Digital Omnibus on AI : pourquoi la simplification inquiète les autorités européennes de protection de données ?
Retour sur l’avis conjoint EDPB-EDPS du 20 janvier 2026
À Bruxelles, le 19 novembre 2025, la Commission européenne publiait deux propositions de règlements inédites présentées sous le « nouveau paquet numérique ». Ce train de mesures omnibus (du latin « pour tous ») a fait grand débat et a un grand nombre d’acteurs.
La proposition de règlement omnibus sur le numérique illustre la volonté des colégislateurs européens de simplifier le corpus réglementaire numérique. Elle intervient dans un contexte marqué à la fois par une inflation et une complexité normative mais également par la nécessité de renforcer la compétitivité européenne – notamment mise en avant dans le rapport Draghi.
Ces initiatives revêtant une importance particulière pour la protection des données à caractère personnel, la Commission européenne a dès lors sollicité l’avis des autorités européennes compétentes en la matière : l’European Data Protection Board (EDPB) et l’European Data Protection Supervisor (EDPS). Ces dernières ont ainsi rendu deux avis conjoints successifs publiés respectivement le 20 janvier 2026 et le 10 février 2026.
L’avis conjoint du 20 janvier : simplifier sans fragiliser ?
Si l’intention de réduire la charge administrative pour les entreprises est saluée, l’EDPB et l’EDPS tirent la sonnette d’alarme : la simplification ne doit pas se faire au détriment des droits fondamentaux. Elles reconnaissent la pertinence de l’objectif poursuivi par la Commission mais soulignent que certaines modifications proposées pourraient fragiliser l’équilibre du droit européen de la protection des données.
L’avis conjoint EDPB-EDPS agit ainsi comme un garde-fou. Les instances indiquent soutenir le principe d’une simplification réglementaire tout en considérant que certaines modifications proposées pourraient :
- affaiblir les garanties existantes ;
- créer une incertitude juridique ;
- altérer la cohérence du cadre juridique européen applicable à l’intelligence artificielle et à la protection des données.
La simplification ne doit pas conduire à réduire la responsabilité des acteurs développant ou utilisant des systèmes d’intelligence artificielle (SIA), ni à diminuer le niveau de protection des droits fondamentaux, garanti par le RIA (AI ACT) ou le RGPD (GDPR).
Par ailleurs, les autorités rappellent que l’EDPB et la Commission européenne travaillent actuellement à l’élaboration de lignes directrices communes sur l’interaction entre ces deux règlements, qui seront publiées dans le courant de l’année 2026.
- Les données sensibles et la détection des biais : une extension à double tranchant
Le projet de simplification propose d’étendre la base légale permettant de traiter des catégories particulières de données personnelles (données sensibles) pour détecter et corriger les biais dans tous les systèmes d’IA, et non plus seulement ceux à haut risque.
Bien que nécessaire pour une IA équitable, ce traitement doit rester l’exception. Les autorités insistent pour que le critère de nécessité stricte soit maintenu et que l’usage soit limité aux cas où le risque de biais est réellement sérieux. Ils recommandent de mieux justifier l’extension envisagée en apportant des précisions supplémentaires dans les considérants du règlement, en y incluant des exemples concrets de SIA ou de modèle d’IA à faible risque susceptible de produire des effets préjudiciables. Une telle clarification permettrait de mieux encadrer la pratique.
- Le défi de la transparence : la fin de l’enregistrement pour certains systèmes d’IA ?
Selon l’EDPB et l’EDPS, la suppression de certaines obligations de transparence pour les fournisseurs de SIA pourraient notamment réduire la transparence du cadre réglementaire et affaiblir les mécanismes de responsabilité des acteurs.
L’un des points les plus critiques concerne la proposition de supprimer l’obligation d’enregistrement dans la base de données de l’UE pour les fournisseurs qui concluent que leur système (bien que listé en annexe III) n’est pas à haut risque.
L’EDPB et l’EDPS soulignent que cela diminuerait la responsabilité des fournisseurs et inciterait à invoquer indûment cette exemption sans analyse critique.
Notre point de vue : cette mesure pourrait créer un appel d’air vers une opacité non souhaitée. La transparence étant le socle de la confiance, supprimer cette trace publique affaiblit le droit de regard, d’une part des citoyens, et d’autre part des autorités.
- Les bacs à sable réglementaires : la nécessité d’un cadre
Les autorités soutiennent la création de bacs à sable réglementaires au niveau de l’UE mais suggèrent des améliorations afin de garantir une meilleure sécurité juridique.
Notamment, d’associer les autorités de protection de données (APD) au fonctionnement et la supervision du traitement, et de clarifier la compétence de ces dernières, dans ces bacs et son interaction avec le mécanisme de coopération du RGPD.
Ils considèrent ensuite que devrait jouer un rôle consultatif pour garantir la cohérence des aspects liés à la protection des données, ainsi que le statut d’observateur au sein du comité européen de l’IA.
Enfin, ils opèrent une distinction entre les bacs à sable pour l’IA créés par l’EDPB et le bac à sable pour l’IA au niveau de l’UE créé par le Bureau de l’IA qui sera limité par son champ.
- Littératie et IA : une responsabilité qui ne peut être déléguée
Le Digital Omnibus on AI propose de supprimer l’obligation de garantir un niveau adéquat de littératie en IA auprès des travailleurs et de toute autre personne utilisant des SIA en leur nom, et de la remplacer par une politique d’incitation, déléguée à la Commission et aux États membres.
Les autorités considèrent que cette modification n’est pas souhaitable et recommandent de maintenir l’obligation pour les fournisseurs et les déployeurs de SIA de prendre des mesures pour garantir un niveau suffisant de littératie en IA. Elles estiment en effet que la compréhension des risques et des implications de ces technologies par les organisations constitue une condition essentielle à la protection effective des droits fondamentaux.
Notre point de vue : la littératie en IA est indispensable et constitue un véritable enjeu démocratique. Elle garantit la bonne compréhension des concepts liés aux technologies de l’IA et contribue à sensibiliser le public aux questions éthiques et sociales.
- Report possible du calendrier d’application des règles sur les SIA à haut risque à décembre 2027 et août 2028
Si ce délai répond à des défis techniques, il ne doit pas être vu comme une période d’inaction. Le marché de l’IA évolue vite et les autorités s’inquiètent vivement de ce report au regard de l’impact sur les droits fondamentaux. Elles suggèrent d’ailleurs aux législateurs d’étudier la possibilité de maintenir le calendrier initial pour certaines obligations spécifiques, comme celles liées à la transparence. Enfin, si le report est adopté, les autorités appellent tous les parties concernées à réduire autant que possible le retard.
Face à l’évolution rapide du cadre réglementaire européen, les organisations doivent anticiper les enjeux de gouvernance de l’intelligence artificielle.
Notre point de vue : ce report risque très certainement d’accentuer l’incertitude juridique entourant la mise en œuvre du cadre réglementaire européen sur l’intelligence artificielle. Une telle situation complique la planification des démarches de conformité pour les entreprises et les acteurs concernés, contraints d’anticiper des investissements organisationnels et techniques importants, tout en fragilisant les efforts déjà engagés par certaines organisations.
Elle pourrait en outre, favoriser une forme de passivité chez certains acteurs, tentés de différer leurs démarches de conformité. Cette situation serait donc paradoxale au regard de l’objectif initial de simplification, poursuivi par l’omnibus.
Un parallèle avec l’avis conjoint EDPB-EDPS du 10 février 2026
Le règlement omnibus sur le numérique prévoit de simplifier le RGPD (règlement (UE) 2016/679), en visant à davantage de clarté et prévisibilité dans l’application des règles existantes et à réduire la charge administrative pesant sur les acteurs économiques. L’une des propositions majeures est de redéfinir la notion de donnée à caractère personnel, en écartant notamment de son champ, les données pseudonymisées.
Notre point de vue : en cherchant à restreindre cette notion, le législateur pourrait en réalité créer une zone d’incertitude, générant de facto une insécurité juridique autour de la question.
Notre position rejoint celle des autorités : selon eux, une telle modification serait contraire à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), en ce qu’elle conduirait à une restriction significative de la notion de donnée à caractère personnel. Cela aurait donc une incidence directe sur le champ d’application du droit de l’Union en matière de protection des données. Les autorités invitent instamment les colégislateurs à ne pas adopter les modifications proposées relatives à cette nouvelle définition.
