Règlement omnibus numérique : l'avis conjoint du CEPD et de l'EDPS

Le CEPD et l’EDPS ont centré leur analyse sur les dispositions relatives au RGPD, au règlement sur la protection des données dans les institutions de l’Union (RPDUE), à la directive « vie privée et communications électroniques » ainsi qu’à l’acquis en matière de données. Leur évaluation porte ainsi sur trois axes : la réalité de la simplification proposée, le renforcement de la sécurité juridique et les éventuelles atteintes aux droits fondamentaux des personnes.

Des modifications du RGPD jugées préoccupantes

Sur plusieurs points, le CEPD et l’EDPS expriment des réserves importantes, invitant les colégislateurs à ne pas retenir la modification proposée de la définition des données à caractère personnel. Ils estiment que celle-ci va au-delà d’une révision technique, qu’elle ne reflète pas exactement la jurisprudence de la Cour de justice de l’Union européenne et qu’elle aboutirait à restreindre significativement la notion de données à caractère personnel.

Des évolutions accueillies favorablement

Plusieurs orientations du texte sont en revanche soutenues par le CEPD et l’EDPS. Les deux instances approuvent ainsi l’augmentation du seuil de risque déclenchant l’obligation de notifier une violation de données à l’autorité compétente, ainsi que l’allongement du délai imparti pour soumettre cette notification. Ces ajustements permettraient de réduire sensiblement la charge administrative sans affaiblir la protection des personnes. Les modèles et listes communs proposés pour les violations de données et les analyses d’impact sont également salués, de même que l’harmonisation de la notion de « recherche scientifique », jugée favorable à une plus grande sécurité juridique.

Intelligence artificielle et cookies

S’agissant de l’intelligence artificielle, le CEPD et l’EDPS accueillent favorablement l’objectif d’une dérogation couvrant le traitement accidentel et résiduel de données sensibles dans le contexte du développement et de l’exploitation de systèmes d’IA, tout en recommandant de clarifier le champ d’application de cette dérogation et de maintenir des garanties tout au long du cycle de vie des systèmes concernés.

Sur la directive « vie privée et communications électroniques », les deux autorités soutiennent les dispositions visant à remédier à la prolifération des bannières de cookies et à la fatigue liée au consentement, notamment grâce à l’utilisation d’indications automatisées et lisibles par machine. Ils appellent, par ailleurs, les colégislateurs à encourager la publicité contextuelle plutôt que comportementale, en introduisant une exception encadrée par des garanties appropriées.

Les trois points clés à retenir

Le CEPD et l’EDPS soutiennent l’objectif de simplification du cadre règlementaire numérique européen, tout en formulant des réserves importantes sur certaines dispositions.
Ils invitent notamment à ne pas retenir les modifications proposées à la définition des données à caractère personnel, estimant qu’elle dépasse le cadre d’une révision technique du RGPD et pourrait restreindre significativement cette notion.
Ils approuvent en revanche le relèvement du seuil de notification des violations de données et soutiennent les dispositions visant à réduire la prolifération des bannières de cookies.