EDPS Newsletter 119 : le régulateur européen muscle son rôle sur l'AI Act, la cybersécurité et les données de santé
Le Contrôleur européen de la protection des données (EDPS) a publié le 17 avril 2026 sa newsletter n°119, qui formalise trois virages stratégiques pour les DPO et RSSI européens. Boussole dédiée à l'AI Act, avis conjoints avec l'EDPB sur le paquet cybersécurité et le European Biotech Act, débat public programmé sur le Digital Omnibus : l'EDPS se positionne comme le pivot opérationnel du nouveau cadre numérique européen.
Ce qui s'est passé
La newsletter EDPS n°119 consolide plusieurs annonces attendues par les praticiens de la conformité.
D'abord, la publication de la « EDPS Compass for its new role under the AI Act ». L'EDPS devient autorité de surveillance du marché pour les systèmes d'intelligence artificielle des institutions, organes et agences de l'UE (EUIs), et organisme notifié pour certains systèmes à haut risque. La boussole décrit sa vision stratégique, son approche opérationnelle et les quatre piliers de son double rôle de régulateur et d'évaluateur au titre de l'AI Act.
Ensuite, l'EDPB et l'EDPS ont adopté un avis conjoint sur le paquet cybersécurité de la Commission — révision du Cybersecurity Act (CSA2) et amendements ciblés à la Directive NIS 2. Les deux autorités soutiennent largement le texte mais demandent de clarifier l'articulation entre le cadre européen de certification cybersécurité et la certification RGPD, et rappellent qu'un point d'entrée unique pour notifier les violations de données personnelles réduirait la charge administrative sans affaiblir la protection des personnes concernées au sens de l'article 33 du RGPD.
Troisième annonce majeure : un avis conjoint EDPB/EDPS sur le projet de European Biotech Act. Les régulateurs valident l'objectif de fluidifier l'application du Clinical Trials Regulation mais exigent des garanties renforcées sur les données de santé et génétiques — clarification des rôles entre responsables de traitement, limitation de la conservation, pseudonymisation par défaut.
Enfin, la Supervisor Wojciech Wiewiórowski annonce un débat de haut niveau le 8 juin 2026 à Bruxelles sur le Digital Omnibus, organisé avec le BfDI allemand et le BayLfD bavarois. La présence remarquée des autorités nationales à l'événement signale une ligne de crête institutionnelle face à la proposition de simplification européenne qui inquiète déjà les régulateurs de la protection des données.
Pourquoi c'est important
Ces annonces ne sont pas des éphémérides de newsletter. Elles dessinent la position que les autorités européennes tiendront face aux arbitrages politiques des prochains mois.
Sur l'AI Act, la boussole EDPS préfigure les attentes que les autorités nationales appliqueront aux déploiements IA du secteur privé. Les quatre piliers (supervision des EUIs, évaluation technique, coopération inter-autorités, transparence) fixent une grille de lecture que chaque DPO devrait connaître avant d'auditer ses propres systèmes. Pour mémoire, les autorités compétentes en France pour l'AI Act viennent d'être désignées et la CNIL n'en sera pas le chef de file.
Sur la cybersécurité, l'articulation entre certification NIS 2 et certification RGPD devient un chantier prioritaire. Les entreprises qui ont déjà engagé leur mise en conformité avec la feuille de route NIS 2 vont pouvoir valoriser ces investissements au titre de l'article 32 du RGPD — à condition de documenter correctement cette équivalence et d'éviter les redondances documentaires coûteuses.
Sur les données de santé, l'avis conjoint sur le Biotech Act prolonge la doctrine que l'EDPB vient de poser dans ses guidelines sur la recherche scientifique. Les promoteurs d'essais cliniques doivent s'attendre à une exigence de pseudonymisation par défaut et à une cartographie plus fine des rôles entre financeurs, sponsors et investigateurs.
Ce que ça change pour les organisations
Trois chantiers opérationnels à lancer dès à présent.
Cartographier les systèmes d'IA soumis à l'AI Act. Identifier les systèmes à haut risque, documenter leur finalité, vérifier leur articulation avec le registre des traitements RGPD. Les entreprises qui fournissent des systèmes IA à des institutions européennes doivent anticiper les attentes de l'EDPS en tant qu'organisme notifié.
Intégrer NIS 2 dans la documentation RGPD. Pour les entités essentielles et importantes, consolider l'analyse des risques cyber et les mesures techniques avec les exigences de l'article 32 RGPD. La notification des violations reste pour l'instant à double entrée (CNIL + ANSSI), mais l'EDPS plaide pour un guichet unique qui simplifierait la vie des équipes de réponse à incident.
Auditer les traitements de santé avant l'été. Si votre organisation traite des données sensibles dans le cadre d'essais cliniques ou de recherche, anticiper l'exigence de pseudonymisation par défaut, réviser les clauses de conservation des données et clarifier les responsabilités entre promoteur et investigateur.
Ce que Leto pense de cette décision
La newsletter EDPS n°119 n'est pas un document cérémoniel. Elle confirme que l'EDPS s'est repositionné comme acteur central de l'architecture numérique européenne, capable de tenir une ligne cohérente entre défense du RGPD, soutien au Biotech Act et encadrement de l'AI Act. Pour les DPO et RSSI, cela veut dire une chose simple : les prises de position de l'EDPS ne sont plus décoratives. Elles anticipent les contrôles que la CNIL et ses homologues nationaux mèneront demain. Les intégrer dans la veille réglementaire est désormais un prérequis, pas un luxe.
Sources :
