La Commission européenne a dévoilé, mercredi 19 novembre, une large série d'ajustements à plusieurs législations du numérique avec une proposition législative 'omnibus', notamment des assouplissements au règlement général pour la protection des données (RGPD), invoquant « l'urgence à redresser la compétitivité de l'Europe » en « simplifiant ses charges administratives ».
Tout en se défendant d'affaiblir les droits des citoyens et le cadre européen de la protection des données (EUROPE 13752/13), la Commission estime que certaines modifications ciblées du RGPD sont aujourd'hui nécessaires et qu'il était essentiel d'adapter plusieurs autres textes relatifs à la gestion des données, en les centralisant au sein de l'unique 'Data Act'.
En juillet 2024, un rapport publié par la Commission présentait pourtant la mise en œuvre du RGPD globalement comme une réussite, avec « un large consensus » sur les « résultats importants » du règlement pour « les entreprises et les particuliers » (EUROPE 13642/13).
Le texte proposé ce mercredi veut revoir la définition des données personnelles, en prenant en compte un arrêt récent de la Cour de justice de l'UE : le 4 septembre dernier, la CJUE avait confirmé que la pseudonymisation des données peut effectivement les alléger de leur caractère personnel, du moment que celles-ci sont légitimement anonymisées (EUROPE 13702/24).
Forte de cet arrêt, la Commission veut donc modifier en conséquence l'article 4 du RGPD sur la catégorisation des données personnelles. S'il est déterminé que les informations fournies par les données ne sont pas suffisantes pour identifier physiquement la personne en question, celles-ci pourraient ne plus être considérées comme des données à caractère personnel.
La proposition de règlement introduit également une nouvelle dérogation à l'Article 9, qui interdit le traitement et le stockage des catégories particulières de données à caractère personnel.
Cette dérogation établit que le développement et l'exploitation de systèmes ou de modèles d'IA constituent un « intérêt légitime » pour l'exploitation et le traitement de ce genre de données, pour autant que des mesures techniques et organisationnelles appropriées soient mises en place pour éviter leur conservation.
Cette modification s'appuie sur l'avis du Comité européen de la protection des données, publié en décembre dernier, et qui ne s'opposait pas frontalement à cette utilisation, estimant que l'argument de l'intérêt légitime peut être une base juridique de justification (EUROPE 13549/10).
« Je tiens à mettre l'accent sur le terme 'modifications ciblées'. Nous ne rouvrons pas le RGPD, son cœur reste tout à fait intact. Nous clarifions certains concepts et principes », a défendu le commissaire chargé de la Protection des consommateurs, Michael McGrath, en conférence de presse.
Car l'annonce de ces modifications n'a pas tardé à faire largement réagir. Amnesty International, Noyb, Finance Watch ainsi que plusieurs groupes au Parlement européen et eurodéputés ont dénoncé un « affaiblissement » sans précédent de la protection des données et des citoyens européens, qui ouvre une brèche immense dans le cadre législatif de l'Union, à l'avantage des géants du numérique américains.
De l'autre côté de la barricade, d'autres organisations du secteur du numérique, telles que BusinessEurope, la Business Software Alliance ou la CCIA, se montrent satisfaites des « ajustements pragmatiques » présentés.
La Commission entend également lutter contre la « fatigue du consentement » en révisant les règles relatives aux cookies et à la prolifération des 'bannières' (banners). Elle souhaite donner l'opportunité aux consommateurs d'enregistrer directement leurs préférences dans le navigateur ou une application tierce, pour éviter de devoir recommencer le processus à chaque nouveau site web ouvert.
Voir les propositions liées au RGPD : https://aeur.eu/f/jj3 (Isalia Stieffatre)