En l'espace de dix ans, l'Europe a multiplié les règlements et directives qui encadrent le numérique : eIDAS, RGPD, NIS 2, DORA, DSA, DMA, Data Act , AI Act, Cyber Resilience Act… Un empilement réglementaire qui est souvent décrié par les acteurs du numérique, mais aussi par les PME qui se plaignent d'une charge pesant sur leur fonctionnement. La plainte a été entendue par la Commission européenne qui a présenté le projet "Digital Omnibus".
"Nous devons faciliter la conduite des affaires en Europe sans compromettre nos normes élevées d’équité et de sécurité en ligne" explique Henna Virkkunen, commissaire chargée de la Souveraineté technologique ; "nous voulons un corpus réglementaire favorable à l’innovation. Nous visons à réduire la paperasserie, les chevauchements et les règles complexes pour les entreprises exerçant des activités dans l’UE." Objectif : réduire la charge administrative d’au moins 25 % pour toutes les entreprises et d’au moins 35 % pour les petites et moyennes entreprises.
Vers une redéfinition de la donnée personnelle
Les contours de Digital Omnibus ont été dévoilés le 19 novembre dernier et l'intelligence artificielle est au cœur de ce projet alors que le règlement AI Act de 2024 est accusé d'entraver la recherche et développement dans le domaine de l'IA. Des ajustements permettraient de réduire le nombre des démarches de conformité entre les différents règlements existants. Le Digital Omnibus propose ainsi de repousser plusieurs dates butoirs prévues par l'AI Act et autoriserait les concepteurs d'IA a utiliser plus largement les données personnelles d'internautes pour entrainer ses modèles.
Un besoin de cohérence
Autre point abordé, le RGPD pourrait, lui aussi, faire l'objet d'un toilettage près de dix ans après son entrée en application. A commencer par un point extrêmement sensible : les données personnelles. "La Commission européenne souhaite introduire une lecture plus contextuelle de cette notion" estime l'avocat Jocelyn Pitet (cabinet Entropy) ; "une même donnée pourrait être qualifiée de "personnelle" pour un acteur capable d’identifier la personne concernée, mais ne pas l’être pour un autre qui ne le peut raisonnablement pas. Ainsi, une information ne devrait être considérée comme une donnée personnelle que si l’acteur qui la détient dispose de moyens raisonnablement susceptibles d’identifier la personne concernée."
