Depuis plusieurs années, les entreprises européennes évoluent dans un environnement juridique de plus en plus dense. Règlement général sur la protection des données (RGPD), règlement sur l’intelligence artificielle (IA Act), directive NIS 2 sur la cybersécurité, Data Act sur les objets connectés : le droit du numérique s’est considérablement étoffé.

Ces textes poursuivent des objectifs légitimes — protection des données, sécurité, confiance numérique — mais ils ont aussi généré des obligations lourdes et coûteuses, en particulier pour les entreprises du numérique et les startups.

C’est dans ce contexte qu’est intervenu un coup de théâtre.

Le tournant du 19 novembre : les projets « Digital Omnibus »

Le 19 novembre dernier, la Commission européenne a présenté deux projets de règlements baptisés Digital Omnibus. Leur objectif est clair : simplifier et alléger une partie des obligations issues des grandes réformes numériques récentes.

Cette initiative soulève immédiatement plusieurs questions. S’agit-il d’une prise de conscience tardive de l’impact économique de ces textes sur la compétitivité européenne ? Ou d’un ajustement contraint, sous la pression des États-Unis et des grandes entreprises technologiques américaines ?

Pour y répondre, il faut examiner le contenu même de ces projets.

Le Digital Omnibus sur l’intelligence artificielle

Le premier projet concerne l’intelligence artificielle. Il vise à simplifier le règlement sur l’IA adopté le 13 juin 2024.

Le calendrier interpelle : à peine adopté, et alors même qu’il n’est pas encore pleinement entré en application, le règlement IA ferait déjà l’objet de modifications substantielles. Cela pose une question plus large sur la capacité de l’Union européenne à réguler un secteur technologique en évolution rapide.

Un report des principales obligations

Le projet prévoit un allègement significatif des obligations pesant sur les fournisseurs d’IA :

• les règles applicables aux systèmes d’IA à haut risque, initialement prévues pour août 2026, seraient repoussées à décembre 2027 ;

• les fournisseurs de modèles d’IA de type ChatGPT bénéficieraient également d’un report, leurs obligations étant décalées à 2027 alors qu’elles devaient s’appliquer dès août 2025.

Données personnelles et données sensibles

Le texte propose également de clarifier l’usage de la base légale de l’intérêt légitime pour l’entraînement des modèles d’IA, afin d’en faciliter l’utilisation.

Plus encore, il envisagerait, à titre exceptionnel, l’utilisation de données de santé ou biométriques pour améliorer la fiabilité des algorithmes. Une orientation qui suscite déjà de vifs débats.

Le Digital Omnibus sur les acquis digitaux

Le second projet porte sur les « acquis digitaux » et vise principalement le droit des données personnelles.

Une redéfinition de la donnée personnelle

La définition même de la donnée personnelle serait revue à la baisse, en s’alignant sur une interprétation récente de la Cour de justice de l’Union européenne. Une information ne serait considérée comme personnelle que si le responsable de traitement dispose de moyens raisonnables d’identifier la personne concernée.

La fin annoncée des bannières cookies répétitives

Le projet prévoit également une réforme très attendue sur les cookies. Les utilisateurs pourraient paramétrer leurs choix une seule fois directement dans leur navigateur, mettant fin à l’obligation de consentir ou de refuser les cookies sur chaque site.

Notifications de violations de données

Enfin, en cas de violation de données personnelles, le délai de notification à la CNIL passerait de 72 heures à 96 heures, et seules les violations graves devraient être signalées.

Un allègement bienvenu… mais controversé

Ces propositions, qui représentent plus de deux cents pages, vont désormais faire l’objet de discussions entre la Commission européenne et le Parlement européen.

Pour les entreprises et les startups, ces réformes constituent une excellente nouvelle : moins de contraintes administratives, plus de clarté juridique et davantage de marges pour innover.

Mais les critiques sont nombreuses. Des organisations de défense des libertés, comme l’association NOYB fondée par Max Schrems, dénoncent un véritable « cadeau aux géants américains ». Selon elles, l’assouplissement de la définition de la donnée personnelle et la facilitation de l’entraînement des IA risquent d’ouvrir des brèches que les GAFAM, forts de leur puissance technologique, seraient les premiers à exploiter.

Compétitivité économique ou protection des données ?

Le débat est désormais clairement posé. D’un côté, l’Union européenne cherche à préserver sa compétitivité économique et à réduire la pression exercée par les États-Unis. De l’autre, les défenseurs de la vie privée entendent maintenir un haut niveau de protection des données personnelles des citoyens européens.

La bataille parlementaire qui s’annonce sera déterminante pour l’avenir du droit du numérique en Europe.

Conclusion

Avec les projets Digital Omnibus, l’Union européenne semble amorcer un changement de cap. Reste à savoir si cet allègement permettra réellement de renforcer l’innovation européenne sans sacrifier les droits fondamentaux.

La question est ouverte : faut-il accepter une moindre protection des données personnelles pour favoriser l’innovation, ou maintenir une exigence élevée au risque de freiner la compétitivité ?