Marc-Antoine Ledieu (Ledieu Avocats) Digital Omnibus : "La révision du RGPD proposée par la Commission européenne permet de stimuler l'innovation dans l'IA"
Présenté par la Commission européenne ce 19 novembre, le Digital Omnibus vise à assouplir un RGPD jugé trop contraignant pour la croissance économique européenne. Il doit être examiné par le Parlement européen.
JDN. Pourquoi la Commission européenne propose-t-elle de modifier le RGPD ?
Marc-Antoine Ledieu. Le RGPD, qui est une très grande avancée éthique, a été érigé en totem indéboulonnable. Mais la Commission européenne a constaté que le RGPD s'applique souvent de manière excessive. Elle a donc décidé de restreindre la portée de dispositions interprétées de manière trop extensive dans certains Etats membres pour harmoniser l'application du texte dans l'ensemble de l'Union européenne (UE).
Aussi, à force d'adopter des positions très restrictives en termes de protection des données, l'UE se rend compte qu'elle est en train de prendre du retard dans la compétition pour l'IA. C'est pourquoi la Commission européenne nuance le RGPD pour que les Européens arrêtent de se poignarder eux-mêmes en s'interdisant ce que d'autres, comme les Américains, font. La révision du RGPD proposée par la Commission européenne permet de stimuler l'innovation dans l'IA et la recherche. C'est une bonne chose.
Quelles sont les modifications importantes du RGPD proposées par le Digital Omnibus ?
Il propose de modifier la définition des données personnelles en précisant que des informations relatives à une personne ne sont pas nécessairement personnelles. Par exemple, n'est pas une donnée personnelle l'information qui ne permet pas d'identifier la personne physique à laquelle elle se rapporte. Avec cette modification, la Commission européenne réinterprète la définition avec bon sens.
Aussi, le texte propose des exceptions à l'interdiction du traitement de données sensibles. Ces données sont, par exemple, les origines raciales, ethniques, les opinions politiques, les données génétiques ou biométriques d'une personne. La Commission précise, en effet, que le traitement des données biométriques est nécessaire, et donc légitime, pour vérifier l'identité d'une personne. Cela peut par exemple être le cas dans les aéroports. Il s'agit d'une exception de bon sens permettant d'arrêter d'affirmer que la vérification d'une identité biométrique, dans certains cas légitimes, est une atteinte aux droits fondamentaux des personnes.
La Commission propose aussi de rendre possible la collecte et le traitement de données sensibles pour entraîner des IA. Toutefois, une personne dont les données sont traitées peut s'y opposer et demander au fournisseur d'IA de les retirer du dataset, sauf si cela nécessite des efforts disproportionnés. Là encore, c'est du bon sens. Si on interdit un tel traitement aux fournisseurs d'IA, les Américains et les Chinois le feront, y compris sur les données des Européens.
D'autres modifications sont proposées pour nuancer le RGPD. Par exemple, si une personne dont les données sont collectées demande des informations excessives quant à cette collecte, alors le responsable du traitement peut refuser de donner suite à sa demande. Aujourd'hui il y a énormément de personnes qui passent leur vie à faire des demandes excessives de droits d'accès, de rectifications, etc. Cela permet donc d'arrêter des abus et de rééquilibrer les choses.
Le Digital Omnibus propose-t-il de modifier l'organisation institutionnelle du RGPD ?
Oui. Dans le RGPD actuel, l'entité qui subit une violation de données doit prévenir la Commission nationale de l'informatique et des libertés (Cnil) dans les 72 heures. Désormais, la commission propose 96 heures. Aussi, si ce projet est validé par le Parlement européen, ce n'est plus la Cnil qui devra être informée, mais l'Agence nationale de la sécurité des systèmes d'information. Enfin, la Commission propose de doter l'European data protection board, l'organisme qui réunit toutes les autorités nationales de protection des données, de plus de pouvoirs pour harmoniser l'application du RGPD dans toute l'UE.
Le Digital Omnibus propose-t-il de renforcer certains droits des Européens ?
Oui, il y a une modification importante qui concerne les bannières des cookies. Désormais, les utilisateurs pourront indiquer au navigateur web leur consentement, leur refus et leurs préférences en un clic et une fois pour toutes pour les dépôts de cookies.
Le texte contient une autre nouveauté qui est un véritable tremblement de terre. Désormais, le stockage de données personnelles ou l'accès à des données personnelles déjà stockées, dans le terminal d'un utilisateur, n'est autorisé que lorsque la personne a donné son consentement explicite. Toutefois, la presse en ligne est exonérée de cette nouvelle obligation.