La Commission européenne veut saboter les principes fondamentaux du RGPD malgré les vives critiques de la société civile, en publiant sa proposition de « règlement omnibus numérique », selon Noyb

Malgré les vives critiques de la société civile et d'une grande partie du Parlement européen, la Commission européenne a publié sa proposition de « Omnibus numérique (Digital Omnibus) ». Noyb affirme que contrairement à ce qu'affirme le communiqué de presse officiel de la Commission, ces modifications ne « maintiennent pas le plus haut niveau de protection des données à caractère personnel », mais réduisent considérablement la protection des Européens. Si elles n'apportent pratiquement aucun avantage réel aux petites et moyennes entreprises européennes, les modifications proposées sont un cadeau pour les grandes entreprises technologiques américaines, car elles ouvrent de nombreuses nouvelles brèches que leurs services juridiques pourront exploiter.

Un changement important se profile à l'horizon, puisque la Commission européenne a dévoilé des propositions ambitieuses visant à transformer la manière dont les préférences en matière de confidentialité numérique sont gérées, ce qui pourrait mettre fin au « cauchemar des cookies » omniprésent. La pierre angulaire de la nouvelle initiative de la Commission européenne est un changement fondamental dans la manière dont les utilisateurs gèrent leurs préférences en matière de cookies. Plutôt que d'être confrontés à des fenêtres contextuelles individuelles sur chaque site web visité au sein de l'UE, les réglementations proposées permettraient aux utilisateurs de définir leurs choix en matière de confidentialité directement dans leur navigateur web.

Cette réforme fait partie intégrante de l'« Omnibus numérique » plus large de l'UE, un ensemble complet de propositions visant à rationaliser le paysage réglementaire numérique européen. L'omnibus numérique présenté par la Commission propose de simplifier les règles existantes en matière d'intelligence artificielle, de cybersécurité et de données. Le paquet numérique présenté vise à améliorer l'accès aux données en tant que moteur clé de l'innovation. Il simplifie les règles relatives aux données et les rend plus pratiques pour les consommateurs et les entreprises

Cependant, selon Noyb, la Commission européenne veut saboter les principes fondamentaux du RGPD avec son "Omnibus numérique". Noyb est une ONG financée par des dons, basée à Vienne, en Autriche, qui œuvre pour faire respecter les lois sur la protection des données, en particulier le RGPD et la directive ePrivacy. À l'heure actuelle, une équipe de plus de 20 experts juridiques et informatiques de toute l'Europe s'efforce de garantir le respect du droit fondamental à la vie privée par le secteur privé. Noyb utilise des recours judiciaires ciblés et stratégiques pour faire respecter le droit à la vie privée des citoyens européens. En outre, ils ont recours à des initiatives de relations publiques et médiatiques.

En mai 2018, le règlement général sur la protection des données (RGPD) est entré en vigueur, établissant de nouveaux mécanismes d'application et inaugurant une nouvelle ère en matière de protection des données dans l'UE. Le règlement général sur la protection des données, abrégé RGPD, est un règlement de l'Union européenne sur la confidentialité des informations dans l'Union européenne (UE) et l'Espace économique européen (EEE). Le RGPD est un élément important du droit européen en matière de protection de la vie privée et des droits de l'homme. Il régit également le transfert de données à caractère personnel en dehors de l'UE et de l'EEE. Le RGPD a pour objectif de renforcer le contrôle et les droits des personnes sur leurs informations personnelles et de simplifier la réglementation applicable aux entreprises internationales.


Voici la première réaction de Noyb à la proposition "Omnibus nuémrique" de l'UE :

Omnibus numérique : la Commission européenne veut détruire les principes fondamentaux du RGPD

Malgré les vives critiques de la société civile et d'une grande partie du Parlement européen, la Commission européenne a publié sa proposition de « Omnibus numérique (Digital Omnibus) ». Contrairement à ce qu'affirme le communiqué de presse officiel de la Commission, ces modifications ne « maintiennent pas le plus haut niveau de protection des données à caractère personnel », mais réduisent considérablement la protection des Européens. Si elles n'apportent pratiquement aucun avantage réel aux petites et moyennes entreprises européennes, les modifications proposées sont un cadeau pour les grandes entreprises technologiques américaines, car elles ouvrent de nombreuses nouvelles brèches que leurs services juridiques pourront exploiter. Max Schrems déclare : « Il s'agit de la plus grande atteinte aux droits numériques des Européens depuis des années. Lorsque la Commission affirme qu'elle « maintient les normes les plus élevées », elle se trompe clairement. Elle propose de saper ces normes. »

La plus grande atteinte aux droits à la vie privée depuis des années. Les groupes de pression industriels ont réussi à exploiter la crainte européenne face à la pression économique mondiale pour réclamer des restrictions massives des droits numériques des Européens. Les changements brusques proposés aujourd'hui pourraient compromettre plus de 40 ans de position européenne claire contre la surveillance commerciale par des acteurs privés, telle qu'elle est également inscrite à l'article 8 de la Charte européenne des droits fondamentaux et largement soutenue par le public européen.

Max Schrems : « Le Digital Omnibus profiterait principalement aux grandes entreprises technologiques, sans apporter d'avantages tangibles aux entreprises européennes moyennes. Cette proposition de réforme est un signe de panique face à l'avenir numérique de l'Europe, et non un signe de leadership. Ce dont nous avons vraiment besoin, c'est d'un plan stratégique à long terme bien conçu pour faire avancer l'Europe. »

Peu de soutien politique pour les changements. La Commission européenne a sorti cette réforme du RGPD de son chapeau, alors que la plupart des États membres de l'UE avaient explicitement demandé de ne pas rouvrir le RGPD. En outre, les fuites de textes la semaine dernière ont suscité une forte opposition de la part des groupes du centre et de gauche du Parlement européen (S&D, Renew et Verts), qui ont explicitement appelé la Commission à mettre fin à ces coupes massives dans le RGPD. De plus, 127 organisations de la société civile (dont noyb) ont vivement critiqué l'initiative inattendue de la Commission et le texte divulgué.

Néanmoins, aujourd'hui, sous la direction de la présidente de la Commission Ursula von der Leyen, de la vice-présidente Henna Virkkunen et du commissaire à la justice Michael McGrath, la Commission a décidé de procéder à des coupes importantes dans le RGPD. Il est question d'une pression politique massive au sein de la Commission pour réduire les lois, sans processus ni analyse appropriés.

Max Schrems : « Le soutien politique à ces coupes est limité, tant de la part du public que des États membres et du Parlement européen. Il semble que la Commission européenne tente simplement de passer en force grâce à une procédure « accélérée », qui ressemble davantage à une réaction de panique qu'à une législation mûrement réfléchie et fondée sur des preuves. »

Contexte : influence allemande ou américaine ? L'Allemagne est l'un des moteurs de la réforme pour laquelle il existe des « preuves écrites ». Certaines voix soulignent également un récent article de Politico, selon lequel Virkkunen aurait déclaré lors de réunions directes avec des entreprises américaines que l'UE allait devenir plus « favorable aux entreprises ». D'autres rapports font état d'une pression croissante exercée par l'administration Trump sur l'UE pour qu'elle réduise ses mesures de protection afin d'éviter des droits de douane.

Si l'origine exacte de cette pression reste floue, il est clair que la Commission européenne a, de manière surprenante et secrète, largement dépassé le cadre du projet initial du « Digital Omnibus », qui n'aurait pas dû inclure de modifications du RGPD.

La Commission européenne « agit vite et casse tout ». Au lieu de s'en tenir au plan initial d'un « contrôle de l'adéquation numérique » en 2026 visant à réduire les charges administratives, la Commission européenne semble avoir suivi la devise de la Silicon Valley « agir vite et casser tout » pour faire passer des réformes sur les règles fondamentales dans le cadre d'une procédure « accélérée ». L'absence d'analyse d'impact ou de collecte de preuves jette par-dessus bord les principes établis de longue date en matière de normes minimales pour l'élaboration de la législation européenne et s'inscrit dans la lignée des changements erratiques à la « Trump ». Il en résulte une très mauvaise rédaction et une législation inadaptée à son objectif.

Max Schrems : « Ces changements ont été apportés sans suivre les procédures appropriées et ne reposent pas sur des preuves, mais plutôt sur la peur et les revendications de l'industrie. « Aller vite et casser les codes » n'est pas une devise qui fonctionne pour faire adopter une législation qui affecte non seulement la vie de 450 millions de personnes, mais aussi, en fin de compte, le bon fonctionnement de nos sociétés et de nos démocraties. »

« Vision étroite de l'IA ». La réforme proposée du RGPD semble viser principalement à supprimer tout obstacle susceptible de limiter l'utilisation des données à caractère personnel, telles que les données des réseaux sociaux, pour l'IA. Cependant, bon nombre de ces changements auraient des conséquences considérables pour la société dans d'autres domaines que l'IA, tels que la publicité en ligne.

Max Schrems : « L'intelligence artificielle est peut-être l'une des technologies les plus influentes et les plus dangereuses pour notre démocratie et notre société. Néanmoins, le discours sur la « course à l'IA » a conduit les politiciens à abandonner les protections qui auraient dû précisément nous empêcher de voir toutes nos données intégrées dans un grand algorithme opaque. »

Aucun avantage pour les PME européennes, mais une porte ouverte aux « grands ». Malgré les promesses fréquentes visant principalement à alléger la charge pesant sur les petites entreprises européennes, les modifications proposées sont tout sauf une simplification. La plupart des articles deviennent plus complexes, moins clairs et illogiques. Au lieu de s'efforcer de réduire les formalités administratives (qui constituent le principal problème pour les entreprises européennes), la Commission introduit des lacunes juridiques que seules les grandes entreprises et les grands cabinets d'avocats pourront exploiter.

Max Schrems : « Alors que la Commission ne cesse d'affirmer que cette réforme serait bénéfique pour les petites entreprises, celles-ci n'ont pas grand-chose à gagner de ces changements. Les modifications apportées à une législation bien établie ne feront qu'accroître la concentration du marché, susciter davantage d'incertitude juridique, générer de nouveaux procès et nécessiter des conseils juridiques plus coûteux. Les seuls véritables bénéficiaires ici sont les grandes entreprises technologiques et les cabinets d'avocats. »

Une mort à petit feu. Selon la consultation publique menée par la Commission en octobre, les aspects de la proposition liés à la protection des données auraient dû se concentrer principalement sur la lassitude suscitée par les « bannières de cookies ». Cependant, aujourd'hui, la Commission a présenté des modifications en profondeur du RGPD. Bon nombre de ces modifications semblent violer, ou du moins entrer en conflit avec, le droit à la protection des données prévu à l'article 8 de la Charte des droits fondamentaux de l'Union européenne.


Voici un premier aperçu des principaux problèmes selon Noyb :

(1) Une nouvelle faille dans le RGPD via les « pseudonymes » ou les « identifiants ». La Commission propose de restreindre considérablement la définition des « données à caractère personnel », ce qui aurait pour conséquence que le RGPD ne s'appliquerait plus à de nombreuses entreprises dans divers secteurs. Par exemple, les secteurs qui fonctionnent actuellement avec des « pseudonymes » ou des numéros d'identification aléatoires, tels que les courtiers en données ou l'industrie publicitaire, ne seraient plus (entièrement) couverts. Pour ce faire, une « approche subjective » serait ajoutée au texte du RGPD.

Au lieu d'avoir une définition objective des données à caractère personnel (par exemple, les données liées à une personne identifiable directement ou indirectement), une définition subjective signifierait que si une entreprise spécifique affirme qu'elle ne peut pas (encore) ou ne cherche pas (actuellement) à identifier une personne, le RGPD cesse de s'appliquer. Une telle décision au cas par cas est intrinsèquement plus complexe et tout sauf une « simplification ». Cela signifie également que les données peuvent être « personnelles » ou non en fonction de la réflexion interne d'une entreprise ou des circonstances dans lesquelles elle se trouve à un moment donné. Cela peut également rendre la coopération entre les entreprises plus complexe, car certaines seraient soumises au RGPD et d'autres non.

De plus, une définition aussi « subjective » empêche les utilisateurs ou les autorités de savoir si le RGPD s'applique dans chaque cas. Dans la pratique, cela peut rendre le RGPD difficilement applicable en raison des débats et des désaccords sans fin sur les véritables intentions et projets d'une entreprise.

Max Schrems : « C'est comme une loi sur les armes à feu qui ne s'applique aux armes à feu que lorsque le propriétaire confirme qu'il est capable de manier une arme à feu et qu'il a l'intention de tirer sur quelqu'un. Il est évident que de telles définitions subjectives sont absurdes. »

(2) Extraire des données personnelles de votre appareil ? Jusqu'à présent, l'article 5, paragraphe 3, de la directive « vie privée et communications électroniques » protégeait les utilisateurs contre l'accès à distance aux données stockées sur des « équipements terminaux », tels que les ordinateurs ou les smartphones. Cette protection repose sur le droit à la protection des communications prévu à l'article 7 de la Charte des droits fondamentaux de l'Union européenne et garantit que les entreprises ne peuvent pas « fouiller à distance » les appareils.

La Commission ajoute désormais des opérations de traitement « autorisées » pour l'accès aux équipements terminaux, qui incluraient les « statistiques agrégées » et les « fins de sécurité ». Si l'orientation générale des changements est compréhensible, la formulation est extrêmement permissive et permettrait également des « recherches » excessives sur les appareils des utilisateurs à des fins (minimes) de sécurité.

(3) Formation de l'IA de Meta ou Google avec les données personnelles de l'UE ? Lorsque Meta ou LinkedIn ont commencé à utiliser les données des réseaux sociaux, cela a été très mal accueilli. Dans une étude récente, par exemple, seuls 7 % des Allemands déclarent vouloir que Meta utilise leurs données personnelles pour former l'IA. Néanmoins, la Commission souhaite désormais autoriser l'utilisation de données hautement personnelles (comme le contenu de plus de 15 ans d'un profil sur les réseaux sociaux) pour la formation de l'IA par les grandes entreprises technologiques.

Max Schrems : « Il n'y a absolument aucun soutien public pour que Meta ou Google intègrent les données personnelles des Européens dans leurs algorithmes. Pendant des années, on nous a dit que les gens ne devaient pas s'inquiéter, car nos données personnelles seraient utilisées pour nous « connecter » ou, au mieux, pour cibler certaines...