La Commission européenne prépare une refonte majeure du règlement général sur la protection des données à caractère personnel. Les associations de défense de la vie privée s’inquiètent d’un potentiel affaiblissement du texte.
Le 19 novembre prochain, la Commission européenne compte modifier certains textes à travers un paquet de mesures nommées « Digital Omnibus ». La semaine dernière, le Financial Times évoquait un possible assouplissement des dispositions de l’IA Act. Selon l’association allemande Netzpolitik.org, les modifications de l’exécutif bruxellois ciblent aussi le RGPD (règlement général de protection des données) et pourrait redéfinir la manière dont les entreprises traitent les données personnelles.
Un assouplissement du consentement pour les cookies
Selon le texte consulté par l’association, la Commission supprimerait l’obligation pour les sites web d’obtenir un consentement explicite avant de déposer des cookies de suivi et autoriserait explicitement l’entraînement des IA sur des données personnelles lorsque cela est justifié par les « intérêts légitimes » des entreprises. Le projet introduirait l’article 88 bis dans le RGPD afin de couvrir le « traitement des données à caractère personnel sur et à partir d’équipements terminaux », transférant ainsi la réglementation relative aux cookies de la directive ePrivacy au RGPD lui-même. Actuellement, l’article 5, paragraphe 3, de la directive ePrivacy exige des sites web qu’ils obtiennent un consentement explicite avant de stocker ou d’accéder à des cookies non essentiels sur les terminaux des utilisateurs.
Pour expliquer ce changement, la Commission a fait valoir que cette situation a engendré une insécurité juridique et des coûts de mise en conformité plus élevés en raison du chevauchement des pouvoirs de contrôle des autorités nationales. Selon la modification proposée, les sites web pourraient traiter les données collectées par le biais des cookies sur la base d’une liste restreinte de finalités à faible risque ou sur tout fondement juridique prévu par le RGPD, y compris l’intérêt légitime. Cela marquerait un tournant majeur, passant d’un suivi avec consentement explicite à un suivi avec consentement implicite avec une opposition a posteriori. « Si le consentement est nécessaire pour garantir le contrôle des personnes concernées, il ne constitue pas toujours le fondement juridique le plus approprié pour un traitement ultérieur », indique le projet.
Les associations vent debout
Les associations de défense de la vie privée estiment que l’institution européenne instrumentalisait « la lassitude face aux cookies » pour assouplir les normes de protection de la vie privée. « Le RGPD, la directive ePrivacy et la loi sur l’IA ne sont pas des obstacles à l’innovation ; ils constituent le fondement du modèle numérique européen centré sur l’humain », a écrit European Digital Rights (EDRi) dans un blog publié en octobre. « Pourtant, sous prétexte de cohérence, la Commission semble prête à affaiblir les protections offertes par ePrivacy. »
Le projet de texte détaille également l’article 88b, qui obligerait les navigateurs et les systèmes d’exploitation à transmettre automatiquement les préférences de consentement des utilisateurs une fois les normes techniques définies, ce qui pourrait entraîner la disparition progressive des bannières de cookies actuellement en vigueur. Une exception est toutefois prévue pour les entreprises de médias. Les organes de presse pourraient continuer à exiger un consentement explicite, ce que la Commission justifie par la nécessité de protéger les « fondements économiques » du journalisme.
Le feu vert pour l’entraînement de l’IA
La proposition aborde directement l’une des questions les plus controversées du droit européen de la protection des données : la possibilité pour les entreprises d’entraîner des systèmes d’IA à l’aide de données personnelles. Le projet de règlement stipule que l’entraînement, les tests et la validation de l’IA peuvent être effectués sur la base de l’« intérêt légitime » du RGPD, à condition que les entreprises mettent en œuvre des garanties telles que la minimisation des données, la transparence et un droit d’opposition inconditionnel. « Le traitement des données personnelles à des fins d’entraînement de l’IA peut donc être effectué aux fins d’un intérêt légitime », indique le projet, ajoutant que les développeurs doivent s’assurer que l’entraînement est « bénéfique pour la personne concernée et pour la société dans son ensemble ». La Commission a cité la nécessité de détecter les biais et de garantir la précision des résultats des modèles comme exemples de finalités « bénéfiques ».
Cependant, des juristes spécialisés dans la protection de la vie privée ont déclaré qu’invoquer l’intérêt légitime pour le traitement des données par l’IA pourrait ouvrir la voie à l’exploration massive de données sans consentement individuel, ce que le RGPD visait initialement à empêcher. Le projet de règlement introduirait également une exemption limitée pour les données sensibles qui apparaissent par inadvertance dans les ensembles de données d’IA. Si la suppression de ces données exigeait un « effort disproportionné », les entreprises pourraient les conserver en appliquant des mesures de protection empêchant leur utilisation ou leur divulgation. Pour Max Schrems, dirigeant de l’association Noyb, ces mesures sur l’IA donneraient ni plus, ni moins, « une carte blanche aux entreprises spécialisées dans l’IA (comme Google, Meta ou OpenAI) pour collecter les données personnelles des Européens ».
Protection des données sensibles restreinte
Autre modification controversée, une proposition restreindrait la définition des données sensibles au sens de l’article 9 du RGPD. Une protection renforcée ne s’appliquerait que lorsque les informations révèlent directement des caractéristiques telles que l’origine ethnique, la religion ou la santé, excluant les données qui ne font qu’impliquer ces caractéristiques par analyse ou déduction. « Pour la plupart des types de données personnelles énumérés à l’article 9, paragraphe 1, il n’existe pas de risques significatifs lorsque les données ne sont pas intrinsèquement sensibles », indique le projet. Les critiques craignent que cela permette aux entreprises de déduire des caractéristiques protégées – telles que l’orientation sexuelle ou les opinions politiques – à partir de données apparemment neutres sans déclencher de protections juridiques plus strictes.
L’Institut de droit européen a reconnu, dans ses observations du 14 octobre, que des mises à jour limitées du RGPD pourraient être nécessaires, mais a souligné que « les améliorations ne doivent pas se faire au détriment de la protection des droits fondamentaux ». Les modifications proposées pourraient bouleverser la gouvernance des données des entreprises en Europe. Les sociétés n’auraient plus besoin de systèmes de gestion du consentement pour la plupart des cookies de suivi, mais devraient conserver une documentation détaillée pour justifier le traitement au titre de l’« intérêt légitime ». Le Réseau européen des droits numériques a critiqué la consultation, la qualifiant d’« exclusion délibérée », avec des délais « extrêmement courts » et des évaluations de la réalité centrées « presque exclusivement sur les acteurs du secteur ».