Gouvernance
Enquête : la révision discrète du RGPD – qui y gagne, qui y perd ?
Par Thierry Derouet, publié le 13 novembre 2025
Présenté comme une « simplification du RGPD », le projet préliminaire de 156 pages réécrit plusieurs notions clés, réduit le champ des données sensibles et assouplit certains droits. Officiellement technique, ce texte pourrait pourtant modifier l’équilibre de la protection des données et affaiblir des garanties essentielles en place depuis 2018.
L’exemple le plus parlant tient en quelques gestes du quotidien. Votre montre ou votre smartphone mesure votre sommeil, votre fréquence cardiaque, votre niveau de stress, la régularité de vos déplacements. Aujourd’hui, ces données sont protégées parce qu’elles peuvent révéler un état de santé. Demain, avec le critère introduit dans le projet — seules les données qui « révèlent directement » une maladie seraient sensibles — ces informations pourraient devenir de simples données ordinaires, traitées comme n’importe quel signal comportemental. Tant que rien n’indique explicitement que vous êtes malade, elles cesseraient d’être considérées comme sensibles. C’est l’une des modifications les plus déterminantes du texte : elle inverse l’esprit même du RGPD, qui protège tout ce qui peut révéler un état intime, même indirectement.
Fuite ou simple version préliminaire ?
Le document, jamais publié officiellement, a fuité. La Commission évoque une version « préliminaire », mais son degré d’achèvement – définitions stabilisées, arbitrages cohérents, articulation claire avec d’autres règlements – rend difficile l’hypothèse d’un simple brouillon. Le texte de 156 pages s’inscrit dans une stratégie plus vaste. Il créerait un guichet unique pour déclarer les violations de données, repousserait de soixante-douze à quatre-vingt-seize heures le délai de notification, et introduirait un modèle européen harmonisé d’analyse d’impact, afin que chaque État cesse d’interpréter différemment la notion de « risque élevé ». Il chercherait aussi à mettre fin aux bannières cookies en inscrivant les préférences de consentement directement dans le navigateur ou l’appareil de l’utilisateur, que les sites seraient alors obligés de respecter. Pour les citoyens, moins de clics. Pour les grandes plateformes, un seul signal, normalisé, beaucoup plus simple à capter et à exploiter.
Dans le même mouvement, la Commission entend rapprocher plusieurs branches du droit européen de la donnée – Data Governance Act, Data Act, règles Open Data et une partie des dispositions du RGPD – pour bâtir un ensemble plus homogène. Sur le papier, tout gagnerait en cohérence. Dans les faits, cette consolidation risque aussi d’effacer certaines nuances qui jouaient jusqu’ici le rôle de garde-fous.
Réactions européennes : Berlin appuie, Paris temporise
On aurait tort de lire ce texte comme une simple évolution technique. Il arrive dans un moment où l’Europe doute d’elle-même, où les critiques américaines ont cessé d’être des irritations diplomatiques pour devenir des armes politiques. Lorsque Donald Trump qualifie le RGPD « d’absurdité bureaucratique qui tue l’innovation », ce n’est pas une phrase en l’air. C’est une mise en demeure idéologique.
Et Bruxelles l’a parfaitement entendue.
Le Digital Omnibus ressemble à une réponse embarrassée : un règlement qui voudrait rester fidèle à la protection des citoyens tout en envoyant un signal de docilité aux investisseurs, aux industriels, aux plateformes. Comme si l’Europe cherchait à prouver qu’elle peut être innovante sans être “punitive”, moderne sans être “tatillonne”, compétitive sans être “exigeante”.
C’est tout l’enjeu politique : la réforme n’est pas seulement un texte, mais un repositionnement. Un renoncement discret à la singularité européenne – celle d’avoir mis les droits fondamentaux au centre de la régulation numérique.
L’Allemagne y voit une opportunité. La France attend. Les pays les plus protecteurs s’inquiètent. Les ONG hurlent déjà au recul stratégique. Et la Commission déroule, imperturbable, un discours de simplification qui masque mal la réalité : à force de lisser, d’harmoniser, de “moderniser”, on ampute progressivement ce qui faisait du RGPD un modèle mondial. La question n’est plus « que dit le texte ? » Elle est devenue : « Que veut l’Europe dans la bataille technologique mondiale : protéger ou s’aligner ? »
Jusqu’où peut-on redéfinir les données sensibles ?
C’est autour de l’article 9 (qui interdit par principe le traitement des catégories particulières de données — santé, biométrie, données génétiques, orientation sexuelle, convictions, etc. — sauf exceptions strictes) que se joue le basculement le plus net. En réservant cette catégorie aux seules informations qui « révèlent directement » un état de santé, le texte ferait sortir tous les signaux faibles de ce périmètre. Ils resteraient des données personnelles, mais basculeraient sous le régime général des articles 5 et 6 : l’article 5 (principes de licéité, minimisation, limitation, exactitude, intégrité, confidentialité) et l’article 6 (bases juridiques du traitement : consentement, contrat, obligation légale, mission publique, intérêts vitaux et surtout intérêt légitime), qui offre une marge nettement plus large d’interprétation. Or ce sont précisément ces dérivés – sommeil, stress, micro-variations corporelles, vitesse de frappe, habitudes de marche – qui permettent aujourd’hui les profilages les plus fins : assurance comportementale, scoring RH, santé prédictive, analyse émotionnelle, détection d’épuisement ou entraînement des modèles d’IA. L’inversion est totale : ce qui était protégé parce que potentiellement révélateur deviendrait exploitable tant que l’information ne dit pas, explicitement, que vous êtes malade.
« La Commission vide la notion de données sensibles. Cela ouvre la porte à un profilage sanitaire à grande échelle », alerte Max Schrems – l’homme qui, à lui seul, a fait tomber Safe Harbor puis Privacy Shield. Alessandro Fiorentino, juriste RGPD et directeur associé chez Adequacy, cabinet expert en conformité abonde : « On nous dit qu’on va sortir les inférences algorithmiques du champ des données sensibles. De cette façon, on pourra entraîner des IA sur nos données sans consentement, tout en respectant formellement le droit. » Pour beaucoup d’experts, l’intérêt légitime, dans sa lecture proposée, deviendrait de facto la base juridique dominante pour l’optimisation, la détection d’anomalies et l’amélioration des modèles d’IA.
Le texte touche aussi les droits individuels. La possibilité de refuser un droit d’accès, de rectification ou d’effacement au motif qu’une demande est « manifestement excessive » serait élargie, sans définition claire. Les plateformes ont déjà tenté d’utiliser cet argument. Demain, elles pourraient s’en prévaloir plus systématiquement, rendant plus difficile l’exercice des droits. Le projet modifie également la gouvernance du RGPD : certaines compétences basculeraient vers l’ENISA, agence européenne de cybersécurité, au détriment des autorités nationales de protection des données. « L’ENISA, c’est l’équivalent de l’ANSSI. Ce n’est pas une autorité de protection des données. Si ce dossier devait être confié à quelqu’un, c’était au Comité européen de protection des données », insiste Alessandro Fiorentino.
À qui profite cette simplification ?
À qui profiterait cette réforme ? Les gagnants apparaissent nettement : grandes plateformes, acteurs de l’IA européens ou non, États membres désireux d’alléger les contraintes. Les perdants sont plus nombreux : citoyens dont les droits deviendront plus contestables, PME peu armées face à un cadre assoupli mais plus flou, DPO chargés d’arbitrages de plus en plus délicats, autorités nationales dont l’indépendance pourrait être rognée. Et, en filigrane, l’ambition européenne elle-même : protéger d’abord, faciliter ensuite. Max Schrems parle « d’une mort par mille coupes » : un mot déplacé ici, une nuance gommée là, et c’est l’esprit du RGPD qui s’érode sans bruit.
Comprendre le brouillon du « Digital Omnibus »
1. Données sensibles : le périmètre se rétrécit
Le brouillon (p. 9) introduit un critère inédit : seules les données qui « révèlent directement » la santé restent sensibles. Les signaux faibles — sommeil, stress, mobilité, biométrie indirecte — sortent de l’article 9 pour basculer sous le régime général.
Effet : traitements plus faciles, notamment via l’intérêt légitime.
2. IA et intérêt légitime : une porte grande ouverte
Le texte (p. 10–11) précise que certaines finalités — optimisation de services, détection d’anomalies, entraînement ou amélioration de modèles — peuvent désormais être fondées sur l’article 6, paragraphe 1, point f du RGPD, c’est-à-dire l’intérêt légitime.
Effet : le consentement devient moins central pour de nombreux usages.
3. Pseudonymisation : statut assoupli
Selon le texte (p. 9), une donnée pseudonymisée peut ne plus être considérée comme personnelle si la réidentification n’est pas « raisonnablement probable ».
Effet : une même donnée peut être personnelle chez l’un, non-personnelle chez l’autre.
4. Droits des personnes : refus facilités
La notion de demande « manifestement excessive » est élargie (p. 56–57).
Effet : plus de marge pour refuser un droit d’accès… mais aussi plus de risque juridique.
5. AIPD : seuils revus, ligne directrice unique
Le brouillon prévoit des exemptions supplémentaires et un modèle d’AIPD harmonisé au niveau européen (p. 18 et 61).
Effet : doctrine plus centralisée, recul relatif des positions nationales (CNIL, APD, Garante).
6. Gouvernance : montée en puissance de l’ENISA
L’ENISA hériterait de pans entiers de la normalisation (pseudonymisation, sécurité, notifications — p. 61, 83–84).
Effet : l’interprétation juridique se déplace des autorités nationales vers une agence technique.
7. Philosophie générale : moins de friction, plus d’usage des données
Le texte (p. 83–84) assume une logique de « réduction de charge » pour les entreprises.
Effet : davantage de latitude pour exploiter les données — notamment comportementales et issues de l’IA.
À LIRE AUSSI :
