{"id":638,"date":"2025-11-25T18:47:05","date_gmt":"2025-11-25T17:47:05","guid":{"rendered":"https:\/\/www.julienrossi.com\/blog\/?p=638"},"modified":"2025-12-12T10:39:10","modified_gmt":"2025-12-12T09:39:10","slug":"digital-omnibus-un-danger-grave-pour-les-droits-fondamentaux-mais-aussi-pour-la-competitivite-des-entreprises-europeennes","status":"publish","type":"post","link":"http:\/\/www.julienrossi.com\/blog\/2025\/11\/25\/digital-omnibus-un-danger-grave-pour-les-droits-fondamentaux-mais-aussi-pour-la-competitivite-des-entreprises-europeennes\/","title":{"rendered":"Digital Omnibus\u00a0: un danger grave pour les droits fondamentaux, mais aussi pour la comp\u00e9titivit\u00e9 des entreprises europ\u00e9ennes"},"content":{"rendered":"\n<p>L\u2019Union europ\u00e9enne a peur. Pas seulement \u2013 \u00e0 raison \u2013 des vell\u00e9it\u00e9s imp\u00e9rialistes russes, mais aussi peur d\u2019un d\u00e9classement dans la course \u00e0 l\u2019IA. Or, selon Mario Draghi, auteur d\u2019un rapport souvent cit\u00e9 sur l\u2019avenir de l\u2019\u00e9conomie europ\u00e9enne paru le 9 septembre 2024, si l\u2019Europe n\u2019a pas (ou peu) de \u00ab\u00a0champions\u00a0\u00bb en mati\u00e8re d\u2019IA, ce serait \u00e0 cause d\u2019un environnement juridique qui ne favoriserait pas la croissance. Il est vrai que, depuis 2019, nous avons assist\u00e9 \u00e0 un empilement impressionnants de textes visant \u00e0 r\u00e9glementer le fonctionnement de l\u2019\u00e9conomie dite num\u00e9rique, g\u00e9n\u00e9ralement connus sous leur nom anglais\u00a0: Digital Operational Resilience Act, Data Act, Data Governance Act, Digital Services Act, Digital Markets Act, NIS2, eIDAS 2, AI Act\u2026 autant de textes qui s\u2019additionnent sans qu\u2019il y ait parfois de grande coh\u00e9rence entre eux. Cela a deux effets\u00a0: d\u2019une part, la multiplication d\u2019obligations qui, selon la logique de <em>compliance<\/em><span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_1\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_1');\" >[1]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_1\" class=\"footnote_tooltip\" >Favro, Karine. 2017. \u2018La d\u00e9marche de compliance ou la mise en \u0153uvre d\u2019une approche invers\u00e9e\u2019. <em>LEGICOM<\/em> N\u00b0 59(2): 21\u201328.<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_1').tooltip({ tip: '#footnote_plugin_tooltip_text_638_1', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, imposent de co\u00fbteuses op\u00e9rations d\u2019audit, certification et contr\u00f4les internes et externes, mais aussi des risques de redondance d\u00e9nonc\u00e9es par une part de l&#8217;industrie et qui ont fait l\u2019objet d\u2019\u00e9tudes command\u00e9es par les institutions de l\u2019Union pour ce qui concerne la r\u00e9glementation de l\u2019IA<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_2\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_2');\" >[2]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_2\" class=\"footnote_tooltip\" >Graux, Hans, Krzysztof Garstka, Nayana Murali, Jonathan Cave, and Maarten Botterman. 2025. <em>Interplay between the AI Act and the EU Digital Legislative Framework<\/em>. Strasbourg: Parlement europ\u00e9en.<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_2').tooltip({ tip: '#footnote_plugin_tooltip_text_638_2', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>. Pour autant, le retard que l\u2019Europe aurait pris en la mati\u00e8re peut au moins tout autant s\u2019expliquer par le cadre r\u00e9glementaire \u2013 qui n\u2019est pas inexistant aux \u00c9tats-Unis<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_3\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_3');\" >[3]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_3\" class=\"footnote_tooltip\" >Voir\u00a0: Wendehorst, Christiane, Kyoko Yoshinaga, Alain Strowel, and Sebastian Schwamberger. 2024. Co-Generation of Data Copyright and Data Protection Rights in Co-Generated Input and Output of&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_3');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_3').tooltip({ tip: '#footnote_plugin_tooltip_text_638_3', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, et encore moins en Chine <span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_4\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_4');\" >[4]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_4\" class=\"footnote_tooltip\" >Yang, Liping, Yiling Lin, and Bing Chen. 2024. \u2018Practice and Prospect of Regulating Personal Data Protection in China\u2019. <em>Laws<\/em> 13(6): 78.<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_4').tooltip({ tip: '#footnote_plugin_tooltip_text_638_4', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>\u00a0! &#8211; mais peut-\u00eatre aussi et surtout par notre incapacit\u00e9 chronique \u00e0 investir \u00e0 long-terme dans la recherche \u00e0 hauteur des 12 milliards de dollars de pertes accumul\u00e9es par OpenAI en un trimestre<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_5\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_5');\" >[5]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_5\" class=\"footnote_tooltip\" >Brown, Eliot. 2025. \u00ab\u00a0OpenAI Made a $12 Billion Loss Last Quarter, Microsoft Results Indicate\u00a0\u00bb, The Wall Street Journal. Voir ici\u00a0:&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_5');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_5').tooltip({ tip: '#footnote_plugin_tooltip_text_638_5', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>. Mais prenons la Commission au mot\u00a0; les Digital Omnibos (si l\u2019on d\u00e9cline le nom anglo-latin donn\u00e9 \u00e0 ces textes) apportent-ils simplification et maintien d\u2019un niveau de protection des droits et libert\u00e9s identique \u00e0 l\u2019\u00e9tat actuel du droit\u00a0?<\/p>\n\n\n\n<p>Le 21 mai, la Commission avait d\u00e9j\u00e0 propos\u00e9 une petite r\u00e9forme du RGPD<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_6\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_6');\" >[6]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_6\" class=\"footnote_tooltip\" >Voir&nbsp;: https:\/\/single-market-economy.ec.europa.eu\/document\/download\/d88a75de-b620-4d8b-b85b-1656a9ba6b8a_en?filename=Proposal%20for%20a%20Regulation%20-%20Small%20mid-caps.pdf<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_6').tooltip({ tip: '#footnote_plugin_tooltip_text_638_6', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>&nbsp;; il s\u2019agissait alors d\u2019\u00e9tendre \u00e0 un plus grand nombre de PME le droit de ne pas avoir \u00e0 tenir de registre de traitements de leurs donn\u00e9es \u00e0 caract\u00e8re personnel. Sauf dans les cas o\u00f9 l\u2019entreprise proc\u00e8de \u00e0 des traitements qui engendrent un risque pour les personnes concern\u00e9es, ce qui l\u2019obligera tout de m\u00eame \u00e0 se poser la question, et qui ne l\u2019exemptera pas de toutes les autres obligations.<\/p>\n\n\n\n<p>Le 19 novembre 2025, la Commission europ\u00e9enne publiait cependant trois propositions de r\u00e8glements qui vont beaucoup plus loin&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>le \u00ab&nbsp;Digital Omnibus<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_7\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_7');\" >[7]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_7\" class=\"footnote_tooltip\" >https:\/\/eur-lex.europa.eu\/procedure\/EN\/2025_360<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_7').tooltip({ tip: '#footnote_plugin_tooltip_text_638_7', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>&nbsp;\u00bb&nbsp;;<\/li>\n\n\n\n<li>le \u00ab&nbsp;Digital Omnibus IA<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_8\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_8');\" >[8]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_8\" class=\"footnote_tooltip\" >https:\/\/eur-lex.europa.eu\/procedure\/EN\/2025_359<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_8').tooltip({ tip: '#footnote_plugin_tooltip_text_638_8', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>&nbsp;\u00bb&nbsp;;<\/li>\n\n\n\n<li>et un projet de r\u00e8glement sur les portefeuilles num\u00e9riques pour les entreprises (Business Wallet<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_9\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_9');\" >[9]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_9\" class=\"footnote_tooltip\" >https:\/\/eur-lex.europa.eu\/procedure\/EN\/2025_358<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_9').tooltip({ tip: '#footnote_plugin_tooltip_text_638_9', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>).<\/li>\n<\/ul>\n\n\n\n<p>Je n\u2019aborderai pas ici la troisi\u00e8me proposition, qui fait l\u2019objet d\u2019un suivi et d\u2019une \u00e9tude par la chaire Valeurs et politiques des informations personnelles<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_10\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_10');\" >[10]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_10\" class=\"footnote_tooltip\" >https:\/\/cvpip.wp.imt.fr\/accueil\/<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_10').tooltip({ tip: '#footnote_plugin_tooltip_text_638_10', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>. La seconde concerne essentiellement un report de l\u2019entr\u00e9e en application des dispositions du r\u00e8glement sur l\u2019IA qui concernent les syst\u00e8mes d\u2019IA certes \u00e0 hauts risques, mais pas interdits. Ce report est pr\u00e9sent\u00e9 comme la cons\u00e9quence du retard \u2013 pas franchement surprenant \u2013 pris par la standardisation en mati\u00e8re d\u2019IA. Il n\u2019est cependant pas pr\u00e9vu de simplifier le syst\u00e8me horriblement complexe de supervision du respect des dispositions de ce r\u00e8glement, dont le fantastique sch\u00e9ma reproduit ci-dessous concerne seulement les autorit\u00e9s que la France envisage de d\u00e9signer \u00e0 ce titre, et pas toutes celles qui seront impliqu\u00e9es \u00e0 l\u2019\u00e9chelle de l\u2019UE, et oublie aussi de rappeler le r\u00f4le que les autorit\u00e9s de protection des donn\u00e9es continueront \u00e0 avoir compte tenu de leur comp\u00e9tence d\u00e8s qu\u2019un syst\u00e8me d\u2019IA traite des donn\u00e9es \u00e0 caract\u00e8re personnel\u00a0:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"707\" src=\"https:\/\/www.julienrossi.com\/blog\/wp-content\/uploads\/2025\/11\/schema-gouvernance-autorites-surveillance-marche-IA-1024x707.png\" alt=\"\" class=\"wp-image-640\" srcset=\"http:\/\/www.julienrossi.com\/blog\/wp-content\/uploads\/2025\/11\/schema-gouvernance-autorites-surveillance-marche-IA-1024x707.png 1024w, http:\/\/www.julienrossi.com\/blog\/wp-content\/uploads\/2025\/11\/schema-gouvernance-autorites-surveillance-marche-IA-300x207.png 300w, http:\/\/www.julienrossi.com\/blog\/wp-content\/uploads\/2025\/11\/schema-gouvernance-autorites-surveillance-marche-IA-768x530.png 768w, http:\/\/www.julienrossi.com\/blog\/wp-content\/uploads\/2025\/11\/schema-gouvernance-autorites-surveillance-marche-IA-1536x1061.png 1536w, http:\/\/www.julienrossi.com\/blog\/wp-content\/uploads\/2025\/11\/schema-gouvernance-autorites-surveillance-marche-IA.png 1587w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p> <em>Source&nbsp;: https:\/\/www.entreprises.gouv.fr\/priorites-et-actions\/transition-numerique\/soutenir-le-developpement-de-lia-au-service-de-0<\/em><\/p>\n\n\n\n<p>Il y aurait certainement encore beaucoup \u00e0 dire sur le co\u00fbt de la conformit\u00e9 \u00e0 un r\u00e8glement IA qui ne cr\u00e9e m\u00eame pas de droits nouveaux pour les personnes concern\u00e9es, et dont plusieurs dispositions recoupent des obligations d\u00e9j\u00e0 pr\u00e9sentes dans le RGPD. Bref, \u00e0 chaud, rien de bien inqui\u00e9tant pour les droits et libert\u00e9s \u2013 puisque l\u2019IA Act n\u2019offrait pas vraiment de nouveaux droits subjectifs \u2013 mais, \u00e0 terme, un simple report d\u2019un cadre r\u00e9glementaire complexe, confus, et vraisemblablement co\u00fbteux.<\/p>\n\n\n\n<p>Examinons maintenant le Digital Omnibus simple (pas celui IA) (car oui, pourquoi faire simple quand il s&#8217;agit de simplifier quand on peut simplifier en complexifiant ?). Il vise \u00e0 r\u00e9former plusieurs r\u00e8glements\u00a0: la directive 2002\/58\/CE (directive ePrivacy), le r\u00e8glement 2016\/679 (R\u00e8glement g\u00e9n\u00e9ral de protection des donn\u00e9es \u2013 RGPD), le r\u00e8glement 2018\/1724 \u00e9tablissant un portail num\u00e9rique unique pour donner acc\u00e8s \u00e0 des informations, \u00e0 des proc\u00e9dures et \u00e0 des services d\u2019assistance et de r\u00e9solution de probl\u00e8mes, le r\u00e8glement 2018\/1725 (r\u00e8glement EDPS sur le protection des donn\u00e9es par les institutions de l\u2019Union), la directive 2019\/1024 (Open Data), le r\u00e8glement 2022\/868 (Data Governance Act), la directive 2022\/2555 (NIS2), la directive 2022\/2557 sur la r\u00e9silience des entit\u00e9s critiques et le r\u00e8glement 2023\/2854 (Data Act). Les textes suivants sont abrog\u00e9s, certaines dispositions \u00e9tant reprises dans d\u2019autres\u00a0: le r\u00e8glement 2018\/1807 (Free Flow of Non-Personal Data Regulation), le r\u00e8glement 2019\/1024 concernant les donn\u00e9es ouvertes et la r\u00e9utilisation des informations du secteur public, le r\u00e8glement 2019\/1150 promouvant l\u2019\u00e9quit\u00e9 et la transparence pour les entreprises utilisatrices de services d\u2019interm\u00e9diation en ligne (Platform to Business), et le r\u00e8glement 2022\/868 (Data Governance Act). Tout un programme men\u00e9 tambour battant et sans \u00e9valuation d\u2019impacts, souvent sur des textes r\u00e9cents, pour r\u00e9pondre, en th\u00e9orie \u00e0 un besoin de simplification, mais qui demandera certainement de poursuivre un effort consid\u00e9rable de la part de tous les destinataires de ces textes pour se tenir \u00e0 jour de ce chamboulement.<\/p>\n\n\n\n<p>Il est toujours p\u00e9rilleux de r\u00e9agir \u00e0 chaud, surtout que rien que le Digital Omnibus fait 153 pages en anglais. Mais compte tenu des enjeux, je me permets ici une premi\u00e8re analyse des changements envisag\u00e9s pour ce qui concerne le droit des donn\u00e9es personnelles. Ceux-ci sont assez importants\u00a0; mais il reste encore de nombreuses interrogations.<\/p>\n\n\n\n<p><strong>La Commission veut s\u2019arroger le pouvoir de restreindre \u00e0 sa guise le champ d\u2019application du RGPD<\/strong><\/p>\n\n\n\n<p>En 2016, le l\u00e9gislateur europ\u00e9en a int\u00e9gr\u00e9 au droit des donn\u00e9es personnelles une nouvelle notion\u00a0: celle de \u00ab\u00a0pseudonymisation\u00a0\u00bb, d\u00e9finie \u00e0 comme \u00ab\u00a0le traitement de donn\u00e9es \u00e0 caract\u00e8re personnel de telle fa\u00e7on que celles-ci ne puissent plus \u00eatre attribu\u00e9es \u00e0 une personne concern\u00e9e pr\u00e9cise sans avoir recours \u00e0 des informations suppl\u00e9mentaires [\u2026]\u00a0\u00bb (art. 4 (5) du RGPD). Cela permettait \u00e0 la fois d\u2019int\u00e9grer un encouragement \u00e0 pseudonymiser les donn\u00e9es dans la mesure du possible, tout en rappelant qu\u2019elles sont toujours susceptibles d\u2019\u00eatre plus ou moins facilement r\u00e9-identifi\u00e9es. Or, les groupes d\u2019int\u00e9r\u00eats industriels avaient tr\u00e8s t\u00f4t exprim\u00e9 leur souhait de voir retirer dans la d\u00e9finition des donn\u00e9es personnelles toutes les donn\u00e9es indirectement identifiantes. C\u2019est pratique\u00a0: on peut conna\u00eetre la date de naissance d\u2019une personne, toutes ses donn\u00e9es de g\u00e9olocalisation, peut-\u00eatre ses habitudes d\u2019achat\u2026 et donc \u00eatre capable de la cibler, et de l\u2019identifier avec des efforts parfois tr\u00e8s minimaux<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_11\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_11');\" >[11]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_11\" class=\"footnote_tooltip\" >Voir les travaux du LINC, le labo de la CNIL, \u00e0 ce sujet\u00a0: https:\/\/linc.cnil.fr\/geo-trouve-tous-la-reidentification-des-donnees-de-la-theorie-au-cas-pratique<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_11').tooltip({ tip: '#footnote_plugin_tooltip_text_638_11', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, mais on s\u2019\u00e9vite d\u2019avoir \u00e0 respecter la moindre r\u00e8gle. C\u2019est tr\u00e8s dangereux. En effet, cela voudrait dire que l\u2019on pourrait librement faire commerce, sans mesure particuli\u00e8re de s\u00e9curit\u00e9, de donn\u00e9es de g\u00e9olocalisation qui r\u00e9v\u00e8lent par exemple les adresses personnelles des gens fr\u00e9quentant tel ou tel lieu de culte. En d\u2019autres termes, cela veut dire que l\u2019on l\u00e9galise le commerce de liste de Juifs, de Chr\u00e9tiens ou de Musulmans\u2026 mais attention, les courtiers qui vendent ces donn\u00e9es n\u2019auraient aucune r\u00e8gle \u00e0 respecter\u00a0! Absurde et dangereux, et d\u2019ailleurs, le RGPD, tel qu\u2019adopt\u00e9 en 2016, pr\u00e9cise bien qu\u2019il s\u2019applique aussi aux donn\u00e9es pseudonymes.<\/p>\n\n\n\n<p>L\u2019article 3 (1) de Digital Omnibus propose d\u2019ajouter les lignes suivantes \u00e0 la d\u00e9finition des donn\u00e9es \u00e0 caract\u00e8re personnel&nbsp;:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u00ab&nbsp;Information relating to a natural person is not necessarily personal data for every other person or entity, merely because another entity can identify that natural person. Information shall not be personal for a given entity where that entity cannot identify the natural person to whom the information relates, taking into account the means reasonably likely to be used by that entity. Such information does not become personal for that entity merely because a potential subsequent recipient has means reasonably likely to be used to identify the natural person to whom the information relates.\u2019&nbsp;\u00bb<\/p>\n<\/blockquote>\n\n\n\n<p>Selon la Commission europ\u00e9enne, il ne s\u2019agirait que de la codification de la jurisprudence de la Cour de justice de l\u2019Union europ\u00e9enne. En septembre 2025<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_12\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_12');\" >[12]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_12\" class=\"footnote_tooltip\" >CJUE 4 septembre 2025. CEPD contre SRB. Aff. C-413\/23 P<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_12').tooltip({ tip: '#footnote_plugin_tooltip_text_638_12', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, elle a en effet que \u00ab&nbsp;la perspective pertinente pour appr\u00e9cier le caract\u00e8re identifiable de la personne concern\u00e9e d\u00e9pend essentiellement des circonstances caract\u00e9risant le traitement des donn\u00e9es dans chaque cas particulier.&nbsp;\u00bb Mais tout ceci n\u2019est que la continuit\u00e9 d\u2019un arr\u00eat de 2016<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_13\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_13');\" >[13]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_13\" class=\"footnote_tooltip\" >CJUE 19 octobre 2016. Breyer. Aff. C-582\/14<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_13').tooltip({ tip: '#footnote_plugin_tooltip_text_638_13', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, dans lequel il avait \u00e9t\u00e9 jug\u00e9 que&nbsp;:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u00ab&nbsp;[\u2026] une adresse de protocole Internet dynamique enregistr\u00e9e par un fournisseur de services de m\u00e9dias en ligne \u00e0 l\u2019occasion de la consultation par une personne d\u2019un site Internet que ce fournisseur rend accessible au public constitue, \u00e0 l\u2019\u00e9gard dudit fournisseur, une donn\u00e9e \u00e0 caract\u00e8re personnel au sens de cette disposition, lorsqu\u2019il dispose de moyens l\u00e9gaux lui permettant de faire identifier la personne concern\u00e9e gr\u00e2ce aux informations suppl\u00e9mentaires dont dispose le fournisseur d\u2019acc\u00e8s \u00e0 Internet de cette personne.&nbsp;\u00bb<\/p>\n<\/blockquote>\n\n\n\n<p>Sauf qu\u2019op\u00e9rationnellement, cela ne change pas grand-chose. Reprenons cet exemple des adresses IP. Certaines sont statiques, et li\u00e9es \u00e0 un abonn\u00e9 qui est une personne physique, d\u2019autres sont dynamiques, et difficiles \u00e0 r\u00e9-identifier sans croisement avec des donn\u00e9es d\u00e9tenues par les fournisseurs d\u2019acc\u00e8s \u00e0 Internet<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_14\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_14');\" >[14]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_14\" class=\"footnote_tooltip\" >Les FAI qui participent en France au service Utiq fournissent d\u2019ailleurs bien volontiers ces donn\u00e9es<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_14').tooltip({ tip: '#footnote_plugin_tooltip_text_638_14', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, d\u2019autres enfin sont des IP de sortie derri\u00e8re lesquelles se trouvent de milliers d\u2019utilisateurs\u2026 mais reste qu\u2019il est plus facile et moins co\u00fbteux de consid\u00e9rer que toutes les informations li\u00e9es \u00e0 des adresses IP sont personnelles, plut\u00f4t que d\u2019essayer de distinguer ce qui l\u2019est de ce qui ne l\u2019est pas. De toutes fa\u00e7ons, ce n\u2019est pas parce qu\u2019une donn\u00e9e est \u00e0 caract\u00e8re personnel qu\u2019il est interdit de la traiter, tant qu\u2019on proc\u00e8de \u00e0 un traitement licite.<\/p>\n\n\n\n<p>Une autre difficult\u00e9 op\u00e9rationnelle soulev\u00e9e par cette d\u00e9finition est que, pour pouvoir d\u00e9cider que le RGPD ne s\u2019applique pas \u00e0 une situation donn\u00e9e, il faut \u00e9valuer si \u00ab&nbsp;l\u2019entit\u00e9&nbsp;\u00bb dispose des \u00ab&nbsp;moyens raisonnables&nbsp;\u00bb pour identifier les personnes physiques pr\u00e9sentes dans le jeu de donn\u00e9es, ou pas. Tout un programme&nbsp;! D\u2019autant que ces \u00ab&nbsp;moyens raisonnables&nbsp;\u00bb peuvent varier au cours du temps. Il faudrait donc suivre constamment, au sein de l\u2019entit\u00e9, quels jeux de donn\u00e9es sont susceptibles, \u00e0 un moment donn\u00e9, de basculer de \u00ab&nbsp;pas-RGPD&nbsp;\u00bb \u00e0 \u00ab&nbsp;RGPD&nbsp;\u00bb. Simplification&nbsp;? Pas s\u00fbr.<\/p>\n\n\n\n<p>Plus \u00e9tonnant encore, cette d\u00e9finition parle \u00ab\u00a0d\u2019entit\u00e9s\u00a0\u00bb. Qui sont-elles\u00a0? Le RGPD, jusqu\u2019ici, connaissait trois cat\u00e9gories de personnes sujettes de droits ou de devoirs\u00a0: les \u00ab\u00a0personnes concern\u00e9es\u00a0\u00bb (qui ont des droits) d\u2019une part, et les \u00ab\u00a0responsables du traitement\u00a0\u00bb et \u00ab\u00a0sous-traitants\u00a0\u00bb d\u2019autre part. L\u00e0, on ne sait pas bien qui sont ces \u00ab\u00a0entit\u00e9s\u00a0\u00bb. C\u2019est d\u2019autant plus complexe \u00e0 comprendre et appr\u00e9hender que toute personne ayant un tout petit peu fait de conformit\u00e9 RGPD sait qu\u2019il existe en pratique un grand nombre de situations de responsabilit\u00e9 conjointe, o\u00f9 plusieurs \u00ab\u00a0entit\u00e9s\u00a0\u00bb d\u00e9terminent les modalit\u00e9s et finalit\u00e9s d\u2019un traitement. D\u2019ailleurs, l\u2019extension tr\u00e8s large de la notion de responsabilit\u00e9 conjointe avait fait l\u2019objet d\u2019interrogations et de critiques<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_15\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_15');\" >[15]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_15\" class=\"footnote_tooltip\" >Millard, Christopher, Christopher Kuner, Fred H. Cate, Orla Lynskey, Nora Ni Loideain, and Dan Jerker B. Svantesson. 2019. \u2018At This Rate, Everyone Will Be a [Joint] Controller of Personal Data!\u2019&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_15');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_15').tooltip({ tip: '#footnote_plugin_tooltip_text_638_15', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script> et on aurait pu attendre de la simplification, ou au moins de la clarification, de ce c\u00f4t\u00e9-l\u00e0. Justement, pour \u00e9viter aux PME qui n\u2019ont pas le choix des solutions logicielles qui leur sont impos\u00e9es de se retrouver comptables des b\u00eatises faites par ces g\u00e9ants du num\u00e9rique auxquels elles sont pieds et poings li\u00e9s\u2026 mais je m\u2019\u00e9gare. La relation de cette digression \u00e0 la nouvelle proposition de d\u00e9finition de la notion de donn\u00e9e personnelle, c\u2019est qu\u2019en pratique, les traitements sont r\u00e9alis\u00e9s conjointement par plusieurs \u00ab\u00a0entit\u00e9s\u00a0\u00bb qui, ensemble, sont capables d\u2019identifier les personnes dans leurs jeux de donn\u00e9es, m\u00eame si chacune s\u00e9par\u00e9ment ne le pourrait peut-\u00eatre pas toujours. Dans ces situations, avec la nouvelle d\u00e9finition\u00a0: donn\u00e9e personnelle, ou pas\u00a0? Pas clair. Donc\u00a0: complexe. Il va falloir payer des consultants et des avocats pour y r\u00e9fl\u00e9chir. Puis, il y aura du contentieux en cas de probl\u00e8me. Peut-\u00eatre un march\u00e9 \u00e0 conqu\u00e9rir pour les LegalTech, pas s\u00fbr que le reste de l&#8217;industrie appr\u00e9cie tant que \u00e7a&#8230;<\/p>\n\n\n\n<p>Il serait \u00e9galement illusoire d\u2019imaginer que cette nouvelle prose ajout\u00e9e \u00e0 la d\u00e9finition de la notion de donn\u00e9e \u00e0 caract\u00e8re personnel serait neutre pour les droits et libert\u00e9s. En effet, m\u00eame si, comme je le disais, op\u00e9rationnellement, cela ne concernerait qu\u2019un tr\u00e8s petit nombre de jeux de donn\u00e9es r\u00e9els, beaucoup de ces myst\u00e9rieuses \u00ab\u00a0entit\u00e9s\u00a0\u00bb, et peut-\u00eatre m\u00eame la majorit\u00e9 des responsables du traitement dont les op\u00e9rations sont susceptibles d\u2019\u00eatre contest\u00e9es, vont essayer de s\u2019y appuyer pour essayer d\u2019\u00e9chapper \u00e0 toute responsabilit\u00e9. Alors, derechef, il y aura du contentieux. Les juridictions, d\u00e9j\u00e0 bien engorg\u00e9es, appr\u00e9cieront. Surtout si cela entra\u00eene un report de celui-ci du droit public ou du droit civil des donn\u00e9es personnelles, pour se reporter sur le droit p\u00e9nal. Lequel existe (m\u00eame si on l\u2019oublie), pr\u00e9voit des peines th\u00e9oriques \u00e9lev\u00e9es (en tout cas en France), ne rel\u00e8ve pas du droit de l\u2019Union, et devrait en toute logique, dans son interpr\u00e9tation, tenir compte de la d\u00e9finition de la notion de donn\u00e9e personnelle que l\u2019on trouve dans une convention internationale ratifi\u00e9e par tous les \u00c9tats de l\u2019Espace \u00e9conomique europ\u00e9en\u00a0: la Convention 108. Bref\u00a0: mauvais pour les droits\u00a0; nul pour la s\u00e9curit\u00e9 juridique (y compris des patrons et patronnes de PME\/TPE concern\u00e9\u22c5es) et la coh\u00e9rence g\u00e9n\u00e9rale du droit des donn\u00e9es personnelles.<\/p>\n\n\n\n<p>Mais il y a encore bien pire. Car la Commission europ\u00e9enne esp\u00e8re, par l\u2019ajout d\u2019un article 41(a) dans le RGPD, s\u2019arroger le droit de dire dans quelles situations une donn\u00e9e pseudonymis\u00e9e n\u2019est plus personnelle \u00ab&nbsp;pour certaines entit\u00e9s&nbsp;\u00bb. En clair&nbsp;: elle souhaite s\u2019arroger le pouvoir du l\u00e9gislateur pour modifier \u00e0 sa guise le champ d\u2019application d\u2019un r\u00e8glement qui sert \u00e0 garantir le respect d\u2019un droit garanti par la Charte des droits fondamentaux de l\u2019Union europ\u00e9enne. C\u2019est peut-\u00eatre l\u00e0 l\u2019une des dispositions les plus dangereuses du Digital Omnibus. La seconde s\u00e9rie de dispositions vraiment choquantes concernent les droits des personnes concern\u00e9es, que la Commission veut vider de sa substance.<\/p>\n\n\n\n<p><strong>Une atteinte grave aux droits des personnes concern\u00e9es\u2026 sans simplification notable&nbsp;?<\/strong><\/p>\n\n\n\n<p>Depuis qu\u2019il existe un droit des donn\u00e9es personnelles, invent\u00e9 par le Land de Hesse en 1970, un des piliers de celui-ci est de reconna\u00eetre \u00e0 chaque personne physique des droits au regard des donn\u00e9es qui sont trait\u00e9es \u00e0 son sujet&nbsp;: droit d\u2019en \u00eatre inform\u00e9, d\u2019y acc\u00e9der, de demander la rectification, de s\u2019opposer au traitement ou de demander l\u2019effacement dans certains cas. Ces droits se retrouvent dans la Convention 108 du Conseil de l\u2019Europe, dans le RGPD, mais aussi dans le droit de l\u2019\u00e9crasante majorit\u00e9 des plus de 170 pays qui se sont dot\u00e9s d\u2019une l\u00e9gislation contraignante en mati\u00e8re de donn\u00e9es personnelles dans le monde<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_16\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_16');\" >[16]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_16\" class=\"footnote_tooltip\" >Greenleaf, Graham. 2025. \u2018Global Data Privacy Laws 2025: 172 Countries, Twelve New in 2023\/24\u2019. doi:<a href=\"https:\/\/doi.org\/10.2139\/ssrn.5275559\">10.2139\/ssrn.5275559<\/a>.<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_16').tooltip({ tip: '#footnote_plugin_tooltip_text_638_16', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/p>\n\n\n\n<p>Or, le Digital Omnibus propose de changer la r\u00e9daction de l\u2019article 12 du RGPD pour permettre \u00e0 un responsable du traitement de refuser de donner droit \u00e0 la demande d\u2019une personne d\u2019acc\u00e9der \u00e0 ses donn\u00e9es d\u00e8s lors qu\u2019elle ne justifierait pas qu\u2019elle le fait pour une finalit\u00e9 en lien avec des objectifs de protection de ces donn\u00e9es. Cela va \u00e0 l\u2019encontre de l\u2019\u00e9volution de la jurisprudence, qui rappelle qu\u2019en l\u2019\u00e9tat actuel, les demandes n\u2019ont pas besoin d\u2019\u00eatre motiv\u00e9es. C\u2019est par ailleurs absurde. Dans une soci\u00e9t\u00e9 r\u00e9gie par des logiques de mises en donn\u00e9es des individus, le fait qu\u2019elles soient trait\u00e9es de mani\u00e8re transparente est une mani\u00e8re de garantir la confiance, et d\u2019\u00e9viter des asym\u00e9tries d\u2019information au d\u00e9triment des individus. C\u2019est aussi reconna\u00eetre que les donn\u00e9es qui portent sur un individu sont un attribut de sa personnalit\u00e9 et que, tr\u00e8s concr\u00e8tement, elles peuvent toujours lui \u00eatre utiles pour des finalit\u00e9s autre que celles du responsable du traitement.<\/p>\n\n\n\n<p>De toutes fa\u00e7ons, op\u00e9rationnellement, il n\u2019y a l\u00e0 aucune simplification. Au contraire. En effet, une personne pourra toujours dire qu\u2019elle veut v\u00e9rifier la lic\u00e9it\u00e9 et l\u2019exactitude des donn\u00e9es trait\u00e9es au moment o\u00f9 elle demande une copie. Qui pourra v\u00e9rifier ou contester\u00a0? Bien s\u00fbr, les responsables du traitement qui auront des choses \u00e0 cacher refuseront syst\u00e9matiquement de donner suite, en se fondant sur les nouvelles dispositions propos\u00e9es par la Commission. Cela engendrera des plaintes qui iront encombrer les autorit\u00e9s de protection des donn\u00e9es et les juridictions, et donnera du travail suppl\u00e9mentaire \u00e0 tout le monde. Tout ceci sera encore complexifi\u00e9 par le fait que ce n\u2019est pas coh\u00e9rent avec la Convention 108 du Conseil de l\u2019Europe \u2013 que les \u00c9tats sont tenus de respecter \u2013 ni avec l\u2019article 8 de la Charte des droits fondamentaux de l\u2019Union europ\u00e9enne, qui ne pr\u00e9voit pas de soumettre \u00e0 une liste limit\u00e9e d\u2019objectifs le droit d\u2019acc\u00e8s des personnes concern\u00e9es. Tout \u00e7a pour un droit dont les \u00e9tudes scientifiques montrent que quoique tr\u00e8s utile<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_17\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_17');\" >[17]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_17\" class=\"footnote_tooltip\" >Hase, Valerie, Jef Ausloos, Laura Boeschoten, Nico Pfiffner, Heleen Janssen, Theo Araujo, Thijs Carri\u00e8re, et al. 2024. \u2018Fulfilling Data Access Obligations: How Could (and Should) Platforms&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_17');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_17').tooltip({ tip: '#footnote_plugin_tooltip_text_638_17', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>, il demeure largement sous-utilis\u00e9<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_18\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_18');\" >[18]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_18\" class=\"footnote_tooltip\" >Sur la base de t\u00e9moignages de DPO avec qui j\u2019ai \u00e9chang\u00e9s, et de retours faits par les entreprises et administrations que j\u2019ai pr\u00e9c\u00e9demment conseill\u00e9es pour leur conformit\u00e9 RGPD. Sur&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_18');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_18').tooltip({ tip: '#footnote_plugin_tooltip_text_638_18', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/p>\n\n\n\n<p>L\u2019absence de simplification se retrouve aussi dans la proposition de modification de l\u2019article 13 du RGPD. La Commission souhaite rendre facultative la fourniture d\u2019informations aujourd\u2019hui obligatoires, notamment sur les raisons pour lesquelles des donn\u00e9es sont trait\u00e9es, leur \u00e9tendue, les destinataires, etc. lorsque la collecte se fait dans le contexte d\u2019une \u00ab&nbsp;relation claire et circonscrite&nbsp;\u00bb avec un responsable du traitement qui \u00ab&nbsp;exerce une activit\u00e9 qui n\u2019est pas intensive en donn\u00e9es.&nbsp;\u00bb Qu\u2019est-ce que \u00e7a veut dire&nbsp;? On ne sait pas. Mais on peut d\u00e9j\u00e0 parier que des cabinets d\u2019experts en RGPD vont se r\u00e9galer \u00e0 l\u2019id\u00e9e de r\u00e9diger des \u00e9tudes d\u2019impacts pour savoir si un responsable du traitement a le droit de cacher aux personnes sur lesquelles il collecte des donn\u00e9es les raisons pour lesquelles il le fait. \u00c7a va co\u00fbter du temps, de l\u2019argent\u2026 alors que, justement, l\u2019article 13 est l\u2019une des articles les plus clairs et les simples \u00e0 mettre en \u0153uvre du RGPD.<\/p>\n\n\n\n<p>R\u00e9sultat&nbsp;: la Commission souhaite complexifier les choses tout en multipliant lourdement les obstacles \u00e0 l\u2019exercice des droits des personnes.<\/p>\n\n\n\n<p><strong>D\u00e9cisions automatis\u00e9es<\/strong><\/p>\n\n\n\n<p>La Commission europ\u00e9enne souhaite aussi s\u2019attaquer \u00e0 l\u2019article 22 du RGPD. Sa formulation alambiqu\u00e9e a fait couler beaucoup d\u2019encre, mais elle aboutit \u00e0 une interdiction de principe et de fait des d\u00e9cisions purement automatis\u00e9es. C\u2019est coh\u00e9rent avec le principe d\u2019avoir toujours un \u00ab&nbsp;humain dans la boucle&nbsp;\u00bb soutenu par la Commission elle-m\u00eame et qui s\u2019est retrouv\u00e9 inscrit dans le r\u00e8glement sur l\u2019IA, qui lui-m\u00eame contient des r\u00e8gles sur le droit \u00e0 l\u2019explication des d\u00e9cisions individuelles\u2026 si elles ne sont pas couvertes ailleurs par le droit de l\u2019UE, ce qui risque de devenir pour partie le cas si l\u2019Omnibus n\u2019est pas stopp\u00e9.<\/p>\n\n\n\n<p>Je conc\u00e8de n\u00e9anmoins volontiers que la nouvelle formulation de l\u2019article 22 propos\u00e9e par cet attelage autrement tr\u00e8s brinquebalant soit plus claire. Mais l\u2019une des conditions qui autoriserait une telle mesure para\u00eet elle aussi peu claire. En effet, les d\u00e9cisions automatis\u00e9es seraient autoris\u00e9es si c\u2019est\u00a0:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u00ab<strong>&nbsp;necessary<\/strong> for entering into, or performance of, a contract between the data subject and a data controller <strong>regardless of whether the decision could be taken otherwise<\/strong> than by solely automated means;&nbsp;\u00bb<\/p>\n<\/blockquote>\n\n\n\n<p>Une telle formulation est contradictoire. Soit l\u2019automatisation de la prise de d\u00e9cision est n\u00e9cessaire, ce qui implique qu\u2019elle ne peut pas \u00eatre prise de mani\u00e8re non-automatis\u00e9e&nbsp;; soit elle ne l\u2019est pas. Du coup, la nouvelle r\u00e9daction propos\u00e9e pour l\u2019article 22 ne fait que d\u00e9placer l\u2019endroit dans le texte o\u00f9 c\u2019est alambiqu\u00e9. Pas s\u00fbr que \u00e7a ait d\u2019int\u00e9r\u00eat pour qui que ce soit.<\/p>\n\n\n\n<p><strong>Int\u00e9r\u00eat l\u00e9gitime et entra\u00eenement de syst\u00e8mes d\u2019IA<\/strong><\/p>\n\n\n\n<p>Pour traiter des donn\u00e9es personnelles, il faut y \u00eatre autoris\u00e9 par l\u2019une des bases l\u00e9gales de l\u2019article 6 paragraphe 1 du RGPD. La plus connue est celle du consentement (libre, \u00e9clair\u00e9, sp\u00e9cifique, retirable \u00e0 tout moment, etc.)&nbsp;; mais ce n\u2019est pas la seule. Il est aussi possible de traiter des donn\u00e9es pour poursuivre un int\u00e9r\u00eat l\u00e9gitime du responsable du traitement ou d\u2019un tiers. La CJUE a d\u00e9j\u00e0 jug\u00e9, dans son fameux arr\u00eat sur le droit au d\u00e9r\u00e9f\u00e9rencement<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_19\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_19');\" >[19]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_19\" class=\"footnote_tooltip\" >CJUE 13 mai 2014. Google Espagne. Aff. C-131\/12.<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_19').tooltip({ tip: '#footnote_plugin_tooltip_text_638_19', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script> que Google avait un int\u00e9r\u00eat l\u00e9gitime \u00e0 indexer des pages web contenant des donn\u00e9es personnelles dans son moteur de recherche. \u00c7a ne veut pas dire que l\u2019on puisse tout faire avec l\u2019int\u00e9r\u00eat l\u00e9gitime. Mais le raisonnement \u00e0 respecter n\u2019interdit pas tout usage de cette base l\u00e9gale pour entra\u00eener des IA. Le Comit\u00e9 europ\u00e9en de protection des donn\u00e9es l\u2019a bien rappel\u00e9 dans un avis de 2024 sur le sujet<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_20\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_20');\" >[20]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_20\" class=\"footnote_tooltip\" >Avis 28\/2024 relatif \u00e0 certains aspects de la protection des donn\u00e9es li\u00e9s au traitement de donn\u00e9es \u00e0 caract\u00e8re personnel dans le contexte des mod\u00e8les d\u2019IA, disponible ici&nbsp;:&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_20');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_20').tooltip({ tip: '#footnote_plugin_tooltip_text_638_20', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>.<\/p>\n\n\n\n<p>Cela soul\u00e8ve tout de m\u00eame deux difficult\u00e9s. La premi\u00e8re, c\u2019est ce que quand un responsable du traitement invoque un int\u00e9r\u00eat l\u00e9gitime pour traiter des donn\u00e9es personnelles sans consentement <em>opt-in<\/em>, il doit n\u00e9anmoins s\u2019assurer d\u2019offrir un <em>opt-out<\/em>. C\u2019est le droit d\u2019opposition. Peut-on exercer son droit d\u2019opposition en mati\u00e8re d\u2019IA\u00a0? Peut-on retirer les donn\u00e9es d\u2019un mod\u00e8le entra\u00een\u00e9\u00a0? C\u2019est une difficult\u00e9 pratique, mais que la proposition de la commission ne l\u00e8ve pas. Plut\u00f4t un sujet pour la recherche (mais la recherche, a\u00efe, \u00e7a co\u00fbte des sous !).<\/p>\n\n\n\n<p>Une seconde difficult\u00e9, c\u2019est que l\u2019int\u00e9r\u00eat l\u00e9gitime ne permet de traiter des donn\u00e9es <em>sensibles<\/em> sans consentement. Il s\u2019agit des donn\u00e9es vis\u00e9es \u00e0 l\u2019article 9 du RGPD, et qui r\u00e9v\u00e8lent des choses, par exemple, sur l\u2019opinion politique ou les croyances religieuses, ou encore sur l\u2019orientation sexuelle ou la sant\u00e9 d\u2019une personne. Or, comment savoir, par exemple, si un syst\u00e8me discrimine sur le fondement de la sant\u00e9 ou de la religion si on ne v\u00e9rifie pas les r\u00e9sultats d\u2019une IA au regard de telles donn\u00e9es&nbsp;? Le r\u00e8glement IA contient d\u00e9j\u00e0, pour y r\u00e9pondre, un article 10 paragraphe 5 qui le permet, d\u00e8s lors que de telles donn\u00e9es sont trait\u00e9es dans le but de r\u00e9duire au maximum les biais du syst\u00e8me d\u2019IA que l\u2019on entra\u00eene. Or, dans le Digital Omnibus IA on a la proposition de l\u2019insertion d\u2019un article 4a dans le r\u00e8glement IA pour disposer que&nbsp;:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Article 4a<\/p>\n<\/blockquote>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Processing of special categories of personal data for bias detection and mitigation<\/p>\n<\/blockquote>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>1. To the extent necessary to ensure bias detection and correction in relation to high-risk AI systems in accordance with Article 10 (2), points (f) and (g), of this Regulation, providers of such systems may exceptionally process special categories of personal data, subject to appropriate safeguards for the fundamental rights and freedoms of natural persons. In addition to the safeguards set out in Regulations (EU) 2016\/679 and (EU) 2018\/1725 and Directive (EU) 2016\/680, as applicable, all the following conditions shall be met in order for such processing to occur:<\/p>\n<\/blockquote>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>(a) the bias detection and correction cannot be effectively fulfilled by processing other data, including synthetic or anonymised data;<\/p>\n<\/blockquote>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>(b) the special categories of personal data are subject to technical limitations on the re-use of the personal data, and state-of-the-art security and privacy-preserving measures, including pseudonymisation;<\/p>\n<\/blockquote>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>(c) the special categories of personal data are subject to measures to ensure that the personal data processed are secured, protected, subject to suitable safeguards, including strict controls and documentation of the access, to avoid misuse and ensure that only authorised persons have access to those personal data with appropriate confidentiality obligations;<\/p>\n<\/blockquote>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>(d) the special categories of personal data are not transmitted, transferred or otherwise accessed by other parties;<\/p>\n<\/blockquote>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>(e) the special categories of personal data are deleted once the bias has been corrected or the personal data has reached the end of its retention period, whichever comes first;<\/p>\n<\/blockquote>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>(f) the records of processing activities pursuant to Regulations (EU) 2016\/679 and (EU) 2018\/1725 and Directive (EU) 2016\/680 include the reasons why the processing of special categories of personal data was necessary to detect and correct biases, and why that objective could not be achieved by processing other data.<\/p>\n<\/blockquote>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>2. Paragraph 1 may apply to providers and deployers of other AI systems and models and deployers of high-risk AI systems where necessary and proportionate if the processing occurs for the purposes set out therein and provided that the conditions set out under the safeguards set out in this paragraph<\/p>\n<\/blockquote>\n\n\n\n<p>Cela ajoute du texte pour rappeler des choses qui n\u2019ont pas forc\u00e9ment, \u00e0 mon avis, besoin d\u2019\u00eatre rappel\u00e9es (mais je veux bien qu\u2019on m\u2019\u00e9crive pour m\u2019expliquer l\u2019int\u00e9r\u00eat de ce verbillage suppl\u00e9mentaire). Donc, on rajoute de la complexit\u00e9. On simplifie rien du tout, en fait.<\/p>\n\n\n\n<p>\u00c0 ce sujet, on voit une tendance g\u00e9n\u00e9rale se d\u00e9gager des Omnibos, qui consiste \u00e0 la fois \u00e0 vider les droits des personnes concern\u00e9es de leur substance, \u00e0 conf\u00e9rer des pouvoirs exorbitants \u00e0 la Commissions qui remettent en cause l\u2019ind\u00e9pendance des autorit\u00e9s de contr\u00f4le\u2026 mais en m\u00eame temps, on surpr\u00e9cise, on rallonge, bref, on complexifie, on ajoute de l\u2019incertitude, on invente de nouveaux concepts (encore) sans rapport avec l\u2019architecture de ce droit. Donc&nbsp;: on cr\u00e9e autant de zones grises, de nouvelles interpr\u00e9tations possibles qui restreignent les droits tout en augmentant le risque de contentieux. Contentieux qui d\u00e9courage les nouveaux entrants, tout en confortant dans leurs positions dominantes ceux qui ont les moyens de payer des cabinets d\u2019avocats, et de perdre un proc\u00e8s ou deux de temps en temps.<\/p>\n\n\n\n<p>\u00c0 la place, le RGPD pr\u00e9voit toujours la possibilit\u00e9 pour le secteur de travailler sur des codes de conduite, qui op\u00e9rationnalisent les r\u00e8gles et principes g\u00e9n\u00e9raux du r\u00e8glement dans des cas concrets. Leur int\u00e9r\u00eat est de favoriser le dialogue entre des autorit\u00e9s ind\u00e9pendantes et le secteur concern\u00e9, au lieu de tout sp\u00e9cifier dans des textes l\u00e9gislatifs qui seront beaucoup plus difficiles \u00e0 mettre \u00e0 jour.<\/p>\n\n\n\n<p><strong>Autres propositions<\/strong><\/p>\n\n\n\n<p>On retrouve dans le Digital Omnibus d\u2019autres propositions. Certaines concernent la recherche&nbsp;: le texte pr\u00e9cise de mani\u00e8re inutile que les exceptions \u00e0 des fins de recherche scientifique peuvent \u00eatre valablement mobilis\u00e9es par la R&amp;D commerciale. De mani\u00e8re g\u00e9n\u00e9rale, ma conviction personnelle est qu\u2019un texte court et clair, surtout appuy\u00e9 par de la jurisprudence constante, ne devrait pas \u00eatre modifi\u00e9. Mais pourquoi pas. Il est vrai que m\u00eame si un arr\u00eat de la CJUE de 2008<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_21\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_21');\" >[21]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_21\" class=\"footnote_tooltip\" >CJUE 16 d\u00e9cembre 2008. Huber contre Allemagne. Aff. C-524\/06.<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_21').tooltip({ tip: '#footnote_plugin_tooltip_text_638_21', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script> avait pos\u00e9 le principe selon lequel il fallait regarder la finalit\u00e9 du traitement pour d\u00e9terminer si une exception li\u00e9e \u00e0 celle-ci (en l\u2019esp\u00e8ce&nbsp;: le traitement statistique) est applicable, et non pas la nature du responsable du traitement, d\u2019autres textes, dont la directive sur le droit d\u2019auteur de 2019 et le DSA limitent les exceptions de recherche scientifique \u00e0 une d\u00e9finition qui en exclue les organismes \u00e0 but lucratif.<\/p>\n\n\n\n<p>Par ailleurs, de mani\u00e8re nettement plus inqui\u00e9tante, la Commission veut de nouveau essayer de s\u2019attaquer \u00e0 l\u2019ind\u00e9pendance \u2013 prot\u00e9g\u00e9e par l\u2019article 8 de la Charte des droits fondamentaux de l\u2019Union europ\u00e9enne \u2013 des autorit\u00e9s de protection des donn\u00e9es, en fixant elle-m\u00eame les listes des traitements pour lesquels des \u00e9valuations d\u2019impacts au titre du RGPD sont ou non n\u00e9cessaires. On voit comment elle souhaite reprendre le contr\u00f4le politique du droit des donn\u00e9es personnelles, l\u00e0 o\u00f9 le fait d\u2019en confier la supervision \u00e0 des autorit\u00e9s administratives ind\u00e9pendantes \u00e9tait l\u2019une des clefs devant garantir la confiance dans le d\u00e9veloppement de l\u2019informatique\u2026 et ce, depuis les ann\u00e9es 1970.<\/p>\n\n\n\n<p>Des simplifications sont pr\u00e9vues sur la notification aux autorit\u00e9s comp\u00e9tentes des violations de donn\u00e9es, pour ajouter de la coh\u00e9rence \u2013 pas si malvenue \u2013 avec d\u2019autres textes relatifs \u00e0 la cybers\u00e9curit\u00e9. Mais on passe sans explication de 72 heures \u00e0 96 heures de d\u00e9lai.<\/p>\n\n\n\n<p>Enfin, plusieurs dispositions visent \u00e0 r\u00e9former la directive ePrivacy, notamment en int\u00e9grant dans le r\u00e9gime du RGPD les r\u00e8gles relatives aux \u00ab&nbsp;cookies.&nbsp;\u00bb Cela permet d\u2019int\u00e9grer ces r\u00e8gles dans le r\u00e9gime de l\u2019autorit\u00e9 cheffe-de-file instaur\u00e9 par le r\u00e8glement et qui, en effet, apporte de la simplification aux responsables du traitement, qui b\u00e9n\u00e9ficient depuis d\u2019une autorit\u00e9 interlocutrice unique dans la plupart des cas. Il est aussi pr\u00e9vu de permettre \u00e0 la Commission de confier aux organismes europ\u00e9ens de standardisation le soin de r\u00e9diger un standard technique permettant l\u2019expression des pr\u00e9f\u00e9rences en mati\u00e8re de vie priv\u00e9e, sur le mod\u00e8le de ce qu\u2019auraient d\u00fb \u00eatre P3P ou Do Not Track. Ces propositions m\u00e9riteront une analyse \u00e0 part.<\/p>\n\n\n\n<p><strong>Un risque majeur pour les droits fondamentaux\u2026 et pour la comp\u00e9titivit\u00e9 europ\u00e9enne&nbsp;?<\/strong><\/p>\n\n\n\n<p>\u00c0 l\u2019issue de la lecture des propositions de modifications du RGPD, un constat s\u2019impose&nbsp;: ce texte ne propose pas de simplification r\u00e9elle, bien au contraire. Il complexifie, tout en vidant le texte de sa substance. Cela ne pourra que renforcer la d\u00e9fiance envers le num\u00e9rique que l\u2019on constate d\u00e9j\u00e0 \u00e0 l\u2019\u00e9chelle de nombreuses \u00e9tudes de sociologie. Selon une \u00e9tude du BSI (l\u2019Afnor britannique), pr\u00e8s de la moiti\u00e9 des jeunes britanniques d\u00e9clarent ainsi qu\u2019ils auraient pr\u00e9f\u00e9r\u00e9 vivre dans un monde sans Internet<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_22\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_22');\" >[22]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_22\" class=\"footnote_tooltip\" >Lire le rapport ici&nbsp;: https:\/\/www.bsigroup.com\/siteassets\/pdf\/en\/insights-and-media\/insights\/white-papers\/gl-grp-cross-brand-nss-dt-mpd-mp-copolco-0525-broc.pdf<\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_22').tooltip({ tip: '#footnote_plugin_tooltip_text_638_22', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>&nbsp;! Cela revient aussi \u00e0 r\u00e9compenser les responsables du traitement dont le mod\u00e8le d\u2019affaires ne respecte pas les droits des personnes, et \u00e0 punir ceux qui ont investi dans la conformit\u00e9, en vain. Pire, si le Digital Omnibus \u00e9tait vot\u00e9 en l\u2019\u00e9tat, nous n\u2019aurions plus, en Europe, les lois les plus protectrices en mati\u00e8re de protection des donn\u00e9es. Contrairement \u00e0 une id\u00e9e re\u00e7ue nombriliste et ethnocentr\u00e9e mais tr\u00e8s r\u00e9pandue, l\u2019Europe n\u2019est absolument pas le seul pays du monde \u00e0 avoir des lois de protection des donn\u00e9es. De plus, bien que, bien s\u00fbr, notre nombril soit magnifique, ce n\u2019est pas seulement pour faire plaisir \u00e0 notre soi-disant grande \u0153uvre civilisatrice que ces pays ont l\u00e9gif\u00e9r\u00e9. Or, certaines de ces lois contiennent des dispositions qui interdisent le transfert vers des pays moins-disants en mati\u00e8re de protection des donn\u00e9es. C\u2019est le cas, par exemple, du chapitre V de la loi br\u00e9silienne sur la protection des donn\u00e9es. Jusqu\u2019ici, une entreprise vraiment conforme au RGPD pouvait acc\u00e9der aux march\u00e9s du monde entier du fait que ce texte est per\u00e7u (\u00e0 tort ou \u00e0 raison, je n\u2019ai pas eu l\u2019occasion de v\u00e9rifier) comme le plus protecteur au monde. Investir dans le RGPD, c\u2019\u00e9tait donc investir dans la conformit\u00e9 avec pratiquement la terre enti\u00e8re. Demain, cela risque de ne plus \u00eatre le cas&nbsp;; et \u00e7a, \u00e7a sera un vrai coup pour la comp\u00e9titivit\u00e9 de l\u2019industrie europ\u00e9enne du num\u00e9rique. Tout en d\u00e9r\u00e9gulant en pratique consid\u00e9rablement l\u2019acc\u00e8s aux donn\u00e9es personnelles produites sur le territoire europ\u00e9en, y compris aux bo\u00eetes \u00e9trang\u00e8res (que ce soit pour entra\u00eener des IA, ou nous espionner<span class=\"footnote_referrer\" ><a><sup id=\"footnote_plugin_tooltip_638_23\" class=\"footnote_plugin_tooltip_text\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_23');\" >[23]<\/sup ><\/a><span id=\"footnote_plugin_tooltip_text_638_23\" class=\"footnote_tooltip\" >En octobre 2024, la presse fran\u00e7aise r\u00e9v\u00e9lait que les gardes du corps d\u2019Emmanuel Macron partageaient leurs donn\u00e9es sur leurs activit\u00e9s sportives, ce qui donnait des indications sur les&nbsp;&#x2026; <span class=\"footnote_tooltip_continue\" onclick=\"footnote_moveToAnchor_638('footnote_plugin_reference_638_23');\">Continue reading<\/span><\/span ><\/span><script type=\"text\/javascript\"> jQuery('#footnote_plugin_tooltip_638_23').tooltip({ tip: '#footnote_plugin_tooltip_text_638_23', tipClass: 'footnote_tooltip', effect: 'fade', predelay: 0, fadeInSpeed: 200, delay: 400, fadeOutSpeed: 200, position: 'top center', relative: true, offset: [-7, 0], });<\/script>). Sans que ne soit r\u00e9gl\u00e9e la question du financement de la recherche (publique ou priv\u00e9e) et de l\u2019innovation, qui suppose, si on veut faire concurrence aux grosses startups am\u00e9ricaines ou chinoises, d\u2019\u00e9ponger des milliards d\u2019euros de perte pendant de longue ann\u00e9es. Avec de la dette. Sans revendre tout \u00e0 vil prix d\u00e8s que \u00e7a commence \u00e0 devenir rentable. A\u00efe&nbsp;!<\/p>\n<div class=\"speaker-mute footnotes_reference_container\" > <div class=\"footnote_container_prepare\" ><p ><span class=\"footnote_reference_container_label\" onclick=\"footnote_expand_reference_container_638();\" ><\/span ><span class=\"footnote_reference_container_collapse_button\" style=\"display: none;\" onclick=\"footnote_expand_collapse_reference_container_638();\" >[<a id=\"footnote_reference_container_collapse_button_638\" >+<\/a >]<\/span ><\/p ><\/div > <div id=\"footnote_references_container_638\" style=\"\" > <table class=\"footnote-reference-container\" > <tbody> \r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_1');\" ><a id=\"footnote_plugin_reference_638_1\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>1<\/a><\/td> <td class=\"footnote_plugin_text\" >Favro, Karine. 2017. \u2018La d\u00e9marche de compliance ou la mise en \u0153uvre d\u2019une approche invers\u00e9e\u2019. <em>LEGICOM<\/em> N\u00b0 59(2): 21\u201328.<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_2');\" ><a id=\"footnote_plugin_reference_638_2\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>2<\/a><\/td> <td class=\"footnote_plugin_text\" >Graux, Hans, Krzysztof Garstka, Nayana Murali, Jonathan Cave, and Maarten Botterman. 2025. <em>Interplay between the AI Act and the EU Digital Legislative Framework<\/em>. Strasbourg: Parlement europ\u00e9en.<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_3');\" ><a id=\"footnote_plugin_reference_638_3\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>3<\/a><\/td> <td class=\"footnote_plugin_text\" >Voir\u00a0: Wendehorst, Christiane, Kyoko Yoshinaga, Alain Strowel, and Sebastian Schwamberger. 2024. <em>Co-Generation of Data Copyright and Data Protection Rights in Co-Generated Input and Output of Generative AI<\/em>. Global Partnership on Artificial Intelligence.<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_4');\" ><a id=\"footnote_plugin_reference_638_4\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>4<\/a><\/td> <td class=\"footnote_plugin_text\" >Yang, Liping, Yiling Lin, and Bing Chen. 2024. \u2018Practice and Prospect of Regulating Personal Data Protection in China\u2019. <em>Laws<\/em> 13(6): 78.<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_5');\" ><a id=\"footnote_plugin_reference_638_5\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>5<\/a><\/td> <td class=\"footnote_plugin_text\" >Brown, Eliot. 2025. \u00ab\u00a0OpenAI Made a $12 Billion Loss Last Quarter, Microsoft Results Indicate\u00a0\u00bb, <em>The Wall Street Journal<\/em>. Voir ici\u00a0: <a href=\"https:\/\/www.wsj.com\/livecoverage\/stock-market-today-dow-sp-500-nasdaq-10-31-2025\/card\/openai-made-a-12-billion-loss-last-quarter-microsoft-results-indicate-e71BLjJA0e2XBthQZA5X\">https:\/\/www.wsj.com\/livecoverage\/stock-market-today-dow-sp-500-nasdaq-10-31-2025\/card\/openai-made-a-12-billion-loss-last-quarter-microsoft-results-indicate-e71BLjJA0e2XBthQZA5X<\/a><\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_6');\" ><a id=\"footnote_plugin_reference_638_6\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>6<\/a><\/td> <td class=\"footnote_plugin_text\" >Voir&nbsp;: https:\/\/single-market-economy.ec.europa.eu\/document\/download\/d88a75de-b620-4d8b-b85b-1656a9ba6b8a_en?filename=Proposal%20for%20a%20Regulation%20-%20Small%20mid-caps.pdf<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_7');\" ><a id=\"footnote_plugin_reference_638_7\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>7<\/a><\/td> <td class=\"footnote_plugin_text\" >https:\/\/eur-lex.europa.eu\/procedure\/EN\/2025_360<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_8');\" ><a id=\"footnote_plugin_reference_638_8\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>8<\/a><\/td> <td class=\"footnote_plugin_text\" >https:\/\/eur-lex.europa.eu\/procedure\/EN\/2025_359<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_9');\" ><a id=\"footnote_plugin_reference_638_9\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>9<\/a><\/td> <td class=\"footnote_plugin_text\" >https:\/\/eur-lex.europa.eu\/procedure\/EN\/2025_358<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_10');\" ><a id=\"footnote_plugin_reference_638_10\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>10<\/a><\/td> <td class=\"footnote_plugin_text\" >https:\/\/cvpip.wp.imt.fr\/accueil\/<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_11');\" ><a id=\"footnote_plugin_reference_638_11\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>11<\/a><\/td> <td class=\"footnote_plugin_text\" >Voir les travaux du LINC, le labo de la CNIL, \u00e0 ce sujet\u00a0: https:\/\/linc.cnil.fr\/geo-trouve-tous-la-reidentification-des-donnees-de-la-theorie-au-cas-pratique<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_12');\" ><a id=\"footnote_plugin_reference_638_12\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>12<\/a><\/td> <td class=\"footnote_plugin_text\" >CJUE 4 septembre 2025. CEPD contre SRB. Aff. C-413\/23 P<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_13');\" ><a id=\"footnote_plugin_reference_638_13\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>13<\/a><\/td> <td class=\"footnote_plugin_text\" >CJUE 19 octobre 2016. Breyer. Aff. C-582\/14<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_14');\" ><a id=\"footnote_plugin_reference_638_14\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>14<\/a><\/td> <td class=\"footnote_plugin_text\" >Les FAI qui participent en France au service Utiq fournissent d\u2019ailleurs bien volontiers ces donn\u00e9es<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_15');\" ><a id=\"footnote_plugin_reference_638_15\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>15<\/a><\/td> <td class=\"footnote_plugin_text\" >Millard, Christopher, Christopher Kuner, Fred H. Cate, Orla Lynskey, Nora Ni Loideain, and Dan Jerker B. Svantesson. 2019. \u2018At This Rate, Everyone Will Be a [Joint] Controller of Personal Data!\u2019 <em>International Data Privacy Law<\/em> 9(4): 217\u201319 ; voir aussi\u00a0: Rossi, Julien, and Jonathan Keller. 2025. \u2018Are Internet Standard Developing Organisations Data Controllers under the GDPR?\u2019 <em>Internet Policy Review<\/em> 14(3).<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_16');\" ><a id=\"footnote_plugin_reference_638_16\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>16<\/a><\/td> <td class=\"footnote_plugin_text\" >Greenleaf, Graham. 2025. \u2018Global Data Privacy Laws 2025: 172 Countries, Twelve New in 2023\/24\u2019. doi:<a href=\"https:\/\/doi.org\/10.2139\/ssrn.5275559\">10.2139\/ssrn.5275559<\/a>.<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_17');\" ><a id=\"footnote_plugin_reference_638_17\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>17<\/a><\/td> <td class=\"footnote_plugin_text\" >Hase, Valerie, Jef Ausloos, Laura Boeschoten, Nico Pfiffner, Heleen Janssen, Theo Araujo, Thijs Carri\u00e8re, et al. 2024. \u2018Fulfilling Data Access Obligations: How Could (and Should) Platforms Facilitate Data Donation Studies?\u2019 <em>Internet Policy Review<\/em> 13(3). doi:<a href=\"https:\/\/doi.org\/10.14763\/2024.3.1793\">10.14763\/2024.3.1793<\/a>.\u00a0; Mahieu, Ren\u00e9, Hadi Ashgari, and Michel van Eeten. 2018. \u2018Collectively Exercising the Right of Access: Individual Effort, Societal Effect\u2019. <em>Internet Policy Review<\/em> 7(3). doi:<a href=\"https:\/\/doi.org\/10.14763\/2018.3.927\">https:\/\/doi.org\/10.14763\/2018.3.927<\/a>\u00a0; Pidoux, Jessica, Paul-Olivier Dehaye, and Jacob Gursky. 2024. \u2018Governing Work through Personal Data: The Case of Uber Drivers in Geneva\u2019. <em>First Monday<\/em>. doi:<a href=\"https:\/\/doi.org\/10.5210\/fm.v29i2.13576\">10.5210\/fm.v29i2.13576<\/a>\u00a0; Habu, Adamu Adamu, and Tristan Henderson. 2023. \u2018Data Subject Rights as a Research Methodology: A Systematic Literature Review\u2019. <em>Journal of Responsible Technology<\/em> 16: 100070. doi:<a href=\"https:\/\/doi.org\/10.1016\/j.jrt.2023.100070\">10.1016\/j.jrt.2023.100070<\/a>\u00a0; Petelka, Justin, Elisa Oreglia, Megan Finn, and Janaki Srinivasan. 2022. \u2018Generating Practices: Investigations into the Double Embedding of GDPR and Data Access Policies\u2019. <em>Proceedings of the ACM on Human-Computer Interaction<\/em> 6(CSCW2): 1\u201326. doi:<a href=\"https:\/\/doi.org\/10.1145\/3555631\">10.1145\/3555631<\/a>\u00a0; etc.<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_18');\" ><a id=\"footnote_plugin_reference_638_18\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>18<\/a><\/td> <td class=\"footnote_plugin_text\" >Sur la base de t\u00e9moignages de DPO avec qui j\u2019ai \u00e9chang\u00e9s, et de retours faits par les entreprises et administrations que j\u2019ai pr\u00e9c\u00e9demment conseill\u00e9es pour leur conformit\u00e9 RGPD. Sur l\u2019acc\u00e8s aux images de vid\u00e9osurveillance en particulier, voir ce papier de Marine Lamare\u00a0: Lamare, Marine. 2024. \u2018Droit d\u2019acc\u00e8s Aux Images de Vid\u00e9osurveillances\u202f: Ineptie d\u2019un Concept Ou Tactique Discursive\u202f?:\u2019 <em>Droit et soci\u00e9t\u00e9<\/em> n\u00b0 117(2): 229\u201348. doi:<a href=\"https:\/\/doi.org\/10.3917\/drs1.117.0213\">10.3917\/drs1.117.0213<\/a>.<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_19');\" ><a id=\"footnote_plugin_reference_638_19\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>19<\/a><\/td> <td class=\"footnote_plugin_text\" >CJUE 13 mai 2014. Google Espagne. Aff. C-131\/12.<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_20');\" ><a id=\"footnote_plugin_reference_638_20\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>20<\/a><\/td> <td class=\"footnote_plugin_text\" >Avis 28\/2024 relatif \u00e0 certains aspects de la protection des donn\u00e9es li\u00e9s au traitement de donn\u00e9es \u00e0 caract\u00e8re personnel dans le contexte des mod\u00e8les d\u2019IA, disponible ici&nbsp;: <a href=\"https:\/\/www.edpb.europa.eu\/system\/files\/2025-05\/edpb_opinion_202428_ai-models_fr.pdf\">https:\/\/www.edpb.europa.eu\/system\/files\/2025-05\/edpb_opinion_202428_ai-models_fr.pdf<\/a>.<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_21');\" ><a id=\"footnote_plugin_reference_638_21\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>21<\/a><\/td> <td class=\"footnote_plugin_text\" >CJUE 16 d\u00e9cembre 2008. Huber contre Allemagne. Aff. C-524\/06.<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_22');\" ><a id=\"footnote_plugin_reference_638_22\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>22<\/a><\/td> <td class=\"footnote_plugin_text\" >Lire le rapport ici&nbsp;: https:\/\/www.bsigroup.com\/siteassets\/pdf\/en\/insights-and-media\/insights\/white-papers\/gl-grp-cross-brand-nss-dt-mpd-mp-copolco-0525-broc.pdf<\/td><\/tr>\r\n\r\n<tr> <td class=\"footnote_plugin_index pointer\"  onclick=\"footnote_moveToAnchor_638('footnote_plugin_tooltip_638_23');\" ><a id=\"footnote_plugin_reference_638_23\" class=\"footnote_backlink\"><span class=\"footnote_index_arrow\">&#8593;<\/span>23<\/a><\/td> <td class=\"footnote_plugin_text\" >En octobre 2024, la presse fran\u00e7aise r\u00e9v\u00e9lait que les gardes du corps d\u2019Emmanuel Macron partageaient leurs donn\u00e9es sur leurs activit\u00e9s sportives, ce qui donnait des indications sur les d\u00e9placements \u00e0 venir du chef de l\u2019\u00c9tat, via Strava. L\u2019entreprise n\u2019\u00e9tait pas incrimin\u00e9e. Mais la proposition du Digital Omnibus va encourager les interpr\u00e9tations qui diront qu\u2019un jeu de donn\u00e9es comportant toutes les donn\u00e9es de g\u00e9olocalisation des gardes du corps du pr\u00e9sident mais pas leurs noms sont des donn\u00e9es pseudonymis\u00e9es, pas personnelles du point de vue de l\u2019entit\u00e9 qui les collecte\u2026 qui, d\u00e8s lors, peut revendre librement ces donn\u00e9es sans se soucier du RGPD&nbsp;? Les services de renseignement des pays qui ne nous veulent pas que du bien seront ravies de soutenir cette interpr\u00e9tation.<\/td><\/tr>\r\n\r\n <\/tbody> <\/table> <\/div><\/div><script type=\"text\/javascript\"> function footnote_expand_reference_container_638() { jQuery('#footnote_references_container_638').show(); jQuery('#footnote_reference_container_collapse_button_638').text('\u2212'); } function footnote_collapse_reference_container_638() { jQuery('#footnote_references_container_638').hide(); jQuery('#footnote_reference_container_collapse_button_638').text('+'); } function footnote_expand_collapse_reference_container_638() { if (jQuery('#footnote_references_container_638').is(':hidden')) { footnote_expand_reference_container_638(); } else { footnote_collapse_reference_container_638(); } } function footnote_moveToAnchor_638(p_str_TargetID) { footnote_expand_reference_container_638(); var l_obj_Target = jQuery('#' + p_str_TargetID); if (l_obj_Target.length) { jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight * 0.20 }, 380);\/*duration*\/ } }<\/script>","protected":false},"excerpt":{"rendered":"<p>L\u2019Union europ\u00e9enne a peur. Pas seulement \u2013 \u00e0 raison \u2013 des vell\u00e9it\u00e9s imp\u00e9rialistes russes, mais aussi peur d\u2019un d\u00e9classement dans la course \u00e0 l\u2019IA. Or, selon Mario Draghi, auteur d\u2019un rapport souvent cit\u00e9 sur l\u2019avenir de l\u2019\u00e9conomie europ\u00e9enne paru le&#8230;<\/p>\n","protected":false},"author":1,"featured_media":643,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[13,3],"tags":[56,57,29,19],"class_list":["post-638","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-jurisprudence","category-gouvernance-dinternet","tag-billet","tag-digital-omnibus","tag-droit","tag-protection-des-donnees"],"_links":{"self":[{"href":"http:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/posts\/638","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/comments?post=638"}],"version-history":[{"count":7,"href":"http:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/posts\/638\/revisions"}],"predecessor-version":[{"id":648,"href":"http:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/posts\/638\/revisions\/648"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/media\/643"}],"wp:attachment":[{"href":"http:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/media?parent=638"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/categories?post=638"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.julienrossi.com\/blog\/wp-json\/wp\/v2\/tags?post=638"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}