Gouvernance
Digital Omnibus : comment Bruxelles détricote le RGPD au nom de l’IA
Par Thierry Derouet, publié le 17 décembre 2025
Sous couvert de « simplification » et de compétitivité face aux États-Unis et à la Chine, la Commission européenne réécrit silencieusement le RGPD. Avec le paquet Digital Omnibus, l’entraînement et l’exploitation des systèmes d’IA deviennent un « intérêt légitime » par principe.
« C’est une mort par mille coupures. » Max Schrems ne parle ici ni de démocratie en déliquescence ni d’État de droit, mais du RGPD. Pour le fondateur de l’ONG NOYB (None Your Own Business), le paquet « Digital Omnibus » présenté par la Commission européenne n’est pas une simple opération de ménage technique : c’est « la plus grande attaque contre les droits numériques des Européens depuis des années ».
Le décor politique, lui, a été planté à Berlin. D’un côté, Emmanuel Macron et Friedrich Merz, posant en architectes d’une nouvelle souveraineté numérique européenne.
De l’autre, une mise en scène très assumée : Mistral AI adossé à SAP, promu au rang de symbole d’une IA « made in Europe » capable de rivaliser avec les géants américains.
Le message était clair : pour rattraper le retard, il va falloir « alléger » le fardeau réglementaire. On parlait alors de compétitivité, de cloud, d’investissement.
Le lendemain, ces mots trouvaient leur traduction juridique : un paquet Digital Omnibus qui retouche, en silence, le RGPD, l’AI Act, le Data Act et les règles ePrivacy.
Officiellement, la Commission se contente de « clarifier » et de « réduire les coûts de conformité », en particulier pour les PME.
Dans la pratique, le coeur du dispositif tient en une innovation que peu d’acteurs hors du cercle des juristes ont encore vraiment mesurée : l’introduction d’un nouvel article, pensé pour l’IA, dans le RGPD lui-même. Dans ce schéma, le développement, le test et l’exploitation de systèmes d’IA deviennent, par principe, un « intérêt légitime » du responsable de traitement. Autrement dit, entraîner un modèle sur des historiques de navigation, de transactions ou de logs applicatifs pourrait être couvert par défaut par l’intérêt légitime, là où les entreprises doivent aujourd’hui en passer par l’anonymisation stricte ou le consentement explicite.
L’intérêt légitime, nouveau passe-droit pour entraîner les modèles d’IA ?
Sur le papier, des garde-fous demeurent : droit d’opposition, analyses d’impact, mesures techniques de protection. Mais NOYB pointe des angles morts que les DSI connaissent bien : dans un univers de données massives, scrappées, recombinées, qui saura réellement que ses données alimentent tel ou tel modèle ? Et comment exercer un droit d’opposition sur un traitement dont on ignore l’existence ?
La bataille la plus médiatique a eu lieu sur un autre terrain : celui des données sensibles. Le brouillon qui avait fuité quelques jours auparavant prévoyait de ne considérer comme telles que les données relevant directement de la santé, de la religion, de l’orientation sexuelle. Tout ce qui est inféré – un état de santé déduit d’un trajet, un profil politique reconstruit à partir de clics – aurait glissé hors de ce périmètre.
Face au tollé, cette réécriture frontale a disparu du texte présenté officiellement. Bruxelles pourra y voir la preuve que le contrôle démocratique fonctionne encore. Schrems, lui, y voit surtout une manoeuvre : on recule sur le symbole, mais on maintient l’essentiel, à savoir la création d’un couloir prioritaire pour l’IA au coeur du RGPD.
Pour les DSI, le paradoxe est cruel. À court terme, le Digital Omnibus ressemble à un bol d’air : possibilité d’industrialiser des projets d’IA interne sans reconstruire systématiquement un socle de consentement, allègement de certaines obligations documentaires, rationalisation apparente entre RGPD et AI Act.
Mais à moyen terme, le terrain reste mouvant. Le texte devra survivre aux trilogues (entre les parlementaires européens, les États-membres et la Commission), aux résistances politiques et, demain, aux recours devant la CJUE.
À l’heure où Bruxelles choisit d’accélérer, c’est désormais aux DSI de décider s’ils veulent être les passagers enthousiastes de cet omnibus… ou les premiers à vérifier la solidité des freins.
La « simplification » côté tuyauterie juridique
Au-delà de l’IA, le Digital Omnibus retouche toute la tuyauterie du RGPD : une large part des PME dispensée de tenir un registre détaillé des traitements ; des modèles d’AIOD (Analyse d’Impact relative à la Protection des Données) « prêts à l’emploi » fournis ; et un portail unique pour notifier les violations de données, avec un délai porté de 72 à 96 heures.
Surtout, le texte remonte au niveau du RGPD une partie des règles ePrivacy : gestion des cookies et traceurs, prise en compte de préférences exprimées au niveau du navigateur ou du système (paramètres ou « privacy signals ») à la place des sempiternelles bannières.
Sur le papier, un allègement administratif et ergonomique ; dans les faits, un déplacement discret du curseur vers une conformité plus minimale, moins visible, donc plus difficile à contester.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
