En l'espace de dix ans, l'Europe a multiplié les règlements et directives qui encadrent le numérique : eIDAS, RGPD, NIS 2, DORA, DSA, DMA, Data Act , AI Act,Cyber Resilience Act… Un empilement réglementaire qui est souvent décrié par les acteurs du numérique mais aussi par les PME qui se plaignent d'une charge pesant sur leur fonctionnement. La plainte a été entendue par la Commission européenne qui s'apprête à présenter le projet "Digital Omnibus".
"Nous devons faciliter la conduite des affaires en Europe sans compromettre nos normes élevées d’équité et de sécurité en ligne" explique Henna Virkkunen, commissaire chargée de la Souveraineté technologique ; "nous voulons un corpus réglementaire favorable à l’innovation. Nous visons à réduire la paperasserie, les chevauchements et les règles complexes pour les entreprises exerçant des activités dans l’UE." Objectif : réduire la charge administrative d’au moins 25 % pour toutes les entreprises et d’au moins 35 % pour les petites et moyennes entreprises.
Vers une redéfinition de la donnée personnelle
Les contours de Digital Omnibus seront dévoilés le 19 novembre mais on sait déjà que l'intelligence artificielle est au cœur de ce projet alors que le règlement AI Act de 2024 est accusé d'entraver la recherche et développement dans le domaine de l'IA. Des ajustements pourraient voir le jour afin de réduire le nombre des démarches de conformité entre les différents règlements existants.
Autre point abordé, le RGPD pourrait, lui aussi, faire l'objet d'un toilettage près de dix ans après son entrée en application. A commencer par un point extrêmement sensible : les données personnelles. "La Commission européenne souhaite introduire une lecture plus contextuelle de cette notion" estime l'avocat Jocelyn Pitet (cabinet Entropy) ; "une même donnée pourrait être qualifiée de "personnelle" pour un acteur capable d’identifier la personne concernée, mais ne pas l’être pour un autre qui ne le peut raisonnablement pas. Ainsi, une information ne devrait être considérée comme une donnée personnelle que si l’acteur qui la détient dispose de moyens raisonnablement susceptibles d’identifier la personne concernée."
Un argument qui ne convainc pas les associations qui estiment que ce projet va "démanteler les protections les plus solides de l’Europe contre les menaces numériques."
Un besoin de cohérence
Du côté des acteurs de la filière numérique, l'attentisme prévaut en attendant la publication officielle du projet. Mais, pour Paul-Olivier Gibert, fondateur et PDG de POG Consulting, le projet Digital Omnibus apporte "une réponse structurelle au besoin de cohérence dans le droit européen des données, visant à établir une vision européenne de l'IA fondée sur la confiance, et non sur la collecte massive ou la prédation".
Faut-il craindre un affaiblissement du RGPD ? "Non, le risque est la perte de cohérence due à la fragmentation. L'Omnibus vise à consolider un cadre qui, fragmenté, protège mal."
