Digital Omnibus : EDRi tire la sonnette d'alarme sur l'érosion des droits fondamentaux

18/4/26
👈 les autres actualités

Ce qui se passe

La coalition européenne des droits numériques EDRi a publié le 15 avril 2026 une analyse acérée des propositions Digital Omnibus de la Commission européenne. Son verdict : sous couvert de « simplification administrative », ces textes importent dans la régulation des droits fondamentaux la logique du move fast and break things — jadis apanage de la Silicon Valley.

Les propositions concernent directement trois piliers du droit numérique européen : le RGPD, la directive ePrivacy, et l'AI Act. Pour chacun, EDRi identifie des affaiblissements concrets présentés comme de simples allègements de charge administrative.

Pourquoi c'est important

Le premier changement majeur concerne la définition même de donnée personnelle. Les propositions suggèrent qu'une donnée ne devrait être considérée comme personnelle que si l'entreprise qui la détient peut identifier la personne. Or, un identifiant publicitaire, une empreinte comportementale ou un cookie peuvent parfaitement permettre à un agrégateur tiers d'identifier quelqu'un — sans que l'entreprise détentrice d'origine ne le sache. Résultat : d'importantes catégories de données de tracking pourraient sortir du champ du RGPD.

Deuxième point sensible : les décisions individuelles automatisées, aujourd'hui strictement encadrées par l'Article 22 du RGPD, bénéficieraient d'un régime plus permissif. Les algorithmes de scoring crédit, de sélection de CV ou d'accès aux prestations sociales pourraient être justifiés plus facilement comme « nécessaires » — faisant de l'intervention humaine une formalité procédurale plutôt qu'une garantie réelle.

Troisième fragilisation : l'intérêt légitime deviendrait la base légale par défaut pour l'entraînement des IA à grande échelle. EDRi cite le cas de Meta en 2025 : l'entreprise avait annoncé utiliser les données Facebook et Instagram pour entraîner ses modèles, sans consentement explicite, en s'appuyant sur l'intérêt légitime. Des groupes de la société civile avaient dû intervenir pour bloquer la démarche. Les nouvelles règles créeraient une présomption que de tels usages sont acceptables.

Enfin, pour les données sensibles (santé, opinions politiques, origine ethnique), la proposition admet qu'elles puissent rester dans les systèmes d'IA déjà en production — au motif que les retirer serait techniquement trop coûteux. Et s'agissant de l'AI Act, les obligations applicables aux systèmes à haut risque pourraient être différées, permettant un déploiement massif avant que les garanties légales ne s'appliquent.

Ce que ça change pour votre organisation

Pour les DPO et responsables conformité, ces propositions créent une incertitude opérationnelle à court terme et un risque stratégique à moyen terme. À court terme, difficile de savoir quelles obligations s'appliqueront encore dans six mois — ce qui complique les mises à jour de registres de traitements et les analyses d'impact. À moyen terme, si les propositions sont adoptées telles quelles, certaines des protections sur lesquelles s'appuient vos procédures de conformité pourraient être affaiblies voire supprimées.

Deux points pratiques méritent une attention immédiate. D'abord, si vous utilisez ou développez des systèmes d'IA à haut risque (recrutement, crédit, accès à des services), ne relâchez pas vos efforts de conformité AI Act en espérant que les obligations seront reportées : rien n'est encore acté, et les textes peuvent changer. Ensuite, si votre organisation invoque l'intérêt légitime pour entraîner ou alimenter des modèles d'IA, documentez dès maintenant la balance des intérêts — cette base légale reste soumise à un test de proportionnalité, quelle que soit l'évolution réglementaire.

La consultation publique sur le Digital Omnibus est toujours ouverte. C'est le moment pour les organisations, associations professionnelles et DPO de faire remonter leurs observations.

Ce que Leto pense de cette décision

L'argument d'EDRi est solide sur un point central : dans la protection des droits, les erreurs ne se corrigent pas facilement après coup. Un algorithme biaisé déployé à grande échelle avant l'entrée en vigueur des obligations, c'est des centaines de milliers de décisions erronées qu'il faudra reconsidérer. Les entreprises qui ont investi dans leur conformité RGPD et AI Act ne doivent pas y voir un signal de relâchement — mais une confirmation que leur avance sera un avantage compétitif durable, quelle que soit l'issue législative finale.

Sources : EDRi — Europe shouldn't "move fast and break things" with fundamental rights (15 avril 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026