Dessin de Fred Z pour La Brèche
Les Etats membres de l’UE ne cessent de nous vanter une règlementation plus protectrice face aux atteintes de nos droits par le numérique. C’est ‑partiellement – vrai grâce à des textes qui ont été adoptés après de longues discussions. Les deux principaux sont le Règlement Général sur la Protection des Données personnelles (RGPD), et le Règlement sur l’Intelligence Artificielle (RIA ou AI Act). Ce dernier n’est pas si protecteur car il a été très “assoupli” par de nombreux droits d’exception (obtenus notamment par Macron au profit de “sa” police et de “son” armée).
Mais, en ces temps de virage à droite toute (sous la pression de Trump et de ses big tech fascisantes, aussi par l’alliance de fait dans l’UE entre les droites et extrêmes droites), ces protections gênent : la commission européenne a initié un processus de déréglementation baptisé “Digital Omnibus”, avec de vrais risques pour nos libertés numériques.
Nous reprenons ci-dessous deux analyses :
- celle parue dans La Brèche de mars 2026 sur la déréglementation du RGPD et ses conséquences pour nos données personnelles.
- Le communiqué commun par l’EDRi, Access Now, l’ECNL et Amnesty International de l’accord final sur l’AI Omnibus adopté le 7 mai.
La Brèche n°15 (mars 2026) : La commission européenne veut détricoter le RGPD…
Pour développer des champions européens de l’IA et satisfaire les demandes de l’administration Trump, la Commission européenne s’attelle à détricoter le Règlement Général sur la Protection des Données personnelles (RGPD), et à assouplir le Règlement sur l’intelligence artificielle (RIA ou AI Act). Elle a lancé une procédure de simplification dite “Digital omnibus”, le 19 novembre dernier, via un texte devant être débattu au Parlement européen dans les prochains mois.
L’objectif ? “Libérer la donnée pour libérer l’innovation européenne”, selon l’expression choc de Jocelyn Goubet, directeur en droit économique et politique numérique de l’Association française des entreprises privées [1].
Problème : certaines dispositions de cet “omnibus numérique” constituent “une aubaine pour tous les opérateurs de données, et notamment pour les data brokers (ndlr, courtiers en données)”, comme l’explique Ludovica Robustelli, docteure en droit de l’UE.
Ces courtiers achètent des données, les croisent et revendent des profils en se basant notamment sur “l’identifiant publicitaire” propre à chaque téléphone mobile ou tablette. Utiliser un appareil numérique laisse de nombreuses traces. Les courtiers peuvent ainsi détenir des milliers d’informations différentes sur un même individu : son patrimoine, ses habitudes…
Leurs fournisseurs sont des administrations, des plateformes en tout genre et des applications.
Leurs clients : des sociétés privées (notamment de marketing, de crédit et d’assurance), des États, des administrations.
Des data brokers, “symptomatiques de toutes les déviances numériques”
L’année dernière, neuf médias dont Le Monde publiaient une enquête internationale sur le sujet, les data broker files. Cette enquête est à l’origine d’une proposition de loi déposée en mai dernier par les 18 sénateurs du groupe CRCE‑K [2]. Le texte, qui n’a pas encore été mis à l’ordre du jour du Sénat, vise rien de moins que “l’interdiction du courtage de données numériques des personnes morales et physiques présentes sur le territoire français”.
Ludovica Robustelli : “Cette proposition m’a touchée, parce qu’elle a une portée symbolique très forte dans le sens où elle essaie de dire que la donnée n’est pas une marchandise.” Elle a également le mérite de pointer cette contradiction présente dans le droit européen où “d’un côté, nous ne sommes pas propriétaires de nos données et de l’autre, des courtiers peuvent en user comme d’une marchandise”. Mais le texte présente deux écueils : une “incompatibilité indirecte” avec le droit de l’UE et des difficultés d’application liées à l’opacité des acteurs.
Le sénateur Alexandre Basquin, élu communiste du Nord à l’origine du texte, souscrit à l’analyse de Ludovica Robustelli. Reste que son travail, précise-t-il “est de porter une aspiration”, en l’occurrence “retrouver un vrai sens d’humanité et de liberté. Liberté dans la réflexion, dans l’action, dans le partage, retrouver tout ce que nous n’avons plus avec le numérique”.
En s’efforçant d’alerter sur les data brokers, “symptomatiques de toutes les déviances numériques”, il souhaite susciter une “prise de conscience citoyenne collective”, seule à même de “mettre à bas cette muraille numérique qui s’impose à nous”. Car, si les régulations sont des armes nécessaires, face aux Big Tech elles se transforment en “épées en mousse” ou en “pistolets à eau”. Il alerte également à travers un essai au titre éloquent, Numérique : Stop à l’exploitation ! [3].
Reste qu’une loi voulant interdire le courtage de données aurait davantage de chance d’aboutir en invoquant la sécurité, puisque de fait, “la sécurité est une prérogative des États membres”, explique Ludovica Robustelli. C’est sous cet angle qu’à l’Assemblée nationale, le groupe écologiste et social aborde le problème des data brokers.
Ses 38 députés ont décidé en décembre dernier de lancer une commission d’enquête “sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France”. Une initiative prise en réaction à l’omnibus numérique mené au niveau européen, explique la présidente du groupe, Cyrielle Chatelain, élue de l’Isère. Affaiblir la protection des données personnelles pour soutenir notre compétitivité ?
Contre productif selon elle, puisqu’on offre ainsi “un avantage supplémentaire aux grosses firmes états-uniennes qui dominent déjà nos entreprises par leur poids économique et financier !”. Elle déplore : “On avait réussi à établir un rapport de force via notre capacité à réglementer, donc affaiblir nos normes aujourd’hui revient à nous affaiblir nous-mêmes sur le plan géopolitique.”
Dans leur texte, les députés s’appuient sur les révélations des data brokers files. Avec l’un de ces fichiers, Le Monde a réussi à identifier et localiser des citoyens lambdas jouant à Candy Crush ou Farm Heroes mais aussi des acteurs clés de la sûreté de l’État se déplaçant notamment sur des sites militaires sensibles [4]. Conclusion des députés : le courtage de données constitue une menace pour “notre sécurité collective”.
Demeure toutefois un obstacle de taille : de LFI au RN, les parlementaires eux-mêmes ont recours aux data brokers pour se faire (ré)élire. Le service “Zecible” de la société Note bleue propose par exemple de cibler des électeurs suivant leur lieu de résidence, leurs revenus, leur situation familiale, leurs centres d’intérêts… Face à ces prestations, le sénateur Basquin, fidèle à sa proposition de loi, clame : “Ça devrait être interdit !”
[1] “Libérer la donnée pour libérer l’innovation européenne”, La Revue politique et parlementaire, 28 novembre 2025
[2] Groupe communiste républicain citoyen et écologiste – Kanaky
[3] Basquin Alexandre, Numérique : Stop à l’exploitation !, Itinéraire d’un sénateur communiste dans le monde des algorithmes, Le temps des cerises, mars 2026
[4] “Espions, policiers ou militaires d’élite français trahis par les données publicitaires de leur téléphone”, Le Monde, 10 décembre 2025
COMMUNIQUÉ : Accord IA omnibus, les législateurs de l’UE devraient rejeter un recul des garanties
Un dossier de déréglementation présenté comme une simplification
Le Règlement sur l’IA [RIA ou AI act] a été adopté après des années de négociation et de compromis, mais certaines de ses garanties les plus importantes n’ont même pas commencé à s’appliquer.
Au lieu de soutenir la mise en œuvre par le biais d’orientations et d’élaboration d’outils tels que des normes, la Commission européenne a rouvert la loi sous la bannière de la “simplification”. En réalité, comme dans la plupart des programmes omnibus numériques, la volonté est de déréglementer. L’accord final va bien au-delà des changements techniques.
Entre autres changements, il retarde les obligations pour les systèmes d’IA à haut risque, affaiblit la transparence vis à vis du public, modifie la façon dont le Règlement sur l’IA s’applique à l’IA industrielle et ajoute à la dernière minute de nouvelles pratiques interdites .
Ce sont des choix politiques qui ont de réelles conséquences sur les droits fondamentaux et sur les responsabilités qui en découlent.
De plus, ce processus crée un dangereux précédent : des acteurs puissants peuvent, avant leur mise en œuvre, chercher à affaiblir les règles qui leur déplaisent.
Pour les règles déjà existantes mais qui nécessiteraient une application plus stricte, y compris le Règlement Général sur la Protection des Données (RGPD) et la directive sur la protection de la vie privée en ligne, le message est tout aussi dangereux : sous la bannière de la “compétitivité”, des droits fondamentaux peuvent être rejetés. À l’échelle mondiale, l’UE risque de renforcer la course vers le bas dans la (dé)réglementation numérique.
Cela est aggravé par un processus marqué par l’absence d’évaluation sur l’impact des mesures, par une consultation d’intérêt public insuffisante et par un calendrier précipité pour des changements juridiquement et politiquement complexes.
L’accord affaiblit les principales garanties du règlement sur l’IA
L’une des pires propositions de la Commission a été bloquée. L’accord final ne supprime pas l’obligation d’enregistrer les systèmes d’IA dans la base de données de l’UE lorsque les fournisseurs s’appuient sur l’article 6, paragraphe 3, pour classer les systèmes comme “non à haut risque”.
Cela est important parce que l’article 6, paragraphe 3, donne déjà aux fournisseurs le pouvoir discrétionnaire de décider que certains systèmes utilisés dans les zones à haut risque ne devraient pas être traités comme à haut risque. Sans l’enregistrement public, les entreprises auraient pu éviter les principales obligations de l’AI Act sans presque aucune trace publique.
Mais l’accord affaiblit encore la transparence publique. Les fournisseurs devront télécharger moins d’informations dans la base de données publique. Cela signifie que les régulateurs, les chercheurs, la société civile et les personnes touchées auront moins d’informations pour évaluer si les fournisseurs classent correctement leurs systèmes, et par conséquent auront moins de capacité à riposter lorsque des dommages se produisent.
L’accord déplace également le règlement sur les machines de la section A à la section B de l’annexe I. Dans la pratique, cela pousse les systèmes d’IA intégrés dans les machines vers les règles sectorielles des machines, plutôt que dans le cadre à haut risque défini par l’AI Act.
C’est un changement sérieux. Le Règlement sur l’IA a été conçu comme une loi horizontale parce que les méfaits liés à l’IA ne s’intègrent pas parfaitement dans les boîtes de sécurité des produits. Le droit des machines peut traiter de la sécurité physique, mais il n’a pas été conçu pour couvrir toute la gamme des risques liés aux droits fondamentaux et spécifiques à l’IA.
Les systèmes d’IA embarqués dans les machines peuvent affecter la sécurité des travailleurs, le rythme de travail, l’attribution des tâches, la surveillance, l’autonomie et la capacité de remettre en question les décisions. Si ces systèmes sont conçus comme de l’optimisation, de l’automatisation, de l’efficacité ou du contrôle de la qualité, leur impact sur les droits peut devenir plus difficile à capturer.
Les garanties retardées signifient une responsabilité repoussée
L’accord final retarde les obligations clés pour les systèmes d’IA à haut risque. Pour de nombreux systèmes à haut risque, les mesures de protection sont reportées au 2 décembre 2027. Pour les systèmes d’IA couverts par l’annexe I, le calendrier est poussé plus loin, jusqu’au 2 août 2028.
Cela signifie que les systèmes d’IA potentiellement nuisibles peuvent être mis sur le marché ou déployés plus longtemps sans les garanties complètes du Règlement sur l’IA. Ces mesures de protection comprennent des règles sur la gestion des risques, la documentation, la surveillance humaine, la transparence, l’exactitude, la robustesse et la surveillance.
Cela est particulièrement préoccupant parce que les systèmes d’IA sont déjà déployés dans des domaines sensibles tels que les lieux de travail, les services publics, la santé, l’éducation, la police, la migration et le système de justice.
Retarder les garanties n’est pas une étape administrative neutre. Il retarde la responsabilité et prolonge la période pendant laquelle les personnes touchées par les systèmes d’IA ne bénéficient pas des protections que le Règlement sur l’IA était censé fournir.
Les données sensibles et les interdictions de titres ne doivent pas détourner l’attention du recul plus large
L’AI Omnibus introduit également une dérogation inquiétante pour le traitement de catégories spéciales de données personnelles pour la détection et la correction de biais. Bien sûr, la détection des biais est importante, mais elle ne doit pas être utilisée pour normaliser la présence de données hautement sensibles dans les pipelines d’IA. Les données révélant la santé, les opinions politiques, l’orientation sexuelle ou l’origine ethnique exigent une protection stricte en vertu de la loi européenne sur la protection des données.
Cela est particulièrement inquiétant dans le contexte du soi-disant “Omnibus de données”, l’autre pilier de l’Omnibus numérique, qui risque de créer de nouvelles dérogations pour l’utilisation de catégories spéciales de données personnelles dans le développement de l’IA. Ensemble, ces fichiers risquent de déplacer le traitement de données sensibles d’exceptionnel à normal.
L’accord final ajoute également de nouvelles interdictions pour les systèmes d’IA de générer ou de manipuler du matériel intime non consenti et du matériel d’abus sexuel sur des enfants. Les préjudices abordés ici sont réels et graves. Mais ces interdictions ont été insérées dans un dossier Omnibus présenté comme une simplification technique, bien que le Règlement sur l’IA dispose déjà d’un mécanisme de révision pour les pratiques interdites, et alors que la reconnaissance des émotions abusives contre les personnes en mouvement et les technologies de surveillance fabriquées par l’UE affectant des personnes en dehors de l’UE continuent d’être autorisées.
Une interdiction des titres ne devrait pas détourner l’attention de la réalité plus large: le même accord retarde les garanties, affaiblit la transparence et crée de nouvelles failles.
Le Parlement et le Conseil devraient rejeter l’accord AI Omnibus
L’AI Omnibus affaiblit le Règlement sur l’IA avant même que des garanties clés n’aient commencé à s’appliquer. Il retarde la responsabilité, réduit la transparence, fragmente la logique horizontale de l’AI Act et donne aux lobbyistes de l’industrie la possibilité de rediscuter des obligations contenues dans l’AI act qui ne leur conviennent pas.
Cela compte au-delà de l’IA. La même logique de déréglementation est visible dans l’Omnibus Data et le Digital Fitness Check, ainsi que dans d’autres domaines bien au-delà des droits numériques. Si ce modèle devient la norme, la règlementation numérique de l’UE restera ouverte à la pression permanente chaque fois que les garanties deviennent gênantes.
Dans l’analyse jointe, nous expliquons les principaux changements plus en détail. La conclusion est claire : le Parlement européen devrait rejeter l’accord AI Omnibus. Les décideurs politiques qui se soucient des droits fondamentaux, de l’état de droit et de la responsabilité significative doivent résister à la déréglementation, que ce soit par le biais de fichiers Omnibus ou de toute autre procédure précipitée utilisée pour affaiblir les garanties durement gagnées.
Analyse détaillée de l’AI Omnibus (en anglais)
Par European Digital Rights (EDRi), Article 19, Access Now, AlgorithmWatch, Amnesty International, Danes je nov dan, European Center for Not-for-profit Law (ECNL), Lafede – justícia global et Politiscope
