Bruxelles envisage de revoir le RGPD en profondeur

Le RGPD est en vigueur depuis 2018 et constitue la colonne vertébrale de la protection des données en Europe. Sa force réside dans la cohérence des principes, l’ampleur des droits accordés aux citoyens et une jurisprudence solide construite depuis vingt ans. Mais un projet interne de la Commission européenne, révélé par noyb et son fondateur Max Schrems, ouvre un débat inattendu : Bruxelles envisagerait de réécrire plusieurs éléments centraux du texte.

Ce projet, baptisé « Digital Omnibus », vise officiellement à moderniser et simplifier la législation numérique européenne. Les documents internes consultés par noyb montrent toutefois des orientations bien plus profondes : redéfinition du périmètre des données personnelles, limitations explicites de certains droits des citoyens, assouplissement des fondements juridiques pour l’IA et élargissement des situations où un acteur pourrait accéder à un appareil personnel.

La redéfinition des données personnelles

Le point le plus sensible concerne la notion même de donnée personnelle. Le projet évoquerait l’exclusion de certaines formes d’informations pseudonymisées ou dérivées, pourtant reconnues comme personnelles par la Cour de justice de l’Union européenne depuis l’arrêt Breyer. Une telle modification retrancherait du champ du RGPD des informations aujourd’hui massivement exploitées par les grandes plateformes.

Plusieurs spécialistes du droit numérique, cités notamment par IAPP et Tech Policy Press, estiment qu’une telle révision reviendrait à annuler une large partie de la jurisprudence qui structure la protection européenne depuis deux décennies.

Les droits des citoyens sous pression

Dans la version qui circule, certains droits (accès, rectification, effacement) seraient « simplifiés », ce qui, selon noyb, se traduirait en pratique par une réduction des obligations des responsables de traitement. L’idée avancée par la Commission serait de limiter les « demandes excessives », mais les organisations de défense des libertés y voient un recul net du contrôle exercé par les individus sur leurs données.

L’IA largement exemptée

Le texte proposerait également d’élargir l’usage du fondement de l’« intérêt légitime » pour les traitements liés à l’intelligence artificielle. Les entreprises pourraient alors entraîner leurs modèles sur des données personnelles sans obtenir un consentement explicite, à condition de respecter certains garde-fous peu détaillés dans les documents internes.

Selon noyb, Google, Meta, Microsoft ou OpenAI seraient les principaux bénéficiaires de cette évolution : des milliards d’euros de valeur générés à partir de données issues des utilisateurs et entreprises européennes, avec une marge de manœuvre juridique élargie.

Le cas des données sensibles

Autre évolution majeure : les données sensibles (opinions politiques, santé, orientation sexuelle) ne seraient protégées que lorsqu’elles sont directement fournies par l’utilisateur. Les informations « déduites » ne le seraient plus systématiquement.
Or c’est précisément l’un des mécanismes les plus intrusifs des modèles actuels : inférer des préférences, opinions ou vulnérabilités à partir de comportements numériques.
Cette distinction inquiète fortement les autorités de protection des données, qui y voient une vulnérabilité structurelle.

L’accès aux appareils personnels

La partie la plus spectaculaire du document concerne l’accès aux terminaux personnels. Les textes évoquent une harmonisation des dix bases légales permettant déjà des formes d’accès ou de collecte. Dans sa lecture, noyb considère que cette réécriture revient à légitimer ces pratiques, en les rendant applicables dans un plus grand nombre de situations.
Les DPO y voient un risque clair : dès lors qu’une base légale peut être invoquée, l’accès à un téléphone ou un ordinateur devient théoriquement justifiable.

Un projet contesté avant même sa publication

La Commission doit présenter officiellement son « Digital Omnibus » courant novembre. Avant même cette publication, plusieurs acteurs institutionnels expriment des réserves. Le Comité européen de la protection des données (EDPB) et le Contrôleur européen (EDPS) ont rappelé dans des avis récents que la simplification ne doit jamais réduire les droits fondamentaux.

Plusieurs États membres, dont la France, se montrent prudents. L’Arcep cite dans sa revue de presse que des « inquiétudes croissantes » émergent sur l’opportunité de rouvrir un texte aussi structurant que le RGPD.

Pour les entreprises, ce que cela signifie

Si les propositions venaient à être reprises, elles changeraient effectivement les règles du jeu.
Mais un point reste constant : les organisations qui misent sur la transparence, la loyauté des traitements et la clarté de leurs politiques de confidentialité continueront de renforcer leur crédibilité. Les arbitrages actuels montrent que la conformité ne suffit plus : la confiance devient un avantage compétitif.

Sources utilisées

– noyb.eu, analyse du projet interne « Digital Omnibus » (Max Schrems)
– Tech Policy Press, articles d’analyse sur le recul potentiel du RGPD
– IAPP, premiers décryptages des propositions de la Commission
– TechRadar, perspectives sur les impacts pour l’IA
– Avis récents du EDPB et de l’EDPS sur les révisions envisagées
– Revue de presse de l’Arcep (novembre 2025)