Au nom de la compétitivité, une « révolution en matière de simplification » se prépare.

Les institutions de l’UE l’avaient promis en novembre 2024, à l’issue du Sommet de la communauté politique européenne. Elles s’étaient engagées à « réduire drastiquement les charges administratives, réglementaires et de déclaration, en particulier pour les PME ».

La Commission européenne a repris ces éléments dans son programme de travail pour 2025. Annoncé le 11 février, il comporte des objectifs chiffrés : d’ici à la fin du mandat en 2029, réduire le « fardeau administratif » de 25 % (et de 35 % pour les PME).

Deux semaines plus tard étaient présentés deux trains de mesures, dits omnibus. L’un assouplit les exigences de reporting extra-financier, notamment en réduisant le champ d’application de la directive CSRD (informations en matière de durabilité) et en reportant l’entrée en application de certaines de ses dispositions. L’autre applique la même logique aux règlements InvestEU et EFSI, dans le but de stimuler les investissements stratégiques.

Depuis, 8 autres omnibus ont été proposés. Dont un sur le numérique, en novembre. Il doit encore être approuvé par les 27 et le Parlement.

Décalage d’une échéance importante de l’AI Act

L’omnibus numérique apporte des changements à l’AI Act. Il prévoit notamment de décaler l’entrée en application des règles relatives au système d’intelligence artificielle classés à haut risque. L’échéance, initialement fixée à août 2026, pourra être repoussée de 16 mois maximum, le temps de mettre des outils de soutien à disposition des entreprises.

L’AI Act serait aussi modifier pour étendre aux small caps certaines simplifications accordées aux PME qui développent ou utilisent des systèmes d’IA. Notamment en matière de documentation technique. Par small cap, il faut entendre les organisations comptant moins de 750 salariés et ne dépassant pas 150 M€ de CA annuel ou 129 M€ de total de bilan. Une catégorie créée à l’échelle de l’UE par un autre paquet omnibus.

Toujours au chapitre AI Act, l’accès aux bacs à sable réglementaires (environnements de tests contrôlés) est élargi. Davantage de tests en conditions réelles seront par ailleurs effectués, dans des secteurs comme l’automobile.

Allégements autour d’un « nouveau Data Act »

L’omnibus numérique abroge plusieurs textes dont il fusionne certaines dispositions au sein du Data Act :

• Data Governance Act (règlement 2022/868)
• Directive Open Data (2019/1024)
• Règlement sur la libre circulation des données à caractère non personnel au sein de l’UE (2018/1807, dit FFDR)

Le « nouveau Data Act » apporte, entre autres, des facilités pour les PME qui fournissent des services de traitement de données. Plus précisément, un régime plus « léger » pour les services « personnalisés » (non commercialisés sur étagère et qui ne fonctionneraient pas sans une adaptation préalable aux besoins de l’utilisateur).

Des facilités sont également octroyées aux fournisseurs de services d’intermédiation de données. Ils n’ont pas l’obligation de notifier les autorités compétentes, ni d’opérer une séparation juridique vis-à-vis d’autres services (une séparation fonctionnelle suffit).

L’omnibus supprime aussi, dans le Data Act, les exigences pour les smart contracts qui exécutent des accords de partage de données (contrôle de l’accès, archivage, résilation en toute sécurité…). Il fournit par ailleurs un motif supplémentaire pour refuser de communiquer des données relatives à des produits connectés au nom du secret des affaires. En plus du risque de préjudice économique grave, il devient possible d’invoquer le risque élevé d’acquisition ou d’usage par des pays tiers qui ne garantissent pas un niveau de protection des données équivalent à celui de l’UE.

PME et small caps sont de plus exemptées des règles sur le changement de fournisseur cloud, excepté celles relatives à la fin des frais de sortie.

Le RGPD assoupli jusqu’à la définition des données personnelles

L’omnibus numérique apporte aussi des modifications au RGPD… qui change jusqu’à la définition des données personnelles.

Celles-ci ne le sont plus pour toute entité qui ne peut pas réidentifier la personne concernée à l’aide de moyens raisonnables. Cela reste vrai même si un destinataire ultérieur a les moyens de réaliser cette identification.

Le périmètre des « données de santé » se réduit aussi. Ne sont plus considérées comme telles que celles qui révèlent « directement » des infos sur l’état de santé d’une personne. De même, n’est plus interdit que le traitement de données personnelles révélant « directement » l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, etc.

L’omnibus numérique introduit une dérogation supplémentaire à l’interdiction de traiter des catégories particulières de données personnelles. Elle touche au développement et à l’exploitation de systèmes d’IA. Elle complète, entre autres, l’obtention d’un consentement explicite et la nécessité pour la sauvegarde des intérêts vitaux de la personne concernée.

Des contraintes en moins sur l’information des personnes concernées et des autorités

Les règles relatives aux cookies sont modernisées. L’idée est que les utilisateurs puissent définir leurs préférences « en un clic » pour une durée de 6 mois ou via les paramètres de leur navigateur ou OS. En parallèle, certaines fonctions basiques des sites web, comme le comptage du nombre de visiteurs, ne nécessitent plus de consentement.

Autres exigences allégées : celles relatives à l’information des personnes concernées. Elles ne s’appliquent plus dès lors que les collectes sont effectuées dans le cadre d’une relation « claire et délimitée » par un responsable de traitement exerçant une activité « non intensive en données ». Ce sous réserve que la personne connaisse déjà les finalités et la base du traitement.

Quant à l’obligation de notifier l’autorité référente en cas de violation de données, elle devient limitée aux incidents qui engendrent un risque élevé pour les droits et libertés des personnes concernées. Le délai est porté de 72 à 96 heures.

L’abandon de la directive sur la responsabilité en matière d’IA…

Parallèlement à ces dispositifs, la Commission européenne a abandonné ses travaux sur certains textes. Parmi eux, une directive sur la responsabilité en matière d’IA. Motif : pas d’accord prévisible entre les colégislateurs de l’UE.

Il s’agissait de garantir aux victimes de dommages causés par l’IA une protection équivalente à celle des victimes de dommages causés par d’autres produits de manière générale.
En toile de fond, des règles nationales jugées non adaptées au traitement des actions en responsabilité pour de tels dommages. En particulier sur la charge de la preuve. Autre constat : les stratégies IA de plusieurs États membres montraient une volonté d’élaborer des mesures dans le domaine… au risque d’une fragmentation qui augmenterait les coûts pour les entreprises exerçant dans l’ensemble de l’Union.

La directive devait s’appliquer aux actions civiles fondées sur une faute extracontractuelle pour des dommages causés par un système d’IA classé « à haut risque ». Elle avait pour principaux effets d’habiliter les juridictions nationales à ordonner la divulgation d’éléments de preuve et d’établir une présomption de lien de causalité. L’approche d’harmonisation était dite minimale, de sorte qu’on pourrait toujours invoquer les règles plus favorables du droit national.

… et du règlement ePrivacy

Un autre texte a été mis sur la touche : le règlement ePrivacy. Là aussi par manque de perspective d’accord entre législateurs. Mais également parce que son contenu apparaissait « obsolète au vu de la législation récente ».

Le règlement était resté à l’état de projet depuis 2017. L’objectif était initialement de le faire entrer en application parallèment au RGPD (soit le 25 mai 2018). Il aurait remplacé une directive de 2002, révisée pour la dernière fois en 2009, et également dite ePrivacy – ou « vie privée et communications électroniques ». D’un côté, pour encadrer plus strictement l’usage des métadonnées et des cookies. De l’autre, pour élargir son champ aux services de communication « par contournement » (OTT, over-the-top).

Le « nouvel ePrivacy » devait englober davantage de techniques de suivi du comportement en ligne. Et remédier à la « formulation confuse » de certaines dispositions de la directive. L’une touchait au consentement dans le cadre du suivi en ligne. Les modifications proposées avaient entraîné une levée de boucliers d’éditeurs de presse et de représentants du numérique et des télécoms.

Une disposition nouvelle aurait obligé les fournisseurs de logiciels et de matériels associés à des services de communication à proposer, dans les paramètres de configuration, la possibilité de refuser les cookies tiers. Une autre aurait imposé de présenter un code ou un indicatif spécifique montrant le caractère commercial d’appels téléphoniques.

AI Act : une entrée en application (très) progressive

Le RGPD est en application depuis le 25 mai 2018. Le Data Act, depuis le 12 septembre 2025. Concernant l’AI Act, une première salve de dispositions sont applicables depuis février. Une bonne partie ont pour effet d’exclure du champ du règlement certains systèmes et usage. Par exemple :

• Systèmes d’IA utilisés exclusivement à des fins militaires, de défense ou de sécurité nationale
• Systèmes ou modèles d’IA spécifiquement développés et mis en service uniquement à des fins de R&D scientifique
• Systèmes d’IA publiés sous licence ouverte, tant qu’ils ne sont pas mis sur le marché ou mis en service en tant que système à haut risque ou relevant d’usages que l’AI Act interdit

Parmi ces usages interdits, il y a la techniques subliminales ou délibérément trompeuses, la « notation sociale » et l’exploitation de vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique. Pour aider à leur interprétation, la Commission européenne a publié des lignes directrices.

Des pressions face aux règles applicables à ChatGPT & C^ie

Une deuxième série de mesures de l’AI Act est entrée en application au mois d’août. Parmi elles, les obligations faites aux fournisseurs de modèles d’IA à usage général – ChatGPT, Gemini, Claude, etc.

En amont, l’association EU AI Champions, qui regroupe une soixantaine d’entreprises européennes, avait demandé un moratoire de 2 ans sur l’application des principales obligations. Motif : la complexité du texte et l’absence de lignes directrices opérationnelles. Parmi les signataires, Arthur Mensch (Mistral AI), Éléonore Crespo (Pigment), Alexandre Bompard (Carrefour), Jean-Laurent Bonnafé (BNP Paribas), Bernard Charlès (Dassault Systèmes), Guillaume Faury (Airbus) et Patrick Pouyanné (TotalEnergies).

L’association professionnelle CCIA Europe, représentant de grandes entreprises technologiques internationales, avait également appelé à un report, soulignant le risque de freiner l’innovation et la compétitivité.

La France avait adopté une position intermédiaire. Clara Chappaz, ministre déléguée au numérique, avait souhaité que la mise en œuvre du règlement ne soit pas ralentie, mais qu’un délai de grâce soit accordé pour la mise en conformité.
La présidence polonaise du Conseil de l’UE, comme le Premier ministre suédois, avait porté une demande formelle de report.

Le débat se porte sur la révision du DMA

Entre juillet et septembre 2025, la Commission européenne a organisé une consultation publique. Cela préfigure la première évaluation du DMA (une démarche à boucler au plus tard le 3 mai 2026 et qui pourrait mener à des modifications).

Le règlement s’applique actuellement à une vingtaine de « services de plate-forme essentiels » dont les exploitants sont nommés « contrôleurs d’accès » (gatekeepers). Il est censé garantir la contestabilité et l’équité des marchés dans le secteur numérique de l’UE, à travers des règles touchant notamment à l’exploitation de données, à l’interopérabilité et aux relations contractuelles avec les entreprises utilisatrices des services en question.

Dans le contexte de pression sur la Commission européenne, la Chambre de commerce de République tchèque s’est inscrite dans la lignée du rapport Draghi pour réclamer des allégements du DMA.

L’Open Cloud Coalition (alliance de fournisseurs essentiellement britanniques) a suivi. Elle estime que le DMA n’est pas adapté au cloud, mieux couvert par les règles antitrust standards ; en tout cas pour le IaaS et le PaaS, dont le fonctionnement n’implique pas réellement d’intermédiaires entre des utilisateurs et des fournisseurs de services.

Illustration générée par IA

The post Régulation du numérique en 2025 : quand l’UE lâche du lest appeared first on Silicon.fr.

Dans la réglementation européenne, les « données à caractère personnel » seront peut-être bientôt une notion moins absolue.

L’omnibus numérique, que Bruxelles doit présenter la semaine prochaine, va en tout cas dans ce sens. Tout du moins si on en croit le brouillon qui a filtré.

À l’heure actuelle, le RGPD définit les données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable.

L’omnibus numérique impose d’apprécier la notion du point de vue de chaque entité : des informations n’ont pas de caractère personnel pour qui ne peut pas identifier la personne concernée à l’aide de moyens raisonnables. De même, elles ne le deviendraient pas du point de vue de cette même entité simplement parce qu’un destinataire ultérieur aurait raisonnablement les moyens de réaliser cette identification.

Traitement de catégories particulières de données : une exception à la faveur des systèmes d’IA

L’omnibus numérique modifierait une autre définition inscrite dans le RGPD : celle des « données concernant la santé ». Il ne s’agirait plus que de celles qui révèlent « directement » des informations sur l’état de santé d’une personne.

La même approche serait adoptée pour amender l’article 9 (traitement de catégories particulières de données personnelles). Ne serait plus interdit que le traitement de données personnelles révélant « directement » l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, etc.

En l’état, cette interdiction ne s’applique pas si certaines conditions sont remplies. Par exemple, l’obtention d’un consentement explicite ou une nécessité pour la sauvegarde des intérêts vitaux de la personne concernée.
L’omnibus y ajoute deux possibilités, dont une touchant au développement et à l’exploitation de systèmes d’IA. Ce à condition d’avoir mis en place les mesures techniques et organisationnelles appropriées pour éviter autant que possible la collecte de catégories particulières de données personnelles. Et, le cas échéant, de supprimer ces données ou d’éviter qu’elles alimentent des outputs, soient divulguées ou soient rendues accessibles à des tiers.

Un allégement des exigences d’information des personnes concernées

L’omnibus numérique amenderait aussi l’article 13 (informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée).

Actuellement, les dispositions ne s’appliquent pas lorsque la personne concernée dispose déjà de ces informations.

À l’avenir, elles ne s’appliqueraient pas dès lors que les collectes seraient effectuées dans le cadre d’une relation « claire et délimitée » par un responsable de traitement exerçant une activité « non intensive en données ». Et qu’il existerait des motifs raisonnables de supposer que la personne connaît déjà les finalités et la base juridique du traitement, ainsi que l’identité et les coordonnées du responsable.
Tout cela ne vaudrait pas si les données étaient transmises à d’autres destinataires ou catégories de destinataires, transférées vers des pays tiers, exploitées pour de la décision automatisée, ou si le traitement pose un risque élevé pour les droits et libertés des personnes concernées.

De « interdit sauf si » à « autorisé sauf si » : une tournure plus favorable aux décisions individuelles automatisées

La décision individuelle automatisée (article 22) évoluerait aussi en conséquence de l’omnibus numérique.

Actuellement, il est établi que la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Ce droit ne s’applique pas lorsque la décision est :

• Nécessaire à la conclusion ou à l’exécution d’une contrat
• Autorisée par le droit de l’UE ou de l’État membre auquel le responsable de traitement est soumis
• Fondée sur le consentement explicite de la personne concernée

Le fond ne changerait pas. Mais la forme, si, au profit d’une rédaction de type « traitement automatisé autorisé sauf si… ».

Violations de données personnelles : notifications restreintes et délai allongé

Un autre assouplissement est prévu sur l’article 33.

Celui-ci impose actuellement aux responsables de traitement de notifier les violations de données personnelles à l’autorité de contrôle référente sous 72 heures.

L’omnibus numérique cette obligation aux violations engendrant un risque élevé pour les droits et libertés de personnes physiques. Il porterait par ailleurs le délai à 96 heures.

Les autorités de contrôle n’établiraient plus leur liste d’AIPD

La conception de listes des types d’opérations de traitement exigeant une AIPD (analyse d’impact préalable) est actuellement à la charge des autorités de contrôle, qui les communiquent aux Comité européen de la protection des données.

L’omnibus numérique supprimerait cet échelon : la liste serait directement élaborée par ledit comité, qui la transmettrait à la Commission européenne.

Traitements de données au travail : un cadre précisé pour les données des terminaux

L’article 88, relatif au traitement des données dans le cadre des relations de travail, n’évoluerait pas en lui-même. Mais trois articles 88a, 88b et 88c viendraient le compléter.

L’article 88a encadrerait le traitement de données personnelles stockées sur ou provenant de terminaux. Il l’autoriserait s’il est nécessaire pour :

• Acheminer une communication électronique
• Fournir un service explicitement demandé par la personne concernée
• Agréger des infos sur l’usage d’une service en ligne afin de mesurer son audience
• Maintenir ou restaurer la sécurité d’un service demandé par la personne concernée ou du terminal utilisé pour fournir ce service

Pour toutes autres finalités, les traitements auraient à respecter les bases légales énoncées à l’article 6 du RGPD et éventuellement l’article 9 (catégories particulières de données personnelles). Un éventuel consentement devrait pouvoir être manifesté par un clic sur un bouton « ou par des moyens équivalents ». Le responsable de traitement aurait à respecter ce choix pour au moins 6 mois.

Une (énième) perspective d’expression automatisée du consentement

L’article 88b ouvre la voie à une expression du consentement de manière automatisée et lisible par la machine. Une solution que l’UE explore depuis bien longtemps : un amendement de 2009 à la directive ePrivacy avait déjà encouragé un tel mécanisme, notamment par l’intermédiaire des paramètres de navigateur web.

Une fois les normes harmonisées établies, les responsables de traitement auraient 6 mois pour faire en sorte que leurs services gèrent ces signaux. Les médias – tels que définis dans l’European Media Freedom Act de 2024 – n’y seraient pas tenus, « vu l’importance que les revenus publicitaires représentent pour eux ».

En cas d’adoption insuffisante par les fournisseurs de navigateurs web et de systèmes d’exploitation, la Commission européenne aurait le pouvoir de les contraindre par actes délégués.

L’article 88c concernerait les traitements dans le contexte du développement et de l’exploitation de systèmes d’IA. Ils les autoriserait s’ils sont nécessaires au sens de l’article 6(1)(f). C’est-à-dire au nom des intérêts légitimes du responsable de traitement ou d’un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.

Illustration générée par IA

The post Le RGPD, parti pour changer jusqu’à la définition des données personnelles appeared first on Silicon.fr.

L’échéance approche : le 19 novembre, la Commission européenne devrait présenter son « omnibus numérique ».

Un brouillon, non daté, a filtré avant l’heure. Il est proposé d’y amender 5 textes :

• Data Act (règlement 2023/2854)
• RGPD (règlement 2016/679)
• AI Act (règlement 2024/1689)
• ePrivacy (directive 2002/58/EC)
• SRI 2 (directive 2022/2555)

Il s’agit aussi d’en abroger 4 :

• Data Governance Act (règlement 2022/868)
• Directive Open Data (2019/1024)
• Règlement sur la libre circulation des données à caractère non personnel au sein de l’UE (2018/1807, dit FFDR)
• Règlement promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne (2019/150, dit P2B)

Le Data Act va « absorber » plusieurs autres textes

Data Governance Act, directive Open Data et règlement FFDR seraient consolidés au sein du Data Act. Une démarche d’autant plus logique, à en croire Bruxelles, que ces textes se chevauchent sans que leurs interactions soient toujours claires. Le FFDR, par exemple, a en partie été remplacé par le chapitre VI du Data Act (relatif au changement de services de traitement de données). Quant au chapitre II du Data Governance Act (réutilisation de certaines catégories de données détenues par des organismes du secteur public), il complète les dispositions de la directive Open Data.

La proposition d’omnibus numérique identifie quatre éléments « importants » pour assurer un équilibre entre disponibilité des données et droits/intérêts de leurs détenteurs  :

• Nécessité de renforcer les garde-fous contre le risque de fuite de secrets commerciaux vers des pays tiers dans le contexte des dispositions sur le partage de données des produits connectés
• Risque d’ambiguïtés juridiques au vu du périmètre étendu du cadre business-to-government
• Risque d’incertitude en lien avec les exigences essentielles pour les smart contracts exécutant des accords de partage de données
• Insuffisance de prise en compte, dans le cadre du changement de fournisseur de traitement de données, des services adaptés aux besoin d’un client ou fournis par des PME/small caps

Vers la fin des exigences sur les smart contracts

Les exigences concernant les smart contracts se trouvent au chapitre VIII du Data Act (« Interopérabilité »). Elles touchent au contrôle de l’accès, à l’archivage des données, à la résiliation en toute sécurité, etc. L’omnibus numérique les supprimerait.

Données IoT : une protection renforcée du secret des affaires

Le chapitre II du Data Act régit le partage de données relatives aux produits connectés et aux services connexes. Actuellement, il permet à un détenteur de données de refuser de les communiquer au nom du secret des affaires s’il démontre qu’il existe un risque de préjudice économique grave.
L’omnibus numérique ajouterait un motif de refus supplémentaire : l’existence d’un risque élevé d’acquisition ou d’usage par des pays tiers qui ne garantissent pas un niveau de protection des données équivalent à celui de l’UE.

Un régime « spécial très grandes entreprises » pour l’open data public

Une simplification du cadre business-to-government serait effectuée au niveau du chapitre V du Data Act. Celui-ci régit la mise à disposition de données au bénéfice d’organismes du secteur public, de la Commission européenne, de la BCE ou d’un organe de l’UE « sur le fondement d’un besoin exceptionnel ».
L’omnibus numérique préciserait le champ d’application en remplaçant « besoin exceptionnel » par « urgence publique ».

La fusion des dispositions de la directive Open Data et du Data Governance Act en un chapitre sur la réutilisation des données du secteur public s’accompagnerait d’évolutions. Parmi elles, la possibilité de facturer plus l’accès aux très grandes entreprises – en première ligne, les « contrôleurs d’accès » tels que définis dans le DMA – et d’y assortir des conditions spécifiques.
En parallèle, les règles du Data Governance Act concernant certaines catégories de données protégées seraient introduites dans le Data Act sous forme simplifiée, avec une clarification sur les règles applicables dans les cas où des données personnelles ont été rendues anonymes.

Des facilités pour les PME qui fournissent de services traitement de données…

Le changement de fournisseur de traitement de données est encadré par le chapitre VI du Data Act.

L’omnibus numérique créerait un régime spécifique plus « léger » pour les services « personnalisés » (non commercialisés sur étagère et qui ne fonctionneraient pas sans une adaptation préalable aux besoins de l’utilisateur) à l’exception du IaaS. Ceux faisant l’objet d’un contrat signé avant le 12 septembre 2025 ne seraient soumis à aucune des obligations du chapitre (information, bonne foi, transparence sur les accès internationaux…) sauf celle relative à la suppression progressive des frais de changement.

Ce régime s’appliquerait aussi aux services fournis – dans le cadre de contrats signés avant cette même date – par des PME et des small caps. Ces dernières auraient la possibilité d’inclure, dans les contrats à durée déterminée, des pénalités de résiliation anticipée.

… et pour les fournisseurs de services d’intermédiation de données

L’omnibus numérique incorporerait dans le Data Act deux régimes actuellement inscrits dans le Data Governance Act. D’une part, le chapitre III, qui impose une notification des autorités compétentes par les prestataires de services d’intermédiation de données. De l’autre, le chapitre IV, qui établit un mécanisme d’enregistrement volontaire des organismes altruistes en matière de données au sein de registres publics nationaux.

Vu la nature émergente des services d’intermédiation de données, leurs prestataires ne devraient pas être obligés de notifier les autorités, estime Bruxelles. Le brouillon de l’omnibus numérique va dans ce sens. Il élimine par ailleurs l’obligation de séparation juridique vis-à-vis d’autres services, la remplaçant par une exigence de séparation fonctionnelle.
En ce qui concerne les organisations altruistes en matière de données, les obligations de transparence et de reporting seraient supprimées.

Règlement FFDR : un seul principe préservé

Du règlement FFDR ne serait conservé qu’un principe : celui qui interdit les exigences de localisation des données sauf si elles sont justifiées par des motifs de sécurité publique.

Illustration générée par IA

The post Omnibus numérique : le grand chantier du Data Act appeared first on Silicon.fr.