Bruxelles, le 11 février - Le comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont adopté un avis conjoint sur la proposition de règlement omnibus numérique*. Cette proposition vise à simplifier le cadre réglementaire numérique de l'UE, à réduire la charge administrative et à renforcer la compétitivité des organisations européennes.
L’EDPB et le CEPD se concentrent sur les aspects concernant le RGPD, le RPDUE, la directive «vie privée et communications électroniques» et l’acquis en matière de données.** Plus précisément, ils évaluent si la proposition 1) conduit à une véritable simplification et facilite le respect des dispositions, 2) apporte une plus grande sécurité juridique et 3) porte atteinte aux droits fondamentaux des personnes.
Modifications du RGPD et du RPDUE
Changements suscitant des préoccupations importantes
Certaines modifications proposées suscitent d’importantes préoccupations, car elles peuvent avoir une incidence négative sur le niveau de protection dont bénéficient les personnes, créer une insécurité juridique et rendre plus difficile l’application de la législation en matière de protection des données.
L’EDPB et le CEPD invitent instamment les colégislateurs à ne pas adopter les modifications proposées à la définition des données à caractère personnel, étant donné qu’elles vont bien au-delà d’une modification ciblée ou technique du RGPD. En outre, elles ne reflètent pas exactement et vont clairement au-delà de la jurisprudence de la CJUE, et elles aboutiraient à une réduction significative de la notion de données à caractère personnel. La Commission européenne ne devrait pas être chargée de décider, par un acte d’exécution, ce qui n’est plus des données à caractère personnel après la pseudonymisation, étant donné qu’elle a une incidence directe sur le champ d’application du droit de l’Union en matière de protection des données.
«La simplification est essentielle pour réduire les formalités administratives et renforcer la compétitivité de l’UE, mais pas au détriment des droits fondamentaux. Nous saluons les mesures prises par la Commission en faveur d’une harmonisation, d’une cohérence et d’une sécurité juridique accrues. Toutefois, nous demandons instamment aux colégislateurs de ne pas adopter les modifications proposées dans la définition des données à caractère personnel, car elles risquent d’affaiblir considérablement la protection des données individuelles.»
Anu Talus, président du comité européen de la protection des données
«Nous demandons instamment aux colégislateurs de ne pas adopter les modifications proposées à la définition des données à caractère personnel. Ces modifications ne sont pas conformes à la jurisprudence de la Cour et réduiraient considérablement la notion de données à caractère personnel. Nous devons veiller à ce que toute modification du RGPD et du RPDUE clarifie réellement les obligations et apporte une sécurité juridique tout en maintenant la confiance et un niveau élevé de protection des droits et libertés individuels.»
Contrôleur européen de la protection des données, Wojciech Wiewiórowski
Des pas dans la bonne direction
L’EDPB et le CEPD sont favorables à l’augmentation du seuil de risque conduisant à l’obligation de notifier une violation de données à l’autorité de protection des données (APD) compétente et à la prolongation du délai pour soumettre une telle notification. Cela réduirait considérablement la charge administrative pesant sur les organisations sans porter atteinte à la protection des données à caractère personnel des personnes. En outre, les modèles et listes communs proposés pour les violations de données et les analyses d’impact relatives à la protection des données sont positifs.
L’EDPB et le CEPD se félicitent également de la proposition d’introduire une nouvelle dérogation pour le traitement de catégories particulières de données aux fins de l’authentification biométrique, lorsque les moyens de vérification sont sous le contrôle exclusif de la personne.
Enfin, ils soutiennent l’harmonisation de la notion de «recherche scientifique» et d’autres changements connexes, car ils renforcent la sécurité juridique et contribuent à une plus grande harmonisation.
Changements nécessitant une mise au point
Comme indiqué dans l’avis 28/2024 du comité européen de la protection des données sur les modèles d’IA, l’intérêt légitime peut être utilisé, dans certains cas, comme base juridique dans le contexte du développement et du déploiement de modèles ou de systèmes d’IA. Par conséquent, l’EDPB et le CEPD n’estiment pas nécessaire d’inclure une disposition spécifique à ce sujet dans le RGPD.
L’EDPB et le CEPD se félicitent de l’objectif de la proposition d’introduire une dérogation spécifique à l’interdiction de traiter des données sensibles, sous réserve de conditions, couvrant le traitement accessoire et résiduel de ces données dans le contexte du développement et de l’exploitation de systèmes ou de modèles d’IA. Toutefois, ils recommandent plusieurs améliorations, telles que la clarification du champ d’application de la dérogation et la garantie de garanties tout au long du cycle de vie.
L’EDPB et le CEPD sont d’accord avec l’objectif de la Commission d’apporter une clarté juridique aux responsables du traitement lorsqu’ils sont confrontés à des abus de droit de la part de personnes concernées. Toutefois, ils estiment que l’exercice du droit d’accès à des fins autres que la protection des données à caractère personnel ne devrait pas être un élément définissant ce qu’est un abus. En ce qui concerne la nouvelle dérogation relative à la transparence, l’EDPB et le CEPD sont favorables à la simplification des exigences en matière d’information et à la réduction de la charge administrative, en particulier pour les PME, mais suggèrent des clarifications afin de garantir la sécurité juridique et de veiller à ce que les personnes puissent toujours recevoir des informations pertinentes sur leurs données lorsque cela est nécessaire.
Enfin, les modifications apportées à la disposition relative à la prise de décision individuelle automatisée devraient être clarifiées afin de rendre ces modifications significatives et juridiquement saines.
Modifications apportées à la directive «vie privée et communications électroniques»
L’EDPB et le CEPD soutiennent fermement l’objectif consistant à fournir une solution réglementaire pour remédier à la fatigue liée au consentement et à la prolifération des bannières de cookies. Il s’agit, par exemple, des exigences proposées concernant l’utilisation d’indications automatisées et lisibles par machine des choix des personnes en ce qui concerne le traitement de leurs données. L’utilisation de moyens techniques peut simplifier la conformité des responsables du traitement et aider les personnes à rendre leurs choix en ligne efficaces.
L’EDPB et le CEPD se félicitent également des dérogations supplémentaires limitées à l’interdiction générale de stocker des données à caractère personnel dans l’équipement terminal ou d’y avoir accès, et invitent en outre les colégislateurs à encourager la publicité contextuelle plutôt que la publicité comportementale, en ajoutant une exception spécifique assortie de certaines garanties.
L’EDPB et le CEPD se félicitent du fait que le contrôle de ces questions sera confié aux APD.
Dans le même temps, l’EDPB et le CEPD soulignent les difficultés juridiques et techniques soulevées par la coexistence de deux régimes différents pour les données à caractère personnel et les données à caractère non personnel. Elles fournissent également des recommandations supplémentaires visant à renforcer la sécurité juridique, à réduire au minimum les risques et à favoriser l’innovation responsable.
Modifications apportées à l'acquis en matière de données
L’EDPB et le CEPD soutiennent la simplification de l’acquis en matière de données par l’intégration, dans le règlement sur les données, de l’acte sur la gouvernance des données et des règles de la directive sur les données ouvertes relatives à la réutilisation des données et des documents détenus par les organismes du secteur public.
En ce qui concerne l’accès accordé par les organismes publics en vue de la réutilisation, ils recommandent de maintenir la clarté offerte par le cadre juridique actuel, à savoir qu’il n’oblige pas les organismes du secteur public à autoriser la réutilisation et qu’il ne fournit pas non plus de base juridique pour l’octroi de l’accès.
En ce qui concerne les urgences publiques, l’EDPB et le CEPD recommandent d’affirmer que les données à caractère personnel ne peuvent être partagées que sous une forme pseudonymisée avec des organismes du secteur public, dans les cas où les données anonymes sont insuffisantes pour répondre à l’urgence publique.
En ce qui concerne les services d’intermédiation de données et les organisations altruistes en matière de données, l’EDPB et le CEPD soulignent l’importance d’un partage de données fiable et responsable. Ils recommandent de maintenir des garanties spécifiques, en favorisant la transparence et la surveillance.
L’EDPB et le CEPD recommandent de rationaliser davantage les dispositions relatives à l’exécution (par exemple en permettant l’échange d’informations sur l’exécution entre autorités réglementaires, y compris avec les autorités chargées de la protection des données, et en clarifiant le rôle des autorités chargées de la protection des données dans l’application de la législation sur les données).
L’EDPB et le CEPD se félicitent de la confirmation par la proposition du rôle du comité européen de l’innovation dans le domaine des données (CEID) dans le soutien à l’application cohérente de la législation sur les données. En ce qui concerne l’élaboration de lignes directrices, ils recommandent d’habiliter la Commission à publier des lignes directrices sur tout sujet concernant le règlement sur les données et de clarifier le rôle de l’EDIB dans l’assistance à la Commission dans ce processus. Cela permettrait à la Commission d’élaborer des lignes directrices communes avec l’EDPB et à l’EDIB de conseiller et d’assister la Commission dans l’élaboration de ces lignes directrices.
Note aux rédacteurs:
*Le 19 novembre 2025, la Commission a adopté une proposition omnibus numérique modifiant un vaste corpus de la législation numérique de l’UE, y compris le RGPD, le RPDUE, le règlement sur les données, la directive «vie privée et communications électroniques» et la directive SRI 2.
Le 25 novembre 2025, la Commission a officiellement consulté l’EDPB et le CEPD conformément à l’article
42, paragraphe 2, du RPDUE et a demandé un avis sur les aspects concernant le RGPD, le RPDUE, la directive «vie privée et communications électroniques» et l’acquis en matière de données.
Le 20 janvier 2026, à la demande de la Commission, l’EDPB et le CEPD ont également adopté un avis conjoint sur l’«omnibus numérique sur l’IA».
** L’«acquis en matière de données», qui fait partie de la proposition d’omnibus numérique, vise à abroger l’acte sur la gouvernance des données (ci-après l’«acte sur la gouvernance des données»), la directive sur les données ouvertes (ci-après la «directive sur les données ouvertes») et le règlement sur la libre circulation des données à caractère non personnel (ci-après le «règlement sur la libre circulation des données à caractère non personnel») et intègre les dispositions pertinentes modifiées de ces actes dans le règlement sur les données.
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.