Comme l'ont progressivement révélé ces derniers jours divers organes de presse, la Commission européenne a secrètement mis en route une réforme potentiellement massive du GDPR. Si les projets internes deviennent réalité, cela aura un impact significatif sur le droit fondamental des personnes à la vie privée et à la protection des données. La réforme ferait partie de ce que l'on appelle le "Digital Omnibus", qui était censé n'apporter que des ajustements ciblés pour simplifier la mise en conformité des entreprises. Or, la Commission propose de modifier des éléments essentiels tels que la définition des "données à caractère personnel" et tous les droits des personnes concernées en vertu du GDPR. Le projet qui a fait l'objet d'une fuite suggère également de donner aux entreprises d'IA (comme Google, Meta ou OpenAI) un chèque en blanc pour aspirer les données personnelles des Européens. En outre, la protection spéciale des données sensibles telles que les données de santé, les opinions politiques ou l'orientation sexuelle serait considérablement réduite. L'accès à distance aux données personnelles sur les PC ou les téléphones intelligents sans le consentement de l'utilisateur serait également autorisé. De nombreux éléments de la réforme envisagée iraient à l'encontre de la jurisprudence de la CJUE et violeraient les conventions européennes et la Charte européenne des droits fondamentaux. Pour savoir si ce projet extrême deviendra la position officielle de la Commission européenne, il faudra attendre le 19 novembre, date à laquelle l'"Omnibus numérique" sera officiellement présenté. Schrems : "Il s'agirait d'une dégradation massive de la vie privée des Européens dix ans après l'adoption du GDPR."
- Tableau récapitulatif du projet et des commentaires par noyb
- Fuite d'un document sur les positions des Etats membres (qui ne demandent pas de réformes)
- Document divulgué par l'Allemagne (demandant une réforme massive, mais en grande partie pas maintenant)
- Fuite du texte original (via Netzpolitik.org)
- Rapport original par MLex (paywalled), Rapport par Reuters et Rapport par Netzpolitik.org
Attaque secrète "accélérée" contre le GDPR. La Commission européenne prévoit de simplifier plusieurs lois de l'UE par le biais d'une réforme dite "Omnibus", un outil qui modifie normalement divers petits éléments de plusieurs lois de manière horizontale, afin d'améliorer la qualité de la loi et de rationaliser les obligations administratives. Contrairement à l'approche traditionnelle du processus législatif, l'Omnibus est réalisé via une procédure "accélérée" qui saute plusieurs éléments du processus, y compris les évaluations d'impact et la prise en compte des réactions des services juridiques et des unités concernées au sein des institutions de l'UE. Cette procédure est acceptable si seules des améliorations simples et non litigieuses sont apportées.
Cependant, comme cela a été révélé, les services de la Commission européenne sous la direction de la vice-présidente exécutive Henna Virkkunen (appelée "DG CONNECT") travaillent sur une réforme massive du GDPR sous le titre d'une prétendue "simplification" ou de "clarifications".
Max Schrems :"Le projet n'est pas seulement extrême, il est aussi très mal rédigé. Il n'aide pas les "petites entreprises", comme promis, mais profite surtout aux "grandes entreprises technologiques"
Le projet initial de la Commission était d'effectuer un "bilan de santé numérique" en 2026, de recueillir les preuves nécessaires et de procéder ensuite à une mise à jour ciblée et bien développée du GDPR et d'autres lois sur le numérique.
L'UE "saute" sur les demandes allemandes ou américaines ? Les parties prenantes et les États membres ont explicitement demandé de ne pas rouvrir le GDPR. Dans un résumé des positions des États membres, presque tous les États membres qui ont donné leur avis disent qu'ils ne veulent pas de changement. Cependant, l'Allemagne a insisté pour que des changements importants soient apportés au GDPR, allant au-delà du mandat initial de cette loi. Il semble que la Commission ait simplement "sauté" sur un document officieux allemand qui a fuité la semaine dernière, étant donné que de nombreux changements dans le projet semblent être une copie 1:1 des demandes contenues dans la lettre allemande qui a fuité. L'Allemagne n'a pas fourni de preuves de la nécessité de ces réformes - l'origine de ces demandes n'est pas claire. D'autres voix soulignent le récent rapport de Politico, selon lequel le message de M. Virkkunen aux entreprises américaines lors de réunions directes était quel'UE réexaminerait ses règles et deviendrait plus favorable aux entreprises.
Max Schrems :"On ne sait pas très bien d'où vient la pression politique. La plupart des États membres ont demandé des changements minimes et aucune réouverture. L'Allemagne a traditionnellement adopté une position hostile au RGPD en Europe. Il semble plus facile de blâmer une loi européenne pour les problèmes de numérisation de l'Allemagne que de régler les problèmes au niveau national. Nous ne sommes pas surpris que cette dernière pression vienne à nouveau de l'Allemagne. Selon certaines informations, la pression exercée par les États-Unis pourrait également jouer un rôle
À la lecture du premier projet interne, il est clair que les dommages potentiels causés au GDPR (voir détails ci-dessous) seraient énormes. Des parties importantes du projet violent les conventions européennes, la Charte des droits fondamentaux ou la jurisprudence constante de la Cour de justice. La question de savoir si cela est intentionnel ou si cela est dû au rythme rapide des travaux et à la piètre qualité du projet qui en résulte reste ouverte. Des initiés bruxellois ont rapporté que certaines unités n'avaient que cinq ( !) jours ouvrables pour commenter un projet de loi de plus de 180 pages.
Max Schrems : "Une partie de la Commission européenne semble essayer de prendre le pas sur toutes les autres à Bruxelles, en ignorant les règles de bonne législation, avec des résultats potentiellement terribles. Il est très inquiétant de voir les pratiques législatives trumpiennes s'installer à Bruxelles."
Une vision étroite de la "course à l'IA" ? Alors qu'il pourrait y avoir plusieurs bonnes façons d'améliorer et de simplifier le GDPR, les changements proposés semblent souffrir d'une "vision tunnel" sur la possibilité de former et d'utiliser l'IA - même sur les données personnelles. Dans une étude récente, cependant, seuls 7 % des Allemands déclarent qu'ils souhaitent que Meta utilise leurs données personnelles pour former l'IA. Néanmoins, la réforme vise tous les éléments du GDPR qui pourraient limiter l'utilisation de l'IA.
Max Schrems : "Ce que ces changements semblent oublier, c'est que la plupart des traitements de données ne sont pas basés sur l'IA. Le changement potentiel qui "libérerait" l'IA aurait des conséquences inattendues considérables pour de nombreux autres domaines du GDPR. La protection des données relatives à la santé, aux minorités ou aux employés serait également supprimée dans ce projet. Des pans entiers du secteur de la publicité en ligne pourraient être en mesure de contourner les obligations du GDPR, en raison des changements envisagés"
La mort par 1000 coupes. Bien que de nombreux changements semblent techniques, les droits des personnes se cachent derrière chaque "définition" du GDPR. Les changements vont de la réduction de ce qui est considéré comme des "données à caractère personnel" et donc protégé, jusqu'à la limitation du "droit d'accès", de sorte que les employés, les journalistes ou les chercheurs ne pourraient plus accéder à leurs propres données. Les changements permettent également un accès plus souple pour "extraire" des données des smartphones, des PC ou des appareils connectés, ou autorisent largement les entreprises à utiliser les données personnelles des Européens pour l'entraînement (commercial) à l'IA. Alors que les entreprises affirment souvent que le GDPR serait un "fardeau", la réalité est que même pas 1,3 % de toutes les plaintes relatives au GDPR aboutissent à une amende. En Irlande , seules 0,6 % des amendes ont été payées jusqu'à présent.
Max Schrems :"Le projet prévoit de nombreux petits trous dans la loi, ce qui la rendrait globalement inutilisable dans la plupart des cas. Les lois européennes sur la protection de la vie privée ne sont déjà pratiquement pas appliquées. Avec ces changements, la plupart des affaires que nous gagnons actuellement seraient probablement perdues ou feraient l'objet de procédures encore plus complexes
En fait, les PME et les entreprises de l'UE n'en tireront aucun avantage. La raison officielle des "clarifications" et des "simplifications" via l'Omnibus était de limiter la charge administrative pesant sur les petites et moyennes entreprises (PME) dans l'UE. noyb soutient pleinement cet objectif. Cependant, les changements proposés concernent principalement les entreprises qui s'engagent dans la formation à l'IA - c'est-à-dire les entreprises qui sont maintenant évaluées en billions (comme OpenAI, Google, Meta, Amazon ou Microsoft). Bien que certaines clarifications puissent bénéficier aux PME, telles que les règles sur le moment où les "évaluations de l'impact de la protection des données" doivent être effectuées, elles n'auront pas d'impact plus important sur la compétitivité européenne.
Max Schrems :"Si ce projet est finalisé, il est clair que tout discours sur les "petites entreprises" et les "charges administratives" n'est qu'une mise en scène destinée à obtenir le soutien de l'opinion publique. Au fond, il s'agit d'une tentative de déréglementation massive, qui bouleverse 40 ans de doctrine européenne en matière de droits fondamentaux."
Appel à l'arrêt urgent et à l'élaboration d'une législation appropriée. Étant donné que cette proposition est criblée de problèmes et qu'elle entraînerait une grande incertitude juridique qui rendrait de nombreux changements susceptibles d'être attaqués (avec succès) devant la Cour de justice, cette approche "accélérée" pourrait n'être utile à personne - qu'il s'agisse de PME, d'autorités chargées de la protection des données ou d'utilisateurs. Les premières indications émanant du Parlement européen soulignent également que des changements de grande envergure bloqueraient clairement l'"Omnibus" au Parlement. Étant donné que la Commission a l'intention d'adopter d'autres éléments de l'Omnibus numérique aussi rapidement que possible, nous pensons qu'il n'y a pas d'autre solution que de retirer du projet la plupart des changements apportés au GDPR.
Max Schrems : "Tirer un "coup rapide" mal rédigé dans un domaine extrêmement complexe et sensible ne portera pas seulement préjudice aux utilisateurs, mais n'aidera pas non plus les entreprises de l'UE. Cela remet également en question le fait que cet Omnibus puisse être rapidement adopté par le Parlement européen et le Conseil. La Commission a encore une semaine pour décider du contenu de la proposition finale
Aperçu des changements
Le projet d'Omnibus numérique propose d'innombrables changements à de nombreux articles différents du GDPR. La combinaison de ces changements équivaut à une "mort par 1000 coupes". Nous avons fait un tour d'horizon des principaux changements. Pour une analyse juridique plus détaillée, téléchargez notre PDF de synthèse ici. Tous les changements énumérés ci-dessous sont basés sur nos meilleurs efforts pour comprendre les projets internes de la Commission. Certains éléments ne sont pas clairs et contradictoires dans le projet de texte et sont d'une qualité si médiocre que le sens et l'intention véritables des textes ne sont pas toujours clairs.
(1) Une nouvelle faille dans le GDPR via les "pseudonymes" ou les "ID" ? Il semble que la Commission envisage de restreindre considérablement la définition des "données à caractère personnel", ce qui aurait pour effet de rendre le GDPR inapplicable dans de nombreux cas. Le projet consiste à ajouter une "approche subjective" dans le texte du GDPR. Cela signifierait que si une entreprise spécifique ne peut pas identifier une personne, les données ne sont pas "personnelles" pour cette entreprise - et le GDPR cesse de s'appliquer.
En outre, le projet fait référence à des outils d'identification susceptibles d'être utilisés par chaque responsable de traitement. Cela nécessiterait des investigations supplémentaires et des prévisions sur le fonctionnement interne et les actions futures d'une entreprise spécifique pour savoir si une personne jouit toujours de ses droits en vertu du GDPR. Dans la pratique, cela rend le GDPR difficilement applicable et conduirait à des débats et des combats sans fin sur les véritables intentions et plans d'une entreprise.
Le projet peut au moins être lu comme abandonnant l'idée que les techniques visant à "singulariser" une personne sont toujours couvertes par la loi. Au lieu de cela, la formulation du projet laisse entrevoir une exemption générale du GDPR si les responsables du traitement utilisent simplement des "pseudonymes" (comme "user12473" ou les données d'un cookie de suivi) au lieu de noms. Cela signifierait que des secteurs industriels entiers qui sont jusqu'à présent couverts par le GDPR et qui opèrent via des "pseudonymes" ou des numéros d'identification aléatoires ne seraient plus (entièrement) couverts. Cela pourrait s'appliquer à la quasi-totalité du suivi en ligne, à la publicité en ligne et à la plupart des courtiers en données.
Ce changement s'écarterait également massivement de l'interprétation plutôt large de la Cour de justice (CJUE). Il existe une jurisprudence de plus de 20 ans qui soutient une interprétation large de ce que l'on entend par "données à caractère personnel".
Étant donné que le terme "données à caractère personnel" provient de l'article 8 de la Charte, il est très probable qu'une modification aussi profonde ne survivrait pas à l'examen de la CJUE.
(2) Le droit d'accès, d'effacement ou de rectification obtient la "limitation des finalités". Une modification massive (à la demande de l'Allemagne) consiste à limiter l'utilisation des droits des personnes concernées (comme l'accès aux données, la rectification ou l'effacement) aux seules "finalités de protection des données". Inversement, cela signifie que si un employé utilise une demande d'accès dans le cadre d'un conflit de travail portant sur des heures non rémunérées - par exemple, pour obtenir un relevé des heures qu'il a travaillées - l'employeur pourrait la rejeter comme étant "abusive". Il en va de même pour les journalistes ou les chercheurs.
D'une manière générale, cela pourrait même aller plus loin. Si une personne demande à supprimer de fausses données relatives à son classement de crédit pour obtenir un prêt moins cher à la banque, un tel "droit de rectification" de fausses informations financières ne peut être exercé uniquement pour une "finalité de protection des données", mais pour des raisons d'intérêt économique. Même des cas comme le fameux "droit à l'oubli" peuvent ne pas être considérés comme un "intérêt en matière de protection des données" si la personne qui demande la suppression de données publiques le fait dans un intérêt commercial.
Cette idée constitue une violation manifeste de la jurisprudence de la CJUE et de l'article 8, paragraphe 2, de la Charte. Le droit à l'autodétermination en matière d'information est explicitement destiné à combler le fossé entre les utilisateurs et les entreprises qui détiennent les informations, étant donné que de plus en plus d'informations sont cachées sur les serveurs des entreprises (par exemple, une copie des feuilles de présence). La CJUE a statué à plusieurs reprises que les Européens peuvent exercer ces droits à n'importe quelle fin, y compris dans le cadre d'un litige ou pour produire des preuves.
Le GDPR prévoit déjà des limitations pour l'utilisation "abusive" des droits GDPR (comme le refus d'accès aux données ou le paiement d'une redevance), mais la Commission souhaite maintenant limiter les raisons pour lesquelles ces droits peuvent être exercés.
(3) Google, Meta et OpenAI peuvent désormais former l'IA avec vos données. Le projet de la Commission prévoit également de modifier l'article 6, paragraphe 1, et l'article 9, paragraphe 2, du RGPD afin d'autoriser le traitement des données à caractère personnel pour l'IA. Cela signifie qu'une technologie à haut risque, alimentée par les pensées les plus personnelles et les données les plus sensibles des gens, reçoit un "OK" général en vertu du GDPR. Dans le même temps, toute base de données traditionnelle ou caméra de vidéosurveillance reste strictement réglementée.
Le projet de la Commission souligne la nécessité de "minimiser les données" (un principe qui s'applique déjà à l'article 5, paragraphe 1, point b), du GDPR) et exige la mise en place de "garanties" non définies. Toutefois, ces "garanties" ne sont assorties d'aucun repère ni d'aucune norme technique. La seule protection spécifique alléguée est un "droit d'opposition". Mais cette idée est vouée à l'échec dans la plupart des cas :
- Cela signifierait que les utilisateurs de l'UE devraient d'abord être informés que leurs données sont effectivement utilisées pour l'entraînement à l'IA, ce qui est largement impossible. Les entreprises comme OpenAI ne savent pas quelles données personnelles appartiennent à qui, et encore moins quelles sont leurs coordonnées. Les gens ne sauront donc jamais que leurs données personnelles sont utilisées en premier lieu
- Si les gens l'apprennent malgré tout, ils devront constamment s'opposer à toutes ces entreprises. Cela signifie qu'il faut trouver des centaines de contrôleurs, remplir des formulaires et répéter l'exercice pour tous ceux qui suivent individuellement la formation à l'IA
- Enfin, l'objection et les données pertinentes devraient être "rapprochées", bien que les utilisateurs ne sachent pas si leurs données sont utilisées et, le cas échéant, lesquelles. De son côté, le responsable du traitement sera le plus souvent dans l'incapacité de formuler une objection lorsque l'ensemble de l'internet est scrappé.
En résumé : Google, Meta, Microsoft ou OpenAI peuvent continuer à gagner des milliards ( !) avec des données générées par des entreprises, des artistes ou des particuliers européens, tout en bénéficiant d'un "laissez-passer" de la part du législateur européen.
(4) L'exploitation des systèmes d'IA bénéficie-t-elle d'un "joker GDPR" ? Les modifications apportées à l'article 6, paragraphe 1, et à l'article 9, paragraphe 2, du GDPR vont encore plus loin que prévu. Non seulement le développement de systèmes d'IA serait privilégié, mais aussi l'exploitation d'un système d'IA. Le terme "exploitation" n'est pas défini, mais il est probable qu'il couvre tout type de traitement de données.
Cela conduirait à une situation grotesque : Si des données à caractère personnel sont traitées via une base de données traditionnelle, une feuille Excel ou un logiciel, une entreprise doit trouver une base juridique en vertu de l'article 6, paragraphe 1, du RGPD. Toutefois, si le même traitement est effectué par un système d'intelligence artificielle, il peut être considéré comme un "intérêt légitime" au titre de l'article 6, paragraphe 1, point f), du GDPR. Cela reviendrait à privilégier une technologie (risquée) par rapport à toutes les autres formes de traitement des données et serait contraire à l'approche "neutre sur le plan technologique" du GDPR.
(5) Les données sensibles telles que la santé, la politique ou la vie sexuelle ne sont couvertes que si elles sont "directement révélées" ? L'article 9 du GDPR protège spécifiquement les données "sensibles" concernant la santé, les convictions politiques, la vie sexuelle, l'orientation sexuelle ou l'appartenance syndicale des personnes. Jusqu'à présent, la CJUE a estimé que ces informations étaient également protégées si elles ne pouvaient être déduites que d'autres informations. La Commission tente à présent de renverser la loi et souhaite limiter les protections de l'article 9 aux seules informations sensibles "directement révélées".
Toutefois, les personnes qui "révèlent directement" qu'elles sont enceintes, qu'elles ont un cancer ou qu'elles sont homosexuelles ont généralement moins besoin de cette protection que les personnes au sujet desquelles ces informations sensibles ne peuvent être que "déduites" d'autres informations. Un exemple classique est celui des employeurs qui utilisent les "big data" pour déduire qu'une femme est enceinte - pour ensuite la licencier rapidement afin d'éviter les paiements sociaux et autres. À l'heure actuelle, cette pratique relève de l'article 9 du GDPR. À l'avenir, il serait réduit aux protections prévues à l'article 6 du GDPR - tandis qu'une personne annonçant publiquement sa grossesse relèverait de l'article 9 du GDPR.
Du point de vue des individus, une telle limitation n'a pas de sens, mais la Commission semble principalement préoccupée par les entreprises qui souhaitent utiliser ces données pour l'entraînement à l'IA. Il est plus facile de filtrer les mots "je suis enceinte" que de filtrer les 1 000 signaux qui permettent à Meta ou à Google de déterminer qu'une personne est enceinte.
Cette modification serait contraire à l'article 6 de la Convention 108 du Conseil de l'Europe, qui reprend la formulation actuelle du GDPR ("révéler") et qui a été ratifiée par 55 pays.
(6) Extraire des données personnelles de votre appareil ? Jusqu'à présent, l'article 5, paragraphe 3, du règlement "vie privée et communications électroniques" protégeait les utilisateurs contre l'accès à distance aux données stockées sur des "équipements terminaux", tels que des ordinateurs ou des smartphones. Cette protection se fonde sur le droit à la protection des communications prévu à l'article 7 de la Charte et garantit que les entreprises ne peuvent pas "fouiller à distance" les appareils.
Toutefois, la proposition de la Commission autorise désormais - selon la lecture du projet - jusqu'à 10 ( !) bases juridiques pour extraire des informations d'un appareil personnel - ou placer des technologies de suivi sur votre appareil (telles que les "cookies"). Les quatre opérations de traitement "en liste blanche" pour l'accès aux équipements terminaux incluraient désormais les "statistiques agrégées" et les "finalités de sécurité". Bien que l'orientation générale des changements soit compréhensible, la formulation est extrêmement permissive et permettrait également des "recherches" excessives sur les appareils des utilisateurs à des fins de sécurité (minuscules).
En outre, toutes les bases juridiques visées à l'article 6, paragraphe 1, du RGPD seraient disponibles. En combinaison, cela pourrait conduire à des résultats absurdes : La formation à l'IA serait un "intérêt légitime", et les entreprises peuvent désormais accéder à distance aux données personnelles sur votre appareil pour un tel "intérêt légitime". Par conséquent, il serait possible d'interpréter la loi comme permettant à des entreprises telles que Google d'utiliser des données provenant de n'importe quelle application Android pour entraîner son IA Gemini. Les entreprises "Big Tech", en particulier, auraient très probablement une interprétation encore plus large du projet de texte. On peut se demander si les auteurs de ce projet de loi ont déjà pensé à ces combinaisons.
