Digital Omnibus : ou comment déréglementer le numérique européen pour complaire à Trump et aux big tech

Dessin de Fred Z pour La Brèche

Les Etats mem­bres de l’UE ne cessent de nous van­ter une règle­men­ta­tion plus pro­tec­trice face aux atteintes de nos droits par le numérique. C’est ‑par­tielle­ment – vrai grâce à des textes qui ont été adop­tés après de longues dis­cus­sions. Les deux prin­ci­paux sont le Règle­ment Général sur la Pro­tec­tion des Don­nées per­son­nelles (RGPD), et le Règle­ment sur l’Intelligence Arti­fi­cielle (RIA ou AI Act). Ce dernier n’est pas si pro­tecteur car il a été très “assou­pli” par de nom­breux droits d’ex­cep­tion (obtenus notam­ment par Macron au prof­it de “sa” police et de “son” armée).

Mais, en ces temps de virage à droite toute (sous la pres­sion de Trump et de ses big tech fas­cisantes, aus­si par l’al­liance de fait dans l’UE entre les droites et extrêmes droites), ces pro­tec­tions gênent : la com­mis­sion européenne a ini­tié un proces­sus de déré­gle­men­ta­tion bap­tisé “Dig­i­tal Omnibus”, avec de vrais risques pour nos lib­ertés numériques.

Nous reprenons ci-dessous deux analy­ses :

Pour dévelop­per des cham­pi­ons européens de l’IA et sat­is­faire les deman­des de l’administration Trump, la Com­mis­sion européenne s’attelle à détri­cot­er le Règle­ment Général sur la Pro­tec­tion des Don­nées per­son­nelles (RGPD), et à assou­plir le Règle­ment sur l’intelligence arti­fi­cielle (RIA ou AI Act). Elle a lancé une procé­dure de sim­pli­fi­ca­tion dite “Dig­i­tal omnibus”, le 19 novem­bre dernier, via un texte devant être débat­tu au Par­lement européen dans les prochains mois.

L’objectif ? “Libér­er la don­née pour libér­er l’innovation européenne”, selon l’expression choc de Joce­lyn Gou­bet, directeur en droit économique et poli­tique numérique de l’Association française des entre­pris­es privées [1].

Prob­lème : cer­taines dis­po­si­tions de cet “omnibus numérique” con­stituent “une aubaine pour tous les opéra­teurs de don­nées, et notam­ment pour les data bro­kers (ndlr, courtiers en don­nées)”, comme l’explique Ludovi­ca Robustel­li, doc­teure en droit de l’UE.

Ces courtiers achè­tent des don­nées, les croisent et reven­dent des pro­fils en se bas­ant notam­ment sur “l’identifiant pub­lic­i­taire” pro­pre à chaque télé­phone mobile ou tablette. Utilis­er un appareil numérique laisse de nom­breuses traces. Les courtiers peu­vent ain­si détenir des mil­liers d’informations dif­férentes sur un même indi­vidu : son pat­ri­moine, ses habi­tudes…

Leurs four­nisseurs sont des admin­is­tra­tions, des plate­formes en tout genre et des appli­ca­tions.
Leurs clients : des sociétés privées (notam­ment de mar­ket­ing, de crédit et d’assurance), des États, des admin­is­tra­tions.

L’année dernière, neuf médias dont Le Monde pub­li­aient une enquête inter­na­tionale sur le sujet, les data bro­ker files. Cette enquête est à l’origine d’une propo­si­tion de loi déposée en mai dernier par les 18 séna­teurs du groupe CRCE‑K [2]. Le texte, qui n’a pas encore été mis à l’ordre du jour du Sénat, vise rien de moins que “l’interdiction du courtage de don­nées numériques des per­son­nes morales et physiques présentes sur le ter­ri­toire français”.

Ludovi­ca Robustel­li : “Cette propo­si­tion m’a touchée, parce qu’elle a une portée sym­bol­ique très forte dans le sens où elle essaie de dire que la don­née n’est pas une marchan­dise.” Elle a égale­ment le mérite de point­er cette con­tra­dic­tion présente dans le droit européen où “d’un côté, nous ne sommes pas pro­prié­taires de nos don­nées et de l’autre, des courtiers peu­vent en user comme d’une marchan­dise”. Mais le texte présente deux écueils : une “incom­pat­i­bil­ité indi­recte” avec le droit de l’UE et des dif­fi­cultés d’application liées à l’opacité des acteurs.

Le séna­teur Alexan­dre Basquin, élu com­mu­niste du Nord à l’origine du texte, souscrit à l’analyse de Ludovi­ca Robustel­li. Reste que son tra­vail, pré­cise-t-il “est de porter une aspi­ra­tion”, en l’occurrence “retrou­ver un vrai sens d’humanité et de lib­erté. Lib­erté dans la réflex­ion, dans l’action, dans le partage, retrou­ver tout ce que nous n’avons plus avec le numérique”.

En s’efforçant d’alerter sur les data bro­kers, “symp­to­ma­tiques de toutes les déviances numériques”, il souhaite sus­citer une “prise de con­science citoyenne col­lec­tive”, seule à même de “met­tre à bas cette muraille numérique qui s’impose à nous”. Car, si les régu­la­tions sont des armes néces­saires, face aux Big Tech elles se trans­for­ment en “épées en mousse” ou en “pis­to­lets à eau”. Il alerte égale­ment à tra­vers un essai au titre élo­quent, Numérique : Stop à l’exploitation ! [3].

Reste qu’une loi voulant inter­dire le courtage de don­nées aurait davan­tage de chance d’aboutir en invo­quant la sécu­rité, puisque de fait, “la sécu­rité est une prérog­a­tive des États mem­bres”, explique Ludovi­ca Robustel­li. C’est sous cet angle qu’à l’Assemblée nationale, le groupe écol­o­giste et social abor­de le prob­lème des data bro­kers.

Ses 38 députés ont décidé en décem­bre dernier de lancer une com­mis­sion d’enquête “sur les dépen­dances struc­turelles et les vul­néra­bil­ités sys­témiques dans le secteur du numérique et les risques pour l’indépendance de la France”. Une ini­tia­tive prise en réac­tion à l’omnibus numérique mené au niveau européen, explique la prési­dente du groupe, Cyrielle Chate­lain, élue de l’Isère. Affaib­lir la pro­tec­tion des don­nées per­son­nelles pour soutenir notre com­péti­tiv­ité ?

Con­tre pro­duc­tif selon elle, puisqu’on offre ain­si “un avan­tage sup­plé­men­taire aux gross­es firmes états-uni­ennes qui domi­nent déjà nos entre­pris­es par leur poids économique et financier !”. Elle déplore : “On avait réus­si à établir un rap­port de force via notre capac­ité à régle­menter, donc affaib­lir nos normes aujourd’hui revient à nous affaib­lir nous-mêmes sur le plan géopoli­tique.

Dans leur texte, les députés s’appuient sur les révéla­tions des data bro­kers files. Avec l’un de ces fichiers, Le Monde a réus­si à iden­ti­fi­er et localis­er des citoyens lamb­das jouant à Can­dy Crush ou Farm Heroes mais aus­si des acteurs clés de la sûreté de l’État se déplaçant notam­ment sur des sites mil­i­taires sen­si­bles [4]. Con­clu­sion des députés : le courtage de don­nées con­stitue une men­ace pour “notre sécu­rité col­lec­tive”.

Demeure toute­fois un obsta­cle de taille : de LFI au RN, les par­lemen­taires eux-mêmes ont recours aux data bro­kers pour se faire (ré)élire. Le ser­vice “Zeci­ble” de la société Note bleue pro­pose par exem­ple de cibler des électeurs suiv­ant leur lieu de rési­dence, leurs revenus, leur sit­u­a­tion famil­iale, leurs cen­tres d’intérêts… Face à ces presta­tions, le séna­teur Basquin, fidèle à sa propo­si­tion de loi, clame : “Ça devrait être inter­dit !

[1] “Libér­er la don­née pour libér­er l’innovation européenne”, La Revue poli­tique et par­lemen­taire, 28 novem­bre 2025
[2] Groupe com­mu­niste répub­li­cain citoyen et écol­o­giste – Kanaky
[3] Basquin Alexan­dre, Numérique : Stop à l’exploitation !, Itinéraire d’un séna­teur com­mu­niste dans le monde des algo­rithmes, Le temps des ceris­es, mars 2026
[4] “Espi­ons, policiers ou mil­i­taires d’élite français trahis par les don­nées pub­lic­i­taires de leur télé­phone”, Le Monde, 10 décem­bre 2025

Le Règle­ment sur l’IA [RIA ou AI act] a été adop­té après des années de négo­ci­a­tion et de com­pro­mis, mais cer­taines de ses garanties les plus impor­tantes n’ont même pas com­mencé à s’appliquer.

Au lieu de soutenir la mise en œuvre par le biais d’orientations et d’élab­o­ra­tion d’outils tels que des normes, la Com­mis­sion européenne a rou­vert la loi sous la ban­nière de la “sim­pli­fi­ca­tion”. En réal­ité, comme dans la plu­part des pro­grammes omnibus numériques, la volon­té est de déré­gle­menter. L’ac­cord final va bien au-delà des change­ments tech­niques.

Entre autres change­ments, il retarde les oblig­a­tions pour les sys­tèmes d’IA à haut risque, affaib­lit la trans­parence vis à vis du pub­lic, mod­i­fie la façon dont le Règle­ment sur l’IA s’applique à l’IA indus­trielle et ajoute à la dernière minute de nou­velles pra­tiques inter­dites .

Ce sont des choix poli­tiques qui ont de réelles con­séquences sur les droits fon­da­men­taux et sur les respon­s­abil­ités qui en découlent.

De plus, ce proces­sus crée un dan­gereux précé­dent : des acteurs puis­sants peu­vent, avant leur mise en œuvre, chercher à affaib­lir les règles qui leur déplaisent.

Pour les règles déjà exis­tantes mais qui néces­sit­eraient une appli­ca­tion plus stricte, y com­pris le Règle­ment Général sur la Pro­tec­tion des Don­nées (RGPD) et la direc­tive sur la pro­tec­tion de la vie privée en ligne, le mes­sage est tout aus­si dan­gereux : sous la ban­nière de la “com­péti­tiv­ité”, des droits fon­da­men­taux peu­vent être rejetés. À l’échelle mon­di­ale, l’UE risque de ren­forcer la course vers le bas dans la (dé)réglementation numérique.

Cela est aggravé par un proces­sus mar­qué par l’ab­sence d’é­val­u­a­tion sur l’im­pact des mesures, par une con­sul­ta­tion d’in­térêt pub­lic insuff­isante et par un cal­en­dri­er pré­cip­ité pour des change­ments juridique­ment et poli­tique­ment com­plex­es.

L’une des pires propo­si­tions de la Com­mis­sion a été blo­quée. L’accord final ne sup­prime pas l’obligation d’enregistrer les sys­tèmes d’IA dans la base de don­nées de l’UE lorsque les four­nisseurs s’appuient sur l’article 6, para­graphe 3, pour class­er les sys­tèmes comme “non à haut risque”.

Cela est impor­tant parce que l’ar­ti­cle 6, para­graphe 3, donne déjà aux four­nisseurs le pou­voir dis­cré­tion­naire de décider que cer­tains sys­tèmes util­isés dans les zones à haut risque ne devraient pas être traités comme à haut risque. Sans l’en­reg­istrement pub­lic, les entre­pris­es auraient pu éviter les prin­ci­pales oblig­a­tions de l’AI Act sans presque aucune trace publique.

Mais l’ac­cord affaib­lit encore la trans­parence publique. Les four­nisseurs devront télécharg­er moins d’in­for­ma­tions dans la base de don­nées publique. Cela sig­ni­fie que les régu­la­teurs, les chercheurs, la société civile et les per­son­nes touchées auront moins d’informations pour éval­uer si les four­nisseurs classent cor­recte­ment leurs sys­tèmes, et par con­séquent auront moins de capac­ité à riposter lorsque des dom­mages se pro­duisent.

L’ac­cord déplace égale­ment le règle­ment sur les machines de la sec­tion A à la sec­tion B de l’an­nexe I. Dans la pra­tique, cela pousse les sys­tèmes d’IA inté­grés dans les machines vers les règles sec­to­rielles des machines, plutôt que dans le cadre à haut risque défi­ni par l’AI Act.

C’est un change­ment sérieux. Le Règle­ment sur l’IA a été conçu comme une loi hor­i­zon­tale parce que les méfaits liés à l’IA ne s’in­tè­grent pas par­faite­ment dans les boîtes de sécu­rité des pro­duits. Le droit des machines peut traiter de la sécu­rité physique, mais il n’a pas été conçu pour cou­vrir toute la gamme des risques liés aux droits fon­da­men­taux et spé­ci­fiques à l’IA.

Les sys­tèmes d’IA embar­qués dans les machines peu­vent affecter la sécu­rité des tra­vailleurs, le rythme de tra­vail, l’attribution des tâch­es, la sur­veil­lance, l’autonomie et la capac­ité de remet­tre en ques­tion les déci­sions. Si ces sys­tèmes sont conçus comme de l’optimisation, de l’automatisation, de l’efficacité ou du con­trôle de la qual­ité, leur impact sur les droits peut devenir plus dif­fi­cile à cap­tur­er.

L’ac­cord final retarde les oblig­a­tions clés pour les sys­tèmes d’IA à haut risque. Pour de nom­breux sys­tèmes à haut risque, les mesures de pro­tec­tion sont reportées au 2 décem­bre 2027. Pour les sys­tèmes d’IA cou­verts par l’an­nexe I, le cal­en­dri­er est poussé plus loin, jusqu’au 2 août 2028.

Cela sig­ni­fie que les sys­tèmes d’IA poten­tielle­ment nuis­i­bles peu­vent être mis sur le marché ou déployés plus longtemps sans les garanties com­plètes du Règle­ment sur l’IA. Ces mesures de pro­tec­tion com­pren­nent des règles sur la ges­tion des risques, la doc­u­men­ta­tion, la sur­veil­lance humaine, la trans­parence, l’ex­ac­ti­tude, la robustesse et la sur­veil­lance.

Cela est par­ti­c­ulière­ment préoc­cu­pant parce que les sys­tèmes d’IA sont déjà déployés dans des domaines sen­si­bles tels que les lieux de tra­vail, les ser­vices publics, la san­té, l’éducation, la police, la migra­tion et le sys­tème de jus­tice.

Retarder les garanties n’est pas une étape admin­is­tra­tive neu­tre. Il retarde la respon­s­abil­ité et pro­longe la péri­ode pen­dant laque­lle les per­son­nes touchées par les sys­tèmes d’IA ne béné­fi­cient pas des pro­tec­tions que le Règle­ment sur l’IA était cen­sé fournir.

L’AI Omnibus intro­duit égale­ment une déro­ga­tion inquié­tante pour le traite­ment de caté­gories spé­ciales de don­nées per­son­nelles pour la détec­tion et la cor­rec­tion de biais. Bien sûr, la détec­tion des biais est impor­tante, mais elle ne doit pas être util­isée pour nor­malis­er la présence de don­nées haute­ment sen­si­bles dans les pipelines d’IA. Les don­nées révélant la san­té, les opin­ions poli­tiques, l’ori­en­ta­tion sex­uelle ou l’o­rig­ine eth­nique exi­gent une pro­tec­tion stricte en ver­tu de la loi européenne sur la pro­tec­tion des don­nées.

Cela est par­ti­c­ulière­ment inquié­tant dans le con­texte du soi-dis­ant “Omnibus de don­nées”, l’autre pili­er de l’Omnibus numérique, qui risque de créer de nou­velles déro­ga­tions pour l’utilisation de caté­gories spé­ciales de don­nées per­son­nelles dans le développe­ment de l’IA. Ensem­ble, ces fichiers risquent de déplac­er le traite­ment de don­nées sen­si­bles d’exceptionnel à nor­mal.

L’accord final ajoute égale­ment de nou­velles inter­dic­tions pour les sys­tèmes d’IA de génér­er ou de manip­uler du matériel intime non con­sen­ti et du matériel d’abus sex­uel sur des enfants. Les préju­dices abor­dés ici sont réels et graves. Mais ces inter­dic­tions ont été insérées dans un dossier Omnibus présen­té comme une sim­pli­fi­ca­tion tech­nique, bien que le Règle­ment sur l’IA dis­pose déjà d’un mécan­isme de révi­sion pour les pra­tiques inter­dites, et alors que la recon­nais­sance des émo­tions abu­sives con­tre les per­son­nes en mou­ve­ment et les tech­nolo­gies de sur­veil­lance fab­riquées par l’UE affec­tant des per­son­nes en dehors de l’UE con­tin­u­ent d’être autorisées.

Une inter­dic­tion des titres ne devrait pas détourn­er l’at­ten­tion de la réal­ité plus large: le même accord retarde les garanties, affaib­lit la trans­parence et crée de nou­velles failles.

L’AI Omnibus affaib­lit le Règle­ment sur l’IA avant même que des garanties clés n’aient com­mencé à s’appliquer. Il retarde la respon­s­abil­ité, réduit la trans­parence, frag­mente la logique hor­i­zon­tale de l’AI Act et donne aux lob­by­istes de l’industrie la pos­si­bil­ité de redis­cuter des oblig­a­tions con­tenues dans l’AI act qui ne leur con­vi­en­nent pas.

Cela compte au-delà de l’IA. La même logique de déré­gle­men­ta­tion est vis­i­ble dans l’Omnibus Data et le Dig­i­tal Fit­ness Check, ain­si que dans d’autres domaines bien au-delà des droits numériques. Si ce mod­èle devient la norme, la règle­men­ta­tion numérique de l’UE restera ouverte à la pres­sion per­ma­nente chaque fois que les garanties devi­en­nent gênantes.

Dans l’analyse jointe, nous expliquons les prin­ci­paux change­ments plus en détail. La con­clu­sion est claire : le Par­lement européen devrait rejeter l’ac­cord AI Omnibus. Les décideurs poli­tiques qui se soucient des droits fon­da­men­taux, de l’état de droit et de la respon­s­abil­ité sig­ni­fica­tive doivent résis­ter à la déré­gle­men­ta­tion, que ce soit par le biais de fichiers Omnibus ou de toute autre procé­dure pré­cip­itée util­isée pour affaib­lir les garanties dure­ment gag­nées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *