Sébastien Gantou (Digital DPO) "La définition de donnée personnelle proposée dans le Digital Omnibus pourrait ne jamais voir le jour"
Dans un avis conjoint, le Comité européen de la protection des données et le Contrôleur européen de la protection des données freinent Bruxelles dans sa réforme du concept de protection des données. Sébastien Gantou, CEO de Digital DPO, explique pourquoi.
JDN. Le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (EDPS) ont récemment adopté un avis conjoint qui critique la proposition de la Commission européenne (CE) de modifier la définition de donnée personnelle dans le cadre du Digital Omnibus. Pourquoi est-ce déterminant ?
Sébastien Gantou. Parce que ces deux autorités indépendantes sont les véritables boussoles de l’Union européenne en matière de protection des données. Si on devait schématiser, l’EDPB est le comité qui réunit régulièrement toutes les autorités nationales de protection des données, dont la Cnil pour la France, afin entre autres d’adopter des lignes directrices. L’EDPS, quant à lui, est un peu l’équivalent du délégué à la protection des données (DPO) de l’UE : réunissant des dizaines des juristes, l’EDPS assiste toutes les institutions européennes dans la préparation des projets de textes législatifs.
Autant vous dire que leur avis pèse lourd et qu’il aura un impact certain sur les discussions autour du Digital Omnibus par le Conseil de l’Europe et le Parlement Européen, dans le cadre du trilogue. Le Conseil et le Parlement proposent des modifications et les soumettent à la CE afin qu’une proposition commune puisse être définie et validée avant le passage au vote.
La nouvelle définition de donnée personnelle portée par la CE dans le Digital Omnibus va-t-elle sauter ?
Il y a de fortes chances que cette définition ne voie jamais le jour. La raison est que ces deux autorités considèrent que la CE est allée trop loin dans son interprétation de la jurisprudence de la Cour de justice de l’UE (CJUE) en proposant une modification substantielle qui va rétrécir le champ de la protection des données d’une manière que l’on ne peut ni anticiper ni contrôler. De plus, ils considèrent que la CE a outrepassé ses prérogatives en s’octroyant la capacité de décider, d’elle-même ce qui n’est plus des données à caractère personnel après une pseudonymisation. A travers cet avis – très construit – c’est un signal politique extrêmement fort que l’EDPB et l’EDPS livrent aux institutions européennes.
Quelle a été l’erreur d’appréciation de la CE selon l’EDPB/EDPS ?
Dans le Digital Omnibus, la CE défend qu’une donnée perd son caractère personnel lorsqu’elle est pseudonymisée et transférée à des tiers qui ne disposent pas des moyens raisonnables pour réidentifier les personnes. Pour proposer cette nouvelle notion, la CE s’est basée sur une interprétation extensive de l’arrêt de la CJUE du 4 septembre 2025. L’affaire concernait des données pseudonymisées transmises par le Conseil de Résolution Unique (CRU) au cabinet Deloitte, un ensemble de mesures permettait d’assurer que les personnes concernées par les données transmises à Deloitte ne soient pas réidentifiées (séparation des données d’identification, pseudonymisation structurée, accès strictement encadré). Sur cette base factuelle, la Cour précise que la pseudonymisation peut conduire à ce qu’un destinataire (tel que Deloitte) ne soit pas en mesure d’attribuer les données à une personne déterminée, et conclut que pour ce destinataire les données ne sont pas des données personnelles.
Il faut garder en tête que l’arrêt de la CJUE vise un cas très particulier, avec un ensemble de garde-fous techniques et organisationnels. C’est d’ailleurs ce que l’avis conjoint de l’EDPB et de l’EDPS vient rappeler : on ne peut pas généraliser ce raisonnement à tous les scénarios de pseudonymisation et de transfert à des tiers, parce que ces garanties ne sont pas systématiquement réunies.
Jugez-vous cette perspective positive ?
Il est positif que cette proposition de la CE visant à réduire le champ d’application de la notion de donnée à caractère personnel soit abandonnée en l’état. Cela risquerait d’aller trop loin autrement. Dans de nombreux cas de pseudonymisation, il est possible qu’un tiers soit en mesure de retrouver l’identité de la personne par des croisements de données complémentaires ou des algorithmes simples.
Ce risque est d’autant plus préoccupant que l’écosystème évolue vers davantage d’automatisation et de capacités d’inférence (notamment avec l’IA) et que d’autres pistes du Digital Omnibus, comme la centralisation du consentement au niveau du navigateur, pourraient accroître l’opacité: à la fin, on ne saurait plus vraiment qui active quels traitements, sur quelle base, et avec quels destinataires. Et, mécaniquement, la responsabilité tendrait à se concentrer sur les acteurs en contact direct avec les personnes.
C’est une perspective positive aussi du point de vue de la gouvernance européenne car, en formulant leur avis conjoint, l’EDPB et l’EDPS freinent la Commission dans sa tentative de passer en force des mesures qui touchent à la protection des données.
En parallèle, il est nécessaire que cela serve d’alerte à l’EDPB et à l’EDPS sur l’importance de travailler sur la simplification de l’exploitation des données, ce que je ressens particulièrement dans le secteur des médias, des contenus et de la publicité en ligne.
L’avis conjoint EDPB/EDPS pointe aussi le fait que le Digital Omnibus complexifie le consentement, en rajoutant des obligations prévues dans ePrivacy à celles du RGPD, non ?
Oui en effet et pour pallier cette complexification, les deux autorités suggèrent l’introduction d’exemptions supplémentaires au consentement, notamment à des fins de mesure des performances, de gestion du capping publicitaire et de lutte contre la fraude. Autre point remarquable : ils envisagent une exception pour la publicité contextuelle (reste à la définir), ouvrant la porte à une monétisation sans consentement, simplifiée, des espaces publicitaires sans profilage des personnes. C’est un autre point positif de cet avis conjoint qui rejoint une proposition portée par les éditeurs médias depuis cinq ans.