Anniversaires, e-conférence omnibus numériques, Posts, Ressources pour chercheurs en droit

Simplifier, oui, mais pas au prix d’une perte de contrôle des individus sur leurs données, Sébastien Gantou

Simplifier le droit du numérique, ou simplifier les droits des personnes ?

La Commission européenne présente le « Digital Omnibus » comme une réforme de simplification, destinée à réduire les charges administratives et à renforcer la compétitivité.

L’objectif peut être entendu. En revanche, la méthode choisie, et surtout certains points de fond, soulèvent une question politique et juridique simple : veut-on simplifier la conformité, ou simplifier la protection ?

À ce stade, l’inquiétude est réelle, institutionnelle et technique : un cadre juridique de la donnée ne peut pas gagner en lisibilité si, en contrepartie, il réduit la maîtrise effective des personnes sur l’usage de leurs données.

1. Redéfinir la « donnée à caractère personnel » : un point de rupture !

Le point le plus critique, parce qu’il est structurant, concerne la définition même de la donnée à caractère personnel (article 3 1. (a) page 62 VFR modifiant l’article 4 RGPD). Ce n’est pas un détail de rédaction qui est proposé : c’est le fondement du champ d’application du RGPD qui serait modifié. Dans la position non officielle actuelle du Conseil de l’UE (https://www.euractiv.com/news/council-deletes-revised-definition-of-personal-data-from-gdpr-omnibus/), cette proposition ne serait pas retenue, analysons le fond pour comprendre la tension sur le sujet.

Deux risques se cumulent.

D’une part, un rétrécissement du champ de protection pour les personnes. La rédaction occulte des éléments de contextualisation qui ont légitimé l’avis de la CJUE dans le cadre de l’arrêt CRU du 4 septembre 2025 (C‑413/23 P). En l’occurrence, si des données « sortent » du champ d’application du RGPD par le fait d’une redéfinition mal calibrée, la maîtrise du sort des données et les droits des personnes s’érodent (information, accès, opposition, limitation, etc.)

D’autre part, une insécurité juridique renforcée : ainsi, plus la frontière entre « personnel » et « non personnel » devient artificielle, plus elle devient contestable. Or, l’économie numérique ne fonctionne pas dans des environnements hermétiques. La capacité de réidentification est une réalité technique qui s’exprime avec une faculté contextuelle : elle dépend des moyens disponibles, des croisements possibles, et, surtout, elle évolue dans le temps.

Séquentiellement, des données personnelles seraient collectées avec un fondement légal, dépendant d’une information claire et transparente fournie aux personnes concernées. Ces données seraient pseudonymisées, puis deviendraient « anonymes » le temps de la réalisation de traitements non encadrés par le RGPD, et potentiellement sans base légale, auprès de multiples destinataires, intégrant des données intrusives, détournant les finalités initiales. De manière opportune et non prévisible, ces mêmes données seraient ensuite réidentifiées par un croisement de données (anticipé initialement ou non) par un acteur ayant obtenu un consentement valide à un profilage pour une raison par ailleurs parfaitement légitime.

Ce système est très proche du système outre-Atlantique, il s’en inspire fortement, mais il pose une question fondamentale dans notre environnement. Quelle maîtrise auraient la personne concernée ? Quelle validité auraient les résultats des traitements obtenus par croisement des données in fine réidentifiées ? La question est insondable compte tenu du fait que l’étendue des traitements n’est pas définie à ce jour.

En revanche, il semble que l’effet certain serait un maintien de la responsabilité des acteurs en contact direct avec les personnes concernées et un affaiblissement systémique de la responsabilité des acteurs technologiques sollicités dans l’écosystème numérique.

En parallèle de cette analyse de fond d’un praticien, l’alerte institutionnelle est nette : les deux organismes européens l’EDPB et l’EDPS invitent instamment les colégislateurs à ne pas adopter les modifications proposées, au motif qu’elles vont au-delà d’une modification ciblée ou technique reflétant la jurisprudence de la CJUE, et qu’elles réduiraient significativement la protection.

Le sujet devient encore plus sensible lorsque la réforme envisage de confier à la Commission le pouvoir de préciser, par actes d’exécution, ce qui ne serait plus une donnée personnelle après pseudonymisation (Article 3 10. page 66 VFR ajoutant l’article 41 bis RGPD).

Là, la question n’est pas seulement technique. Elle est institutionnelle : qui doit avoir la maîtrise sur le périmètre de la protection, et avec quelles garanties démocratiques et juridictionnelles ?

2. Centraliser les choix, un transfert du contrôle effectif ?

Parmi les axes avancés figure l’idée de réduire la « fatigue du consentement » et la prolifération des bannières liées aux cookies et traceurs. C’est un objectif légitime, mais la solution proposée appelle un examen sévère. (Cette question sera détaillée ultérieurement dans deux posts dédiés de Feryel Lehdhili)

L’idée est de déporter les choix de l’individu vers des signaux automatisés, lisibles par machine, potentiellement gérés au niveau du navigateur.

Sur le papier, cela semble fluide, même techniquement initié dans certains secteurs (publicité numérique).

Dans les faits, ce choix peut certes, transférer du pouvoir vers quelques acteurs dominants de l’accès au web ou affaiblir la souveraineté européenne si l’infrastructure de choix est contrôlée par des opérateurs non européens ; mais aussi et surtout créer une boîte noire : l’utilisateur exprime un choix, mais ne maîtrise plus la chaîne d’interprétation et d’exécution des traitements.

En effet, le risque majeur est la décontextualisation. Or, un consentement valable suppose (notamment) une compréhension du contexte, une granularité réelle, et l’identification claire des acteurs qui opèreront sur un site pendant une période donnée. Un « oui » ou un « non » global, exprimé hors contexte, peut-être moins protecteur qu’il n’y paraît !

Enfin, en praticiens, nous devons nous interroger sur l’effet pervers additionnel de certains mécanismes (par exemple un refus « durable ») peuvent produire l’effet paradoxal d’un suivi persistant des choix, même en cas de refus. En prétendant réduire les sollicitations, on normalise un identifiant unique, résilient de suivi des préférences, qui serait qui plus est géré au niveau d’un navigateur (part de marché du leader du secteur 60%).

Centraliser n’est pas nécessairement mauvais. Mais gouvernance, neutralité de l’opérateur, auditabilité et révocabilité doivent être au cœur du dispositif. Sans cela, on ne supprime pas la fatigue du consentement : on déplace la décision vers un intermédiaire dont l’intérêt peut diverger de celui de la personne.

3. Gouvernance : renforcer la cohérence par les autorités, pas par des actes d’exécution

Si l’objectif déclaré est davantage d’harmonisation, de cohérence et de sécurité juridique, il existe une voie plus crédible : renforcer les autorités nationales et européennes de protection des données et l’EDPB, plutôt que déplacer des choix structurants vers des actes d’exécution.

Par construction, la protection des données repose sur une expertise indépendante, une lecture cohérente au niveau européen, une capacité d’application réelle.

La tentation de « régler » des sujets complexes par des mécanismes centralisés rapides (actes d’exécution, signaux automatisés, dispositifs techniques uniques) produit souvent une conformité de façade. On coche une case de compliance, mais on ne garantit pas un droit effectif pour les personnes.

Si ePrivacy doit évoluer, d’évidence c’est le cas, alors il faut l’assumer par un cadre clair, robuste, et contrôlable, plutôt que de juxtaposer des régimes juridiques pour un même traitement, i.e. ePrivacy et RGPD pour les données de communication électroniques ou encore RGPD et Data Act pour les données personnelles pseudonymisées considérées comme anonymisées (cf supra).

Externaliser la décision vers des opérateurs techniques globaux serait un nouveau pas dans la perte de contrôle sur les données.

4. Violations de données et normalisation : des simplifications utiles, car elles n’affaiblissent pas les droits

Tout n’est pas à rejeter dans le texte : certaines pistes sont très intéressantes, précisément parce qu’elles réduisent la charge sans toucher au cœur des garanties.

Ainsi, la proposition visant à ne déclarer aux autorités de protection des données que les violation entrainant un risque élevé (évaluation du risque dont les critères font partie de la doctrine actuelle de l’EDPB https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_fr), ou encore, l’optimisation de la gestion des violations de données par la centralisation future de la déclaration (Article 3 8. (b) page 65 VFR modifiant l’article 33 RGPD) et la prolongation de 24h du délai de notification de 72h (Article 3 8. (a) page 65 VFR modifiant l’article 33 RGPD) sont de très bonnes propositions de manière à simplifier et ne pas hâter une déclaration bien souvent trop partielle.

De même, l’introduction de cohérence dans les analyses d’impact est salutaire : les recommandations divergentes des autorités nationales de protection des données ont eu pour conséquences une insécurité juridique des acteurs paneuropéens.

Le recours à des modèles et listes communs pour les violations et les analyses d’impact, élaboré au sein et validé par l’EDPB semble être la clé de la performance d’une protection effective et optimisée.

On peut en conclure que la simplification acceptable est celle qui réduit la friction et augmente la cohérence, tout en maintenant un haut niveau d’exigence.

Conclusion

L’Europe peut et doit moderniser son droit du numérique. La compétitivité n’est pas illégitime. Mais elle ne peut pas se construire en fragilisant ce qui fait la singularité européenne : la primauté des droits fondamentaux et la possibilité, pour chaque personne, de garder la main sur le sort de son identité numérique.

Le risque, avec certaines orientations du Digital Omnibus, est d’aboutir à un modèle où :

  • la définition de la donnée personnelle se rétrécit,
  • les choix se centralisent dans des infrastructures techniques dominées,
  • la protection devient conditionnelle et variable.

L’effet produit ne serait-il pas l’inverse de celui recherché ? Déplacer la complexité des textes vers les opérations, créer des zones grises, et rendre la conformité plus incertaine…

En pratique, la simplification utile est celle qui :

  • clarifie des obligations qui prêtaient à débat,
  • réduit la charge documentaire sans réduire les garanties,
  • rend l’application plus cohérente entre États Membres.

À l’inverse, une réforme qui modifie simultanément plusieurs piliers (RGPD, ePrivacy, etc.) sans articulation robuste augmente mécaniquement les risques de lecture divergente, de contentieux, et d’inégalités d’application.

Travaillons, n’en restons pas là !

Sébastien Gantou, Data Protection Officer

Voir les autres posts de cette e-conference

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.