Ue investe 307 miloni di euro AI

Digital Omnibus, actualités de l’UE sur les données, l’IA et les plateformes

ParSteven de Simseo

L’évolution de la réglementation européenne sur les données et les technologies numériques a connu une accélération sans précédent ces dernières années.

La soi-disant stratégie européenne en matière de données, lancée en 2020 par la Commission européenne, représentait le cadre stratégique dans lequel des instruments réglementaires tels que – par exemple – la loi sur la gouvernance des données, la loi sur les données, la loi sur les services numériques, la loi sur les marchés numériques et, plus récemment, la loi sur l’IA ont été progressivement placés.

Dans ce contexte, le tout récent Omnibus du Numérique se présente comme une intervention réglementaire de rationalisation et de coordination, visant à avoir un impact transversal sur une pluralité d’actes déjà adoptés ou en cours de mise en œuvre.

L’Omnibus numérique comme outil d’ingénierie réglementaire

L’Omnibus Numérique s’appuie sur une pluralité de bases juridiques trouvées dans les Traités, notamment dans les dispositions relatives au marché intérieur et à la protection des données personnelles et s’appuie sur une technique qui n’est pas nouvelle en droit de l’Union européenne. Cela permet de modifier en temps utile les réglementations existantes, par l’insertion, le remplacement ou la coordination d’articles et de définitions, afin d’éviter les duplications, les conflits d’interprétation ou le chevauchement des obligations.

L’Omnibus se distingue donc par l’introduction de clauses de coordination horizontales, qui rappellent expressément les autres actes du paquet numérique, et si, d’une part, cela augmente la cohérence systémique, de l’autre, cela risque d’augmenter la complexité interprétative, obligeant les opérateurs à procéder à une lecture intégrée des textes réglementaires déjà articulés.

Il convient également d’ajouter que compte tenu du secteur d’exploitation spécifique – celui du numérique -, cette technique prend une valeur particulière, car elle se greffe sur un écosystème réglementaire extrêmement récent, encore en phase de mise en œuvre et caractérisé par une forte interdépendance entre les disciplines liées aux données, au partage/interopérabilité, aux plateformes, à la cybersécurité et à l’intelligence artificielle.

Les discussions qui ont émergé lors du trilogue entre le Parlement européen, le Conseil de l’Union européenne et la Commission ont mis en évidence des tensions importantes entre les besoins de simplification réglementaire, de protection des droits fondamentaux et de compétitivité industrielle.

Ici donc, l’objet d’analyse de cette contribution permet de comprendre comment se positionne l’Omnibus Numérique – tout d’abord – à l’intersection du droit des données, du droit de la concurrence, du droit de la consommation et de la régulation de l’IA, avec des répercussions systémiques qui nécessitent une réflexion technico-juridique approfondie.

Résumé des innovations introduites par les propositions

    Il est bon, tout d’abord, de rappeler – également pour mieux encadrer cette contribution – que le Règlement Omnibus Numérique – présenté par la Commission européenne en novembre 2025 – se compose de deux propositions distinctes :

    1. COM(2025) 836 (Omnibus numérique sur l’IA): un règlement spécifique modifiant le règlement (UE) 2024/1689 (Loi IA) et le règlement (UE) 2018/1139 afin de simplifier la mise en œuvre des règles harmonisées en matière d’intelligence artificielle, notamment en réduisant les charges administratives et en clarifiant les aspects d’application (mise en œuvre, coordination des compétences, registre des systèmes d’IA, etc.) ;
    2. COM(2025) 837 (Omnibus numérique): un règlement de simplification numérique plus large qui propose des modifications à un large corpus d’actes de l’acquis numérique européen, dont le RGPD (Règlement (UE) 2016/679), le Règlement (UE) 2023/2854 (Loi sur les données), des directives telles que ePrivacy, NIS 2, la Directive Cybersécurité, ainsi que la révision de normes telles que la Directive Données Ouvertes et d’autres outils de gouvernance des données.

    Les deux propositions sont présentées comme des mesures de « simplification », de « clarification » et de « réduction des charges » pour les citoyens et les entreprises, dans le but déclaré de renforcer la compétitivité numérique de l’UE et de rendre plus efficace l’application du cadre réglementaire actuel.

    Tableau comparatif entre les propositions

    Sans prétendre à l’exhaustivité et dans le but de présenter un résumé le plus explicatif possible, également par rapport à la complexité du sujet et aux statut Dans l’avancement du processus de régulation, il a été décidé de choisir un tableau comparatif entre les deux propositions qui met en évidence les principaux points sujets à modification, dans les termes suivants :

    Proposition 836 AI ACT Proposition 837 RGPD, e-Privacy, Data Act, NIS2, DORA, CER, eIDAS, DGA et directive Open Data
    SOUTIEN AUX PME ET PETITES ETIONNES CAPITAUX (PME) Avantages : Exceptions au RGPD, comme par exemple la non-tenue de registres conformément à l’article 30, sauf en cas de « risque élevé » ; Prospectus simplifiés pour les offres publiques de valeurs mobilières ; Accès facilité aux marchés de capitaux. Définition RGPD des « données personnelles » Les informations traitées ne seraient pas des données personnelles si le propriétaire ne disposait pas et ne pouvait raisonnablement obtenir les moyens d’identifier l’intéressé. Données particulières Il serait possible d’utiliser des données particulières pour le développement, la formation, le test et l’évaluation de systèmes/modèles d’IA si des mesures appropriées ou des mesures de limitation adéquates sont adoptées. Intérêt légitime Utilisation possible d’un intérêt légitime comme base pour le traitement des données personnelles à des fins de formation du système d’IA Violation de données La notification n’est attendue que si la violation présente un « risque élevé » pour les parties intéressées. La notification aurait un nouveau délai de 96 heures au lieu de 72. Décisions automatisées En référence à l’article 22 du RGPD, les décisions produisant des effets juridiques peuvent être fondées exclusivement sur un traitement automatisé si cela est nécessaire à la conclusion ou à l’exécution d’un contrat ; si cela est autorisé par le droit de l’Union européenne ou avec le consentement explicite de l’intéressé. Données biométriques Une exception à l’interdiction d’utilisation de ces données est prévue s’il est nécessaire de confirmer l’identité de l’intéressé et les données, à condition que des moyens de vérification de celles-ci soient établis et que ceux-ci soient sous le contrôle exclusif de l’intéressé. Droits des parties intéressées Nous proposons l’introduction de limitations/restrictions à l’exercice des droits des parties intéressées après démonstration que le but de la demande ne se limite pas à la simple et simple protection des données, mais va au-delà. Information L’obligation d’information serait supprimée dans les cas où il existe des motifs raisonnables de croire que l’intéressé dispose déjà d’informations sur le traitement. Exceptions : transmission de données à d’autres destinataires ; Transfert de données hors UE ; décisions automatisées ou risque élevé.
    DÉTECTION ET ATTÉNUATION DES BIAIS Possibilité d’utiliser des données particulières pour identifier et réduire la discrimination par les systèmes d’IA à haut risque e-Privacy Les règles relatives au stockage et à l’accès aux données personnelles des équipements terminaux d’une personne physique sont transférées au RGPD, en introduisant un nouvel article (88-bis) dans le RGPD.
    MÉCANISME « ARRÊTER L’HORLOGE » Il s’agirait de reporter la date d’application d’environ un an pour aligner la loi écrite sur les outils techniques disponibles tels que les lignes directrices et les normes. Loi Informatique et Libertés Les règlements suivants de la DGA, Directive Données Ouvertes, Règlement 2018/1807 Protection des secrets des affaires seront intégrés à la Loi Informatique et Libertés. La possibilité de refuser la divulgation de secrets d’affaires a été renforcée s’il existe un risque élevé que ces informations soient obtenues ou divulguées illicitement dans des pays tiers. business to gouvernement (B2G) L’accès aux données ne devrait être possible qu’en cas d’urgence publique (la notion de « besoins exceptionnels » est restreinte). Cloud et commutation entre les services de traitement de données Régime plus allégé pour les services de traitement de données personnalisés ou fournis par des PME/micro-entreprises Notification obligatoire (pour les fournisseurs de courtage de données) et enregistrement volontaire (pour l’altruisme en matière de données) Interdictions de localisation pour les données non personnelles Proposition d’abrogation des règles obsolètes actuellement contenues dans le règlement sur la libre circulation des données non personnelles (2018/1807), à l’exception de l’interdiction des exigences de localisation des données dans l’UE à intégrer dans le Data Act Contrats intelligents Le système relatifs à ces contrats (déjà présents dans la Loi Informatique et Libertés) est allégé, réduisant les obligations.
    AUTO-DÉCLASSIFICATION ET RESPONSABILITÉ DILUÉE Possibilité de déclarer unilatéralement un système d’IA à haut risque comme à faible risque. Cela conduirait à la suppression de l’obligation de s’inscrire dans la base de données européenne ENISA SINGLE-ENTRY POINT (ou SEP) Les notifications requises par la législation (NIS2, GDPR, DORA, eIDAS) doivent s’effectuer via une plateforme unique, créée, hébergée et gérée par l’ENISA afin de répondre aux « signaler une fois, partager avec tous».
    AI LITERACY – LITERACY Un passage d’une obligation pour les fournisseurs et les déployeurs à un simple « encouragement » est proposé

    Cette première représentation synthétique devrait déjà faire apparaître clairement comment les propositions avancées ont un impact non seulement sur un niveau purement technique, mais plutôt sur un profil substantiel : cela ressort également de la discussion sur le « Digital Omnibus » au sein du Trilogue, ainsi qu’au sein de l’EDPB (Comité européen de la protection des données) et du CEPD (Contrôleur européen de la protection des données).

    La crainte la plus profonde, en effet, est que les changements hypothéqués affectent des concepts fondamentaux, risquant de toucher le cœur de la ou des réglementations en faisant passer pour des « simplifications » ce qui en réalité serait plutôt une réduction à tous égards de la protection des droits et libertés des parties intéressées.

    Sources

    https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52025PC0837. ↑

    https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52025PC0836. ↑

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.