La proposition de règlement dite « Digital Omnibus » vient apporter des ajustements techniques mais structurants au Règlement (UE) 2016/679 (RGPD). Présentée comme une mesure de simplification et de rationalisation du corpus numérique européen, elle ne bouleverse pas l’architecture du RGPD. Elle en précise toutefois certains concepts clés et adapte plusieurs régimes au développement massif de l’intelligence artificielle, à la réutilisation des données et aux nouvelles pratiques technologiques.
Les ajustements opérés par le Digital Omnibus
Vers une approche contextualisée du caractère personnel des données
L’une des évolutions majeures concerne l’encadrement de la notion même de donnée à caractère personnel.
Aux termes de l'article 4 1) (définition des données à caractère personnel) :
«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
La proposition de règlement précise que des informations relatives à une personne physique ne constituent pas nécessairement des données à caractère personnel « pour toute autre personne ou entité » du simple fait qu’un tiers pourrait identifier cette personne. Autrement dit, le caractère personnel s’apprécie de manière relative, au regard des moyens raisonnablement susceptibles d’être utilisés par l’entité considérée.
Cette précision fait suite à la jurisprudence de la CJUE.
Une information ne devient donc pas personnelle pour une organisation donnée uniquement parce qu’un destinataire ultérieur pourrait, lui, identifier la personne concernée.
Concrètement, cela suppose pour chaque acteur d’être en mesure de démontrer, analyse à l’appui, qu’il ne dispose pas de moyens raisonnables d’identification. La question n’est plus théorique, elle devient probatoire.
L’encadrement du traitement des données sensibles dans l’IA
La seconde évolution structurante porte sur les exceptions à l’interdiction de traiter des catégories particulières de données.
Aux termes de l'article 9 1) :
Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.
Le Digital Omnibus ajoute une nouvelle base dérogatoire pour le traitement effectué dans le cadre du développement et de l’exploitation d’un système d’IA ou d’un modèle d’IA. Cette ouverture est stratégique : elle reconnaît que l’entraînement et la validation de systèmes d’IA peuvent impliquer, parfois involontairement, des données sensibles.
Cependant, cette dérogation ne justifie pas une collecte disproportionnée et non contrôlée. Le nouveau paragraphe 5 impose la mise en œuvre de mesures organisationnelles et techniques appropriées destinées à éviter la collecte et tout autre traitement de catégories particulières de données.
Si, malgré ces mesures, de telles données apparaissent dans les jeux d’entraînement, de test ou de validation, le responsable du traitement doit les supprimer. Si cette suppression exige des efforts disproportionnés, il doit à tout le moins les protéger efficacement et sans retard injustifié afin d’empêcher leur utilisation pour produire des sorties ou leur divulgation.
Ce mécanisme introduit une obligation dynamique de surveillance des datasets et des modèles. Le responsable de traitement doit être capable de détecter la présence de données sensibles, de démontrer les mesures préventives mises en place et de tracer les décisions de suppression ou de protection.
Des précisions sur les obligations d’information des responsables de traitement
Le Digital Omnibus encadre également plus finement le droit à l’information des personnes. L’objectif est double : garantir une information effective et compréhensible tout en évitant une surcharge informationnelle peu utile en pratique.
Cette rationalisation ne supprime pas l’obligation de transparence, mais elle impose aux responsables de traitement de repenser la structuration de leurs notices d’information, leur accessibilité et leur articulation avec les environnements numériques complexes, en particulier lorsque plusieurs acteurs interviennent dans la chaîne de traitement.
De nouveaux mécanismes légaux pour les données et les terminaux
Le texte introduit par ailleurs de nouvelles dispositions spécifiques.
- L’article 88 bis traite du traitement des données à caractère personnel dans l’équipement terminal des personnes physiques, consacrant un encadrement plus explicite des pratiques liées aux terminaux (smartphones, objets connectés, dispositifs embarqués).
- L’article 88 ter prévoit des indications automatisées et lisibles par machine quant aux choix de la personne concernée concernant le traitement de données dans son équipement terminal, ouvrant la voie à une standardisation technique des préférences exprimées par les individus.
- L’article 88 quater encadre spécifiquement le traitement dans le cadre du développement et de l’exploitation de l’IA, en cohérence avec l’AI Act.
Ces évolutions ont un impact direct. Elles exigent une cartographie fine des traitements, une qualification rigoureuse des données (personnelles, non personnelles, sensibles), une documentation continue des choix techniques et une capacité à démontrer la maîtrise des flux dans des environnements technologiques complexes.
L’allègement annoncé par la Commission en matière de simplification ne signifie pas une baisse d’exigence en matière de responsabilité (accountability). Au contraire, le responsable de traitement doit être capable de démontrer en quoi une donnée n’est pas personnelle pour l’entité, comment les datasets d’IA sont contrôlés, comment l’information est délivrée et comment les préférences des personnes sont intégrées techniquement.
C’est précisément sur ce terrain que des outils spécialisés deviennent indispensables.
La maîtrise des impacts du Digital Omnibus sur les données avec Dastra
Une solution comme Dastra permet :
- de centraliser la cartographie des traitements,
- d’identifier les catégories de données manipulées,
- de documenter les analyses relatives au caractère personnel ou non des informations,
- et d’intégrer les exigences spécifiques liées à l’IA et aux nouvelles obligations issues du Digital Omnibus (gestion des analyses d’impact, le suivi des bases légales, la traçabilité des décisions de suppression ou de protection de données sensibles dans les projets d’IA).
Dans un contexte où la réglementation européenne s’affine, la conformité ne peut plus être fragmentée. Elle doit être documentée et intégrée aux processus métiers et techniques.
Pour les DPO, juristes, RSSI et équipes data, le moment est venu de revoir leurs référentiels et leurs outils. Structurer sa conformité avec une plateforme dédiée comme Dastra, c’est se donner les moyens d’absorber ces évolutions sans subir la complexité réglementaire, et d’inscrire durablement la protection des données et l’IA responsable au cœur de la stratégie de l’entreprise.