conjuguée aux assouplissements de certains traitements à cette fin, l'élargissement de l'acception de la « recherche scientifique » soulève un risque potentiel pour la protection de certaines données sensibles. Le risque pour les données de santé est ainsi particulièrement aigu : un acteur privé pourrait invoquer la qualification de « recherche scientifique » pour justifier le traitement de ces données dans un cadre purement marchand. La présomption de compatibilité avec la finalité initiale (article 5, paragraphe 1, point b), modifié) accentue ce risque.

Dans son deuxième compromis sur le volet « données » en date du 15 avril 2026, le Conseil a à ce stade rejeté l'inclusion de la recherche avec des « intérêts commerciaux » du champ de la « recherche scientifique ».

Eu égard aux risques pour la protection des données sensibles, notamment les données de santé, les rapporteures rejoignent la position portée par le Conseil de ne pas étendre de manière trop large la définition de « recherche scientifique » au risque d'y inclure des activités de R&D menées à des fins purement marchandes.

Si la promotion de la recherche est un objectif important pour l'UE et que l'utilisation de l'IA et des jeux de données européens notamment de santé ouvrent des perspectives prometteuses pour l'amélioration des diagnostics cliniques^38(*), l'automaticité de la compatibilité du traitement de données sensibles aux fins de recherche interroge les rapporteures. Elles considèrent ainsi que la compatibilité des traitements ultérieurs avec la finalité initiale doit demeurer réfragable et subordonnée à des garanties concrètes en matière de sécurité des données et de mode de gouvernance. Il apparaît dès lors que des garanties supplémentaires sont nécessaires pour assurer le caractère véritablement « scientifique » du traitement de données et garantir un certain niveau de standard éthiques, à travers des modalités pratiques à définir. À titre d'exemple, pour les traitements à grande échelle de données de santé à des fins de recherches, une autorisation préalable des traitements par un comité d'experts indépendant pourrait être souhaitable.

Comme le suggère la Cnil, les rapporteures plaident pour l'ajout des notions de vérifiabilité, de transparence et d'objectifs de la recherche scientifique à la définition, afin de veiller au caractère véritablement scientifique des recherches ainsi couvertes par le règlement sur l'IA et des assouplissements induits.

c) Des nouvelles dérogations au traitement sur des catégories particulières de données sensibles qui ouvrent des privilèges à l'IA, sans garanties suffisantes

Deux dérogations supplémentaires au traitement portant sur des catégories particulières de données à caractère personnel - c'est-à-dire les données « sensibles » (ex : données biométriques, données de santé, données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, etc.) - seraient ajoutées au RGPD :

· une exception pour l'entraînement et le développement de l'IA (Article 3, paragraphe 2), sous certaines conditions. Serait ainsi autorisé le traitement résiduel par les systèmes d'IA de telles données : si celles-ci sont présentes de manière accidentelle ou résiduelle dans les jeux de données malgré les mesures techniques et organisationnelles prises pour l'éviter, et si leur suppression est impossible ou exige des efforts disproportionnés, elles devront être protégées pour éviter un usage abusif (par exemple, via du chiffrement). Cette dérogation ne s'applique pas si le traitement de ces données est nécessaire à la finalité de principe (par exemple, relativement à un système d'IA conçu pour analyser des données de santé) ;

· une clarification concernant les données biométriques : si leur utilisation reste soumise à des restrictions très strictes en matière d'identification des personnes, une dérogation est proposée concernant le traitement des données biométriques pour la vérification d'identité, sous deux conditions : 1) la personne concernée a le contrôle exclusif du processus (par exemple, s'agissant de données stockées uniquement sur son appareil personnel) et 2) des garanties appropriées sont prises pour éviter les abus.

Dans le cadre des discussions interinstitutionnelles en cours, ces propositions sont à ce stade refusées par le Conseil de l'UE. Dans son deuxième compromis sur le volet « données » en date du 15 avril 2026, le Conseil a écarté l'ajout d'un nouvel article 88 c dans le RGPD, qui autoriserait l'utilisation des données à caractère personnel pour l'entrainement des modèles d'IA dans le cas d'un « intérêt légitime » ; cet ajout apparaît effectivement superfétatoire, un tel traitement étant déjà possible (voir points 39 à 45 de l'avis 2/2026 du comité européen de la protection des données et du Contrôleur européen de la protection des données sur la proposition de règlement omnibus numérique^39(*)).

En complément, la proposition de règlement de la Commission européenne entend assouplir les conditions du traitement de données sensibles aux fins de recherche scientifique. Outre la clarification de la définition de « recherche scientifique » (cf. supra), les modifications suivantes sont proposées :

· le traitement ultérieur de données à des fins scientifiques est considéré comme licite s'il est compatible avec la finalité initiale de la collecte ;

· la recherche scientifique est reconnue comme un intérêt légitime au sens de l'article 6(1)f du RGPD, à condition que 1) les droits des personnes concernées soient protégés et 2) les données utilisées soient uniquement celle strictement nécessaires à la recherche ;

· des exceptions sont apportées à l'obligation d'information individuelle des personnes concernées, si cette information est impossible ou disproportionnées, à condition de rendre les informations publiquement disponibles.

En somme, les possibilités pour les responsables de traitement d'utiliser des données sensibles sont étendues à différents motifs (intérêt légitime, aux fins de recherche, y compris à des fins commerciales, entrainement d'IA, détection et correction des biais algorithmiques, y compris discriminatoires des IA).

Or, dans les faits, les responsables de traitement sont seuls responsables de l'analyse du bien-fondé et de la légalité des traitements de données qu'ils entendent opérer. Ainsi, en élargissant les possibilités de traitement, on risque donc un effet de bord possible consistant à élargir également les mésusages de données sensibles, soit en raison d'une erreur de jugement, soit par des responsables de traitement négligeant ou malintentionnés.

*

Les rapporteures considèrent en somme que les modifications proposées au RGPD sont loin d'être cosmétiques ou mineures et appellent donc le gouvernement français à la plus grande vigilance sur ce sujet. Il s'agit en effet de veiller à ce que l'équilibre protecteur du RGPD, reconnu internationalement, ne soit pas remis en cause.

En outre, en permettant à l'IA de traiter sans garanties suffisantes des données sensibles, les rapporteures considèrent qu'on ouvre la porte à des traitements potentiellement contraires aux valeurs européennes.

Enfin, les rapporteures appellent l'Union européenne à avoir l'ambition de faire du règlement sur l'IA un standard international de régulation de l'IA, sur le modèle du RGPD, qui en huit ans, est devenu un étalon-or mondial en matière de protection des données.

*

La proposition de résolution européenne qui suit présente ainsi les observations de la commission des affaires européennes sur le volet IA, ainsi que les principales orientations et point de vigilance qu'elle souhaite soumettre au Gouvernement dans le cadre des négociations en cours et à venir sur le volet « données », notamment relativement aux évolutions proposées du RGPD.

* ²⁵ Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne.

* ²⁶ Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l'accès aux données et de l'utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données)

* ²⁷ Directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public.

* ²⁸ Directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).

* ²⁹ Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) n° 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyberrésilience).

* ³⁰ Règlement (UE) 90/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.

* ³¹ Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité).

* ³² Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).

* ³³ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

* ³⁴ Traduction libre du document de travail pour les services, accompagnant les propositions de règlements de l'omnibus numérique, publié exclusivement en anglais par la Commission européenne, le 19 novembre 2025.

* ³⁵ Traduction libre du document de travail pour les services, accompagnant les propositions de règlements de l'omnibus numérique, publié exclusivement en anglais par la Commission européenne, le 19 novembre 2025.

* ³⁶ Traduction libre du document de travail pour les services, accompagnant les propositions de règlements de l'omnibus numérique, publié exclusivement en anglais par la Commission européenne, le 19 novembre 2025.

* ³⁷ Ibid.

* ³⁸ Des applications récentes sont à noter pour la détection précoce de la septicémie ou l'amélioration de la détection de certains cancers.

* ³⁹ Dans son avis 28/2024 du 17 décembre 2024 sur les modèles d'IA, le Contrôleur européen de la protection des données (EDPS) a ainsi déjà confirmé que l'intérêt légitime pouvait être utilisé, dans certains cas, comme base légale pour le développement et l'entrainement des modèles ou systèmes d'IA. L'ajout de cette base légale dans le règlement sur l'IA est donc jugé superfétatoire, d'autant que la rédaction (« peut ») n'apporte aucune clarification comparativement à l'avis 28/2024.