Par Arnaud Latil, Maitre de conférences, Sorbonne Université, centre « Sciences, Normes et Démocratie » (SND UMR 8011)

Pourquoi la Commission européenne a-t-elle publié un nouveau paquet numérique ?

L’annonce de ce nouveau paquet numérique s’inscrit dans un mouvement, plus vaste, de simplification du droit, incarné par les différents autres textes dits « Omnibus » en matière d’environnement et de défense. A la suite des rapports Draghi et Letta, la Commission européenne a en effet reçu mandat de la part du Conseil de rendre l’encadrement des activités numériques plus efficace, simple et favorable à l’innovation. De cette manière, l’UE entend répondre aux accusations régulières de « sur-régulation » des activités numériques. La Commission européenne avait en outre annoncé que son actuel mandat serait consacré à la mise en œuvre des nombreux textes adoptés en la matière entre 2019 et 2024. Ce train de réformes s’inscrit ainsi dans ce cadre à travers des propositions de mesures visant à rendre plus souple l’application de ces textes, en ciblant particulièrement les petites entreprises.

La lecture de ces textes dessine trois grands mouvements : d’abord, la Commission propose de codifier le droit des données au sein du Règlement « Data Act » (Regulation (EU) 2023/2854), qui deviendrait le siège unique des dispositions relatives aux données non personnelles, actuellement éparpillées dans le Règlement (UE) 2018/1807 (Free Flow of Non-personal Data Regulation), qui serait abrogé, et dans le Règlement (UE) 2022/868 (Data Governance Act) et de la Directive (EU) 2019/1024 (Open Data Directive), qui seraient en partie réformés.

Ensuite, la Commission propose une série de réformes – pas seulement « techniques » comme elle l’indique pourtant à plusieurs reprises – destinées à alléger la charge pesant sur les entreprises, à encourager l’innovation et à rationnaliser l’application des textes existants. Enfin, à rebours d’une logique de pure dérégulation, elle a annoncé la discussion de nouveaux textes : en plus du European Business Wallets (COM(2025) 838 final), un « Cloud and AI Development Act », une directive sur l’Open data, un règlement d’exécution en matière en matière de pseudonymisation de données, ainsi que de très nombreuses lignes directrices en matière d’IA.

Quelles sont les principales propositions de réformes ?

Le droit des données à caractère personnel fait d’abord l’objet de plusieurs propositions de réformes substantielles. La Commission européenne propose ainsi d’intégrer au sein du RGPD la définition des données personnelles retenue par la CJUE dans l’arrêt SBR du 4 septembre 2025 (C-413/23 P). Il en résulterait que les données pseudonymisées seraient exclues du champ d’application du texte. De plus, l’utilisation de données personnelles pour l’entrainement de systèmes d’IA serait autorisée sur la base de « l’intérêt légitime » du responsable de traitement. La proposition est d’autant plus forte qu’elle consisterait en l’ajout d’une nouvelle exception à l’article 9 du RGPD qui concerne les données sensibles. Toujours afin de faciliter le traitement des données personnelles, mais aussi pour répondre à la critique récurrente connue sous le terme de la « fatigue du consentement », la Commission propose de considérer que le dépôt de certains cookies (mesure d’audience et statistique d’utilisation) ne requerrait plus le consentement de l’utilisateur d’un site web. Les préférences seraient alors centralisées dans le navigateur. D’autres mesures complètent ce tableau, comme le relèvement du seuil de notification en cas d’incident aux risques les plus élevés, ou encore l’autorisation – très attendue des professionnels – de traiter des données personnelles afin de détecter et corriger des biais dans les systèmes ou modèles d’IA.

Le Règlement sur l’intelligence artificielle, dont certaines dispositions ne sont pas encore entrées en vigueur, fait quant à lui l’objet de propositions de réformes qui ont essentiellement pour objet de rendre son application plus fluide. La principale mesure consiste à répondre à une demande très forte de la plupart des parties-prenantes concernant le report des dates d’application des dispositions relatives aux systèmes d’IA à haut-risque, initialement prévues au 2 août 2026 et 2 août 2027. Ces dates seraient dorénavant corrélées à la publication des normes harmonisées par le CEN-CENELEC, qui demeurent toujours en cours de discussion. Toujours dans le but de rendre l’application du texte plus souple, les exceptions favorables aux SMEs seraient étendues aux « small mid-caps » (SMCs), entendues comme les entreprises comprises entre 250 et 749 salariés. Enfin, un assouplissement des mesures en matière de littératie (article 4 du RIA) est aussi prévu.

Quelles conséquences en matière de gouvernance européenne du numérique ?

Un nombre important de dispositions portent sur la gouvernance européenne du numérique. Deux objectifs ont guidé la Commission européenne. Le premier consiste à éliminer certaines formalités qui pèsent sur les entreprises. Ainsi l’obligation de déclaration des systèmes d’IA à haut risque serait supprimée et certaines procédures seraient allégées, comme en matière d’évaluation de la conformité et d’encadrement des bacs à sable.

L’autre objectif consiste à rationaliser les relations entre les parties prenantes et les régulateurs. Les propositions consistent alors à concentrer certains pouvoirs entre les mains de la Commission européenne afin d’éviter les doublons nationaux, à fluidifier les relations entre autorités européennes de surveillance du marché ou encore à créer des guichets uniques, comme cela est prévu en matière de notification des incidents de cybersécurité ou encore en matière d’analyse d’impact relative à la protection des données de l’article 35 du RGPD. Plusieurs autres initiatives visent à proposer des outils de vérification de la conformité, comme le « one-click compliance initiative » et le « data act legal helpdesk », sur le modèle des initiatives déjà existantes en matière d’IA.