EXAMEN EN COMMISSION
La commission des affaires européennes, réunie le mercredi 13 mai 2026, a engagé le débat suivant :
M. Alain Cadec, vice-président. - Nous allons maintenant examiner la proposition de résolution européenne sur l'omnibus numérique, préparée par Catherine Morin-Desailly et Karine Daniel. Nos collègues l'ont accompagnée d'un projet de rapport d'information permettant de mieux appréhender le sujet. J'observe que la commission des affaires européennes travaille depuis de nombreuses années sur ces enjeux, qui deviennent de plus en plus importants.
L'Union européenne a su se doter d'un cadre de référence en matière de numérique, au travers de plusieurs textes phares comme le règlement général sur la protection des données (RGPD), le règlement établissant des règles harmonisées concernant l'intelligence artificielle, le DSA (Digital Services Act), relatif aux services numériques, ou le DMA (Digital Markets Act), relatif aux marchés numériques. Toutefois, je comprends que, sous couvert de simplification, la Commission européenne propose, au travers de son septième omnibus, des modifications qui ne sont pas tout à fait anodines pour la préservation des droits numériques des citoyens de l'Union européenne.
Mme Karine Daniel, rapporteure. - La Commission européenne a présenté, le 11 novembre de l'année dernière, un paquet omnibus de simplification, le septième présenté depuis début 2025, relatif au numérique. Confronté à un cadre juridique du numérique dense, complexe et qui a évolué très vite ces dernières années, il était partiellement attendu par les entreprises du secteur.
En effet, elles espèrent, comme nous, une réelle simplification de la réglementation applicable en matière d'intelligence artificielle (IA) et de numérique, dans une logique de clarté et de sécurité juridique. Néanmoins, cet omnibus soulève, pour ma collègue Catherine Morin-Desailly et moi-même, de vraies questions de fond, car, en réalité, la proposition excède la seule simplification.
Ce paquet omnibus dédié au numérique se compose de deux volets, l'un ayant pour objet l'intelligence artificielle, l'autre, plus largement, les données et la cybersécurité. Je vous présenterai nos observations sur le premier et laisserai Catherine Morin-Desailly vous détailler nos conclusions sur le second.
Concernant le premier volet, il est important de vous préciser que nous intervenons un peu tard. En effet, un trilogue conclusif a eu lieu il y a quelques jours, le 7 mai. Nos observations constituent donc davantage un message politique adressé à la Commission européenne, à laquelle nous proposerons d'adresser subséquemment un avis politique. Ceci s'explique par un calendrier contraint pour les négociations de ce volet relatif à l'IA, menées sous l'impulsion de la Commission, qui souhaitait aboutir à une adoption des révisions du règlement sur l'IA avant le 2 août 2026.
Le 2 août 2026 est, en effet, la date butoir théorique à partir de laquelle devraient s'appliquer les obligations faites aux IA dites « à haut risque », c'est-à-dire celles qui sont utilisées dans certains domaines sensibles comme la biométrie, l'administration de la justice, les jouets, etc. Toutefois, la Commission européenne et l'organisme européen indépendant chargé de produire les normes harmonisées sur l'IA, le Comité européen de normalisation en électronique et en électrotechnique, ont pris beaucoup de retard en la matière. En l'absence de ces normes, les acteurs institutionnels et les entreprises du secteur s'accordent à reconnaître l'utilité d'un report des obligations. Nous aurions préféré ne pas décaler leur application, mais force est de constater que cela était devenu nécessaire.
La question des modalités de ce report s'est toutefois posée : devait-il être conditionné à l'adoption de normes harmonisées permettant de définir précisément les contours des IA à haut risque ou bien devait-il se faire à date fixe ? Dans sa proposition initiale, la Commission européenne prévoyait un mécanisme de flexibilité qui revenait à conditionner l'entrée en application des obligations à l'adoption des normes harmonisées.
À cette approche, le Conseil, en ligne avec la position du gouvernement français, a préféré un report à date fixe.
En premier lieu, celle du 2 décembre 2027 a été retenue, soit un report de dix-huit mois, pour les systèmes d'IA de l'annexe III du règlement sur l'IA, qui couvre les systèmes d'IA à haut risque utilisés dans certains secteurs, comme l'éducation, les prestations sociales ou le contrôle des frontières.
En second lieu, le 2 août 2028, soit un report de vingt-quatre mois, devient l'échéance pour les systèmes d'IA de l'annexe I, qui couvre les systèmes d'IA à haut risque intégrés dans un produit, par exemple dans l'imagerie médicale ou les jouets.
Sur ce point, notre analyse rejoint la position du gouvernement français : une trop grande flexibilité du report des obligations aurait conduit à risquer un report sine die. Nous regrettons, par ailleurs, que ce report concerne finalement les obligations de transparence pour les fournisseurs et les « déployeurs » de certains systèmes d'IA, comme cela aurait été acté lors du trilogue du 7 mai. Je dis « aurais été acté », car nous ne disposons pas encore du texte du compromis final, mais cela correspond aux informations que nous avons recueillies.
Conformément à cet arbitrage en trilogue, le marquage des contenus générés artificiellement sera donc obligatoire seulement en décembre 2026, avec six mois de retard par rapport au calendrier initial. Pourtant, il s'agit d'une mesure phare du règlement sur l'IA, qui doit permettre aux citoyennes et aux citoyens de repérer plus facilement les contenus produits par utilisation de cette technologie. Pour mémoire, je rappelle que cette disposition était la seule du règlement en faveur de la protection des contenus culturels et médiatiques couverts par le droit d'auteur.
J'en profite pour souligner l'occasion manquée de clarifier le régime juridique du droit d'auteur en matière d'IA alors que des solutions ont été identifiées pour concilier protection de ce droit et développement de la technologie en question, à l'instar de la proposition de loi relative à l'instauration d'une présomption d'exploitation des contenus culturels par les fournisseurs d'intelligence artificielle, déposée par Laure Darcos et adoptée par le Sénat le 8 avril dernier. Il est regrettable que l'omnibus numérique n'ait pas été choisi comme véhicule pour cela. Espérons qu'il ne faille pas attendre le prochain train !
Revenons-en au report des obligations pour certains systèmes d'IA à haut risque. Si ce dernier était rendu nécessaire par la force des choses, nous considérons qu'une révision du règlement sur l'IA de 2024, à peine deux ans après son adoption et alors même qu'il n'est pas encore totalement mis en oeuvre, n'en est pas moins dommage et révèle des difficultés.
Tout d'abord, il est difficile de réguler l'IA, une technologie complexe, aux évolutions rapides, itératives. Cela doit nous appeler, nous, législateurs français et de l'Union, à la plus grande prudence et mesure. Il y va du devenir d'une IA conforme aux valeurs européennes.
Ensuite, nous considérons que c'est là encore un signe de la dérive normative de l'Union que notre commission a déjà dénoncée. C'est particulièrement flagrant dans le cadre de la réglementation européenne du numérique et de l'IA, qui frappe par sa fragmentation, au risque de perdre les entreprises et de contribuer au décrochage démocratique.
J'en viens maintenant aux autres mesures proposées dans le volet IA. Certaines sont positives, notamment pour la compétitivité des entreprises européennes du numérique, notamment les plus petites. C'est le cas, par exemple, de l'extension aux petites entreprises à moyenne capitalisation de la simplification des obligations administratives applicable aux petites et moyennes entreprises. Pour être bien comprise, je précise que les petites entreprises à moyenne capitalisation, qu'on appelle aussi scale-up, sont des entreprises du numérique qui commencent à atteindre une taille critique et ont précisément besoin de tous les coups de pouce possibles pour pouvoir grandir et prétendre concurrencer un jour les géants chinois et américains.
En revanche, d'autres mesures nous paraissent plus discutables, notamment le renforcement de la gouvernance et des prérogatives du bureau de l'IA pour les contrôles transfrontaliers. Pour mémoire, le bureau de l'IA n'est autre que la Commission européenne. Néanmoins, cette entité n'a pas encore atteint une taille suffisante pour assurer ses nouvelles fonctions. Nous considérons, en outre, que les expérimentations en matière d'IA doivent se faire sous le contrôle d'organismes indépendants de la Commission européenne et donc n'être pas réalisées par le bureau en question.
Enfin, certaines mesures qui nous semblent indispensables ne figurent pas dans le volet IA de l'omnibus numérique et cela nous interpelle. J'ai déjà évoqué le sujet du régime juridique du droit d'auteur en matière d'IA, mais je pense également à l'empreinte environnementale de cette technologie. Certes, des obligations déclaratives concernant la consommation d'énergie sont prévues dans le règlement de 2024, mais elles auraient facilement pu être assorties d'objectifs de réduction de la consommation énergétique, notamment pour les plus gros acteurs du secteur, qui ont les moyens de le faire. De plus, l'IA est également incroyablement consommatrice d'eau et d'autres ressources.
Je termine par un point d'attention majeur qui est détaillé dans notre rapport : celui de l'interdiction de certains usages problématiques de cette technologie, en complément de la liste des pratiques interdites en la matière qui figure déjà à l'article 5 du règlement sur l'IA. Dans les négociations, deux points qui ne faisaient pas partie de la proposition initiale de la Commission européenne ont été ajoutés par le Conseil, sur l'initiative de la France et d'autres États membres, afin d'amender cette liste et y ajouter la « nudification », c'est-à-dire les systèmes d'IA capables de produire ou générer des hypertrucages sexuels sans consentement, mais aussi des contenus pédopornographiques et plus largement, pédocriminels.
Malheureusement, le trilogue du 7 mai n'a abouti que sur l'interdiction de la nudification et non pas sur celle des contenus générés par l'IA qui auraient un caractère pédocriminel. Cela nous paraît vraiment regrettable. Nous pensons qu'une approche plus extensive de ces interdictions pourrait viser toutes les atteintes à la personne ou à la dignité humaines, au sens de l'article 3 de la Charte des droits fondamentaux de l'Union européenne, bien qu'une interdiction large soit susceptible de se heurter à des difficultés juridiques, notamment en ce qui concerne la proportionnalité. En la matière, il faut permettre une réglementation agile et flexible, c'est-à-dire qui puisse évoluer pour intégrer les nouveaux usages problématiques de l'IA, lesquels ne manqueront pas d'émerger avec le temps.
Dans ce contexte, face à tant de complexité, au risque d'informations tronquées, manipulées et falsifiées, aux deepfakes et aux autres hypertrucages, nous considérons que l'éducation et la formation continue à l'IA sont absolument fondamentales. Il faut améliorer la capacité des citoyennes et des citoyens européens à lire, à comprendre et à traiter l'information produite par cette technologie, ce qu'on appelle dans le jargon la « littératie de l'IA », et la connaissance de leurs droits, de leurs libertés et des voies de recours en cas d'abus.
Il y va, là aussi, de l'alignement de l'IA sur la protection des valeurs européennes, que notre commission a déjà appelé de ses voeux à plusieurs reprises et qui fait l'objet d'une proposition de résolution européenne déposée par notre collègue Vanina Paoli-Gagin, qui s'est vue confier par le Gouvernement une mission temporaire « ayant pour objet l'alignement des systèmes d'intelligence artificielle (IA) avec nos standards de confiance, sécurité, durabilité et explicabilité ».
Mme Catherine Morin-Desailly, rapporteure. - Le volet « données » de l'omnibus numérique m'inquiète. Mon inquiétude ne provient pas des mesures relatives aux données non sensibles, qui ont pour objet, essentiellement, la codification de divers textes européens épars et l'harmonisation du droit. Ces dispositions vont, bien évidemment, dans le bon sens, c'est-à-dire dans le sens de la simplification.
Ce volet m'inquiète pour les mesures qui concernent les données sensibles, qui, de façon cumulative, présentent un risque significatif de réduire la protection des droits et des libertés numériques des citoyens européens et français. Pourtant, « la maîtrise de ses données par l'Union européenne » est une « condition de son indépendance et de sa liberté », comme je le soulignais déjà en 2013 dans mon rapport d'information L'Union européenne, colonie du monde numérique ?. Ce constat me paraît s'imposer encore plus clairement à l'heure actuelle.
Les mesures proposées sont présentées par la Commission européenne comme des amendements « ciblés » au RGPD, adopté en 2016. Ce texte est devenu en dix ans un étalon-or mondial de la protection des données. S'il doit être révisé, ce qui ne va pas de soi, il doit absolument être remanié avec précaution. Toutefois, nous considérons que certains amendements sont loin d'être cosmétiques ou ciblés. Leurs conséquences sont donc potentiellement dangereuses pour la protection des données sensibles.
Il en va ainsi, notamment, de la modification de la définition canonique des « données à caractère personnel ». La Commission européenne dit souhaiter proposer « une plus grande clarté sur certains aspects clés essentiels à l'interprétation du RGPD, tels que la définition des données personnelles à la lumière de la jurisprudence récente de la Cour de justice de l'Union européenne ». Elle fait là référence à la jurisprudence dite SRB du 4 septembre 2025, laquelle vise à préciser la notion de données à caractère personnel dans le contexte d'un transfert de données pseudonymisées à des tiers. Cette jurisprudence tend à conclure que des données pseudonymisées ne sont pas nécessairement des données à caractère personnel, dès lors que le tiers qui les reçoit ne dispose pas de moyens raisonnablement susceptibles d'identifier la personne.
La Commission propose de généraliser cette logique à toutes les données pseudonymisées, quel que soit le contexte. Elles ne seraient alors plus des données personnelles au sens du droit européen. Cela aboutirait à une réduction du champ d'application du RGPD, soulèverait des problèmes majeurs et ne clarifierait en rien la définition. En effet, la classification d'une donnée comme étant « à caractère personnel » deviendrait incertaine, car elle dépendrait des capacités techniques du destinataire à identifier une personne. De plus, la perte du caractère personnel d'une donnée pseudonymisée est potentiellement réversible : un tiers pourrait ne pas disposer des moyens de réidentifier la personne tandis qu'un tiers subséquent serait en mesure de le faire, par exemple par croisement de jeux de données. On aboutit donc à une définition floue et volatile de « données à caractère personnel », ce qui me paraît hautement préjudiciable.
Karine Daniel et moi-même considérons ainsi que cette modification nuirait aux droits fondamentaux, eu égard à la protection des données personnelles des citoyens français et européens, sans pour autant apporter de clarté juridique pour les entreprises et responsables de traitement de données. Au contraire, il y a même un risque que des acteurs mal intentionnés exploitent cette flexibilité pour contourner le RGPD. Je souligne aussi que la Commission nationale de l'informatique et des libertés (Cnil), que nous avons entendue, partage cet avis.
A priori, c'est également l'avis majoritaire au sein du Conseil. Le Parlement européen, lui, étudie ce sujet. Je souligne à cet égard que, à la différence du volet relatif à l'IA, pour lequel les négociations sont terminées, les trilogues n'ont pas encore débuté sur le second volet de l'omnibus numérique. Une résolution européenne du Sénat sur ce point a donc toute son importance.
D'autres éléments majeurs figurent également dans notre rapport et notre proposition de résolution européenne. Pour ne pas être trop longue, je vous en présenterai trois.
Premièrement, nous considérons que l'IA ne doit pas se voir attribuer des privilèges en matière de traitement des données à caractère personnel sans que des garanties suffisantes soient prévues pour la protection de ces données et donc des personnes à qui elles appartiennent. Pourquoi permettre à une intelligence artificielle des traitements de données qu'on ne permet pas à une intelligence humaine ? Pourtant, plusieurs propositions de l'omnibus numérique semblent contrevenir à cette logique, comme l'ouverture de possibilités larges d'utilisation de données à caractère personnel aux fins d'entraînement de l'IA. Cela soulève des questions profondes en ce qui concerne certains secteurs critiques et sensibles pour les droits fondamentaux, notamment en matière de données de santé.
Deuxièmement, je tiens à mettre l'accent sur la proposition de création d'un point d'entrée unique pour la déclaration des incidents de cybersécurité, qui serait géré par l'Agence européenne pour la cybersécurité (ENISA, European Union Agency for Cybersecurity). Si l'ambition de renforcer la résilience cyber de l'Union européenne est louable, cette proposition, elle, nous paraît contraire au bon sens et aux bonnes pratiques en matière de cybersécurité. Concentrer tous les signalements en un seul lieu, c'est risquer d'en faire un point de faille unique. L'Agence nationale de la sécurité des systèmes d'information (Anssi), que nous avons entendue, le confirme. Ce sujet rejoint d'ailleurs un des enjeux du paquet sur la cybersécurité, sur lequel ma collègue Audrey Linkenheld et moi-même vous présenterons une proposition d'avis motivé.
Troisièmement, la Commission européenne propose de déplacer les règles en matière de traceurs, ou cookies, de la directive ePrivacy (directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques) vers le RGPD. Cela nous paraît une fausse bonne idée. Certes, nous partageons largement l'objectif de réduire la lassitude face à la prolifération des bannières de consentement aux cookies à laquelle nous sommes toutes et tous confrontés. Pour autant, ce nouveau régime pourrait soulever de sérieuses difficultés d'application. Il créerait un double régime juridique pour les cookies, ce qui ne peut en aucun cas être considéré comme une simplification. Il avantagerait les géants américains, car les navigateurs au niveau desquels la récolte du consentement serait centralisée sont majoritairement ceux des Google, Apple, Facebook, Amazon, Microsoft (Gafam).
De surcroît, il aurait un effet de bord néfaste pour les finances publiques françaises. En effet, la directive ePrivacy a pour objet que chaque autorité nationale est compétente pour sanctionner les manquements sur son propre sol en matière de cookies, mais le RGPD rendrait compétentes les seules Cnil des États membres dans lesquelles sont implantées les grandes plateformes, soit l'Irlande et les Pays-Bas. Le manque à gagner pour la France, selon la Cnil, serait de l'ordre 150 millions d'euros par an.
En conclusion, je précise que, si nous soutenons l'ambition de simplification, nous considérons que les omnibus ne doivent pas dissimuler des transformations majeures de la réglementation européenne. C'est vrai pour l'omnibus numérique. Certes, l'IA est un levier important pour la compétitivité européenne, mais elle ne doit pas être un prétexte pour déréguler le numérique.
Alors que les très grandes plateformes en ligne et les principaux systèmes d'IA dominant le marché européen sont américains et chinois, l'Union européenne ne doit ni trembler ni transiger dans l'application de l'arsenal juridique novateur et ambitieux qu'elle a commencé à construire. Au contraire, elle devrait avoir l'ambition de faire du règlement sur l'IA un standard international en la matière, à l'instar du RGPD, il y a dix ans, pour la protection des données personnelles.
À ce titre, les modifications du RGPD proposées nous paraissent substantielles et dangereuses. Leur cumul pourrait vider cet outil de sa substance au détriment de la protection des droits et libertés numériques, d'où la proposition de résolution européenne que nous vous présentons.
Je rappelle qu'une réelle politique industrielle en matière de numérique doit être menée. Celle-ci doit inclure notamment des règles de préférence européenne dans la commande publique. Sans une vraie politique industrielle du numérique, la multiplication des règlements européens est vaine et vouée à l'échec.
Mme Mathilde Ollivier. - Vous indiquez dans l'alinéa 80 : « Soutient la proposition d'allongement du délai de notification des incidents relatifs aux données personnelles de 72 heures à 96 heures, laissant davantage de temps aux délégués à la protection des données pour gérer l'urgence avant de remplir, dans des délais raisonnables, leurs obligations de notification. » Pourriez-vous justifier cet allongement ? Dans le cadre d'incidents liés au RGPD ou à une fuite de données, la question de la temporalité est importante.
Mme Catherine Morin-Desailly, rapporteure. - L'Anssi, que nous avons auditionnée, nous a indiqué que toutes les entités qui souhaitent déclarer un incident le feront, qu'elles disposent de soixante-douze ou de quatre-vingt-seize heures à cette fin. Ce changement ne conduira donc pas à une sous-déclaration.
En revanche, cela permet aux correspondants à la protection des données et aux responsables de la cybersécurité dans les entreprises et dans l'administration de gérer l'urgence avec les informaticiens, puis de faire la déclaration dans un second temps : d'abord le pompier éteint le feu, ensuite une déclaration est faite à l'assurance. Il s'agit d'adaptations très pragmatiques.
M. Vincent Louault. - Nous avons un problème avec le RGPD. Ce dernier nécessite des assouplissements. Il est presque impossible pour nos chercheurs de constituer des cohortes de données médicales ; ils sont obligés d'en acheter à l'étranger, car nous ne parvenons pas à anonymiser les informations.
Dès lors, soit nous considérons que nous vivons sur une île et nos chercheurs partiront tous, soit nous acceptons de vivre dans le monde moderne et donc d'utiliser les données pour faire avancer la recherche fondamentale, en particulier dans le domaine médical. Actuellement, les centres hospitaliers régionaux et universitaires (CHRU) n'ont pas de base de données commune. Il est donc bienvenu que l'Europe veuille mettre un peu d'ordre.
Le Premier ministre a sifflé la fin de la récréation face aux pertes de données, mais je m'interroge sur la crédibilité de notre pays : comment expliquer à l'Europe la manière de procéder alors que nous nous faisons ponctionner nos données dans tous les CHRU de France, à l'Agence nationale des titres sécurisés (ANTS) et dans tous les espaces publics de notre millefeuille administratif ? J'ai presque envie d'inviter la recherche française à tout racheter sur le dark web, car tout finira par être dérobé ! Nous serons alors les idiots utiles d'un système hypercomplexe et hyperprotecteur. Même si je suivrai les rapporteures sur la proposition de résolution, il nous faut retrouver de l'agilité.
Mme Karine Daniel, rapporteure. - Il ne faut pas tout mettre sur le dos de l'Union européenne : l'appariement et l'utilisation des données par la recherche ne dépendent pas seulement du cadre réglementaire. Certes, des contraintes pèsent sur l'anonymisation, mais on se trouve en règle avec la législation en matière de gestion des données dès lors que l'on dispose de bons systèmes.
M. Vincent Louault. - Le problème, en Europe, est que l'on compte une soixantaine d'agences, telles que la Cnil, responsables des données. L'Union européenne est obligée de créer un cadre, car c'est un grand bazar !
Mme Karine Daniel, rapporteure. - La donnée a une valeur, prise en considération par ceux qui ont la possibilité de la mettre à disposition. Nous ne sommes pas dans une culture de l'open source, y compris pour la recherche.
Mme Catherine Morin-Desailly, rapporteure. - Nous avons eu cette discussion avec la Cnil, instance où je siège par ailleurs. Des chercheurs et des médecins, notamment, ont été nommés conseillers. La question de l'accès des chercheurs aux données est traitée.
Nous avons voté le règlement européen sur les données, le Data Act, qui permet l'ouverture des données pour la recherche ainsi que les entreprises, dans un cadre réglementé. J'entends la juste critique selon laquelle, pendant que l'on s'échine à réguler, nos données françaises s'envolent ; pas une journée ne passe sans cyberattaque, le nombre d'incidents se multiplie. Nous nous en sommes émus auprès de l'Anssi, qui a soutenu que le nombre d'attaques était constant, mais que leurs caractéristiques avaient changé. Nous serions entrés dans un monde de cyberdélinquance maximale, et, de jour en jour, les techniques s'affinent. Toujours est-il que je partage les propos de Vincent Louault. J'ai posé une question d'actualité au Gouvernement sur ce sujet il y a un mois et j'ai été très frustrée par la réponse reçue. Je pense que ce n'est pas tant la réglementation qui pose problème que l'absence, ces dernières années, de vraie stratégie cyber des gouvernements qui se sont succédé.
La commission adopte la proposition de résolution européenne, disponible en ligne sur le site du Sénat.