Ce n’est pas un sujet réservé aux juristes de Bruxelles. Derrière le très technique Digital Omnibus, l’Union européenne discute en ce moment d’un point simple à comprendre : comment alléger certaines règles numériques pour les entreprises, sans affaiblir les protections acquises par les citoyens. Et sur ce terrain, la ligne de crête est étroite.
Pour le grand public, le mot omnibus peut sembler abstrait. En réalité, il désigne une méthode législative assez classique : au lieu de modifier un seul texte, on regroupe plusieurs ajustements dans un même paquet. Dans le cas présent, la Commission européenne a présenté en novembre 2025 un ensemble de modifications touchant plusieurs pans du droit numérique européen, dont les règles sur les données personnelles, la cybersécurité et certains volets liés à l’intelligence artificielle. L’objectif affiché est de simplifier la vie des entreprises, des administrations et, en théorie, des citoyens, tout en rendant l’économie européenne plus compétitive.
Sur le principe, difficile d’être contre la simplification. Le problème commence lorsque cette simplification touche au RGPD, c’est-à-dire au socle européen de protection des données personnelles. Entré en vigueur en 2016, le RGPD repose sur une idée claire : lorsqu’une information permet d’identifier une personne, directement ou indirectement, elle doit être protégée. Cela concerne évidemment le nom ou l’adresse de courriel, mais aussi, dans de nombreux cas, des identifiants, des données de localisation, des profils ou des recoupements d’informations.
Pourquoi est-ce si important ? Parce que le RGPD ne protège pas un simple « détail administratif ». Il protège une part de notre liberté concrète dans la vie numérique. Savoir qui collecte nos données, pour quoi faire, combien de temps, avec quels droits de regard ou d’opposition : tout cela conditionne notre capacité à rester des citoyens, et pas seulement des profils exploitables.
C’est dans ce contexte, celui de la consultation lancée par la Commission européenne pour nourrir le futur Digital Omnibus, qu’Axel Laniez a publié pour Clever Cloud une prise de position critique. L’entreprise ne rejette pas le principe d’une simplification. Elle soutient même certains allègements, notamment lorsqu’ils permettent de mieux coordonner les obligations de cybersécurité ou de tenir compte de la réalité des PME européennes. Mais elle estime que certaines modifications envisagées franchissent une ligne rouge dès lors qu’elles touchent à la définition de la donnée personnelle ou au traitement de données sensibles dans le cadre de l’intelligence artificielle.
Le premier sujet de friction concerne la définition de la donnée personnelle. La proposition discutée dans le cadre du Digital Omnibus introduit l’idée qu’une information ne serait pas nécessairement une donnée personnelle pour tous les acteurs, dès lors qu’un acteur donné n’aurait pas, lui, les moyens raisonnables d’identifier la personne concernée. Dit autrement : une même donnée pourrait être considérée comme protégée dans un contexte, mais plus forcément dans un autre. Clever Cloud y voit un risque de fragmentation du cadre européen. Et cette inquiétude n’est pas marginale : Le Comité européen de la protection des données (EDPB), qui veille à une application cohérente du RGPD dans l’Union européenne avec les autorités nationales, ainsi que le Contrôleur européen de la protection des données, ont eux aussi demandé aux co-législateurs de ne pas adopter ce changement. Ils estiment qu’il réduirait sensiblement la portée de la notion de donnée personnelle et créerait une insécurité juridique.
Pour un citoyen, l’enjeu est très concret. Si la définition devient plus « flottante », il devient plus difficile de savoir à quel moment nos informations sont réellement protégées, par qui, et selon quelles obligations. Or la confiance numérique ne repose pas sur des zones grises. Elle repose sur des règles lisibles et stables.
L’audition de Max Schrems rappelle que le débat sur l’omnibus numérique dépasse la seule technique juridique : il touche aussi aux dépendances du secteur numérique et à la protection concrète des droits en Europe.
Le second sujet sensible touche aux données dites « sensibles » : celles qui révèlent par exemple l’état de santé, les opinions politiques, l’origine ethnique, la religion ou l’orientation sexuelle. Le RGPD encadre déjà ces données de manière particulièrement stricte, précisément parce qu’elles exposent davantage les personnes au risque de discrimination, de surveillance ou d’atteinte à leur dignité.
Or le débat européen porte aussi sur l’introduction d’une nouvelle dérogation liée au développement et au fonctionnement des systèmes d’intelligence artificielle. Sur ce point, le message mérite d’être nuancé. Les autorités européennes de protection des données ne rejettent pas en bloc toute adaptation, elles reconnaissent qu’un encadrement plus clair peut être utile. Mais elles demandent des limites précises, une portée mieux définie et des garanties robustes sur tout le cycle de vie de l’IA, afin que l’exception ne devienne pas une porte d’entrée trop large. Clever Cloud formule, de son côté, une critique plus politique : accélérer l’IA ne doit pas conduire l’Europe à rogner ce qui fait justement sa singularité, à savoir des droits fondamentaux élevés et une vision exigeante de la protection des personnes.
Il serait pourtant réducteur de présenter tout le paquet comme une menace. Certaines mesures vont dans le bon sens. C’est notamment le cas de l’idée que soutient Clever Cloud: la création d’un point d’entrée unique européen pour signaler les incidents de cybersécurité. Aujourd’hui, selon les règles applicables, une organisation peut devoir déclarer un même incident à plusieurs interlocuteurs différents. Sous NIS2 (la directive européenne qui renforce la cybersécurité des organisations et services essentiels), par exemple, les incidents doivent être signalés à l’autorité nationale compétente et/ou au CSIRT national, c’est-à-dire à l’équipe chargée de réagir aux incidents informatiques, comme les cyberattaques ou les intrusions.
L’ENISA, l’Agence de l’Union européenne pour la cybersécurité (European Union Agency for Cybersecurity), coordonne déjà une partie de cette coopération entre États membres et appuie le réseau des équipes nationales de réponse aux incidents. L’idée du point d’entrée unique est donc simple : permettre aux organisations de transmettre une information une seule fois, via une interface commune, au lieu de répéter plusieurs démarches proches. La Commission assure que cela ne supprimerait pas les autorités existantes, mais simplifierait le signalement. Dans l’esprit, c’est une mesure de bon sens : mieux faire circuler l’information, plus vite, avec moins de complexité.
C’est d’ailleurs tout le cœur du débat. Simplifier, oui. Déréguler discrètement, non. L’Europe a construit avec le RGPD une référence mondiale. Ce texte est souvent critiqué pour sa complexité, parfois à raison. Mais il a aussi fixé une idée forte : dans l’économie numérique, la compétitivité ne saurait se bâtir au détriment des droits. Elle doit s’appuyer sur la confiance.
Le sujet mérite donc mieux qu’un réflexe pro-entreprise ou anti-entreprise. La bonne question est plus exigeante : quelles simplifications améliorent réellement la vie économique sans rogner les garanties offertes aux citoyens ? Car au fond, ce débat dépasse la technique : il touche à la manière dont l’Europe entend encadrer le numérique, entre efficacité économique, sécurité juridique et protection des libertés.
Laisser un commentaire