DAVID SITBON
Avocat
_edit.jpg)
PRO IA ? AFFAIBLISSEMENT DU RGPD ? LES 5 POINTS CLÉS DU DIGITAL OMNIBUS
La Commission européenne a dévoilé, en novembre 2025, un texte qui pourrait profondément modifier le RGPD. Voici ce qu’il faut en retenir !
1/ Redéfinition de la notion de « données personnelles » : une approche désormais subjective [Art. 4 (1) du RGPD]
Une donnée personnelle pour l’un n’est pas forcément une donnée personnelle pour l’autre. Tout dépend des « moyens raisonnables » susceptibles d’être utilisés par chacun pour identifier la personne concernée. Une donnée personnelle pseudonymisée transmise à un tiers peut donc devenir une donnée anonymisée du point de vue de ce tiers, si ce dernier ne dispose pas de moyens d’identification raisonnables. Cette approche subjective rend le RGPD inapplicable dans de nombreux cas.
Le texte consacre la position retenue par la CJUE dans son arrêt retentissant du 4 septembre 2025 (C‑413/23 P).
2/ Possibilité de se fonder sur l’« intérêt légitime » pour développer et exploiter des IA [Art. 88c du RGPD]
Les développeurs d’IA peuvent donc utiliser les données personnelles d’un individu sans son consentement en se fondant sur l’intérêt légitime.
Cette approche rejoint les positions déjà exprimées par la CNIL et le CEPD.
En pratique, bon nombre de développeurs d’IA se fondaient déjà sur cette base légale.
3/ Développement et exploitation d’une IA : nouvelle exception au principe d’interdiction de traitement des données sensibles (sous certaines conditions) [Art. 9 (2) (5) du RGPD]
Si, malgré les mesures prises pour éviter le traitement des données sensibles, des données résiduelles subsistent et que leur suppression exige des efforts disproportionnés, le traitement est possible (mais sans que ces données ne soient utilisées pour produire des outputs ou ne soient divulguées à des tiers).
4/ Une demande de droit d’accès formulée à des fins autres que la protection des données pourrait être considérée comme abusive et être refusée [Art. 12 (5) du RGPD].
Certes, de nombreuses demandes d’accès étaient exercées dans l’unique but de causer un dommage au responsable du traitement mais quid du droit d’accès exercé dans un intérêt économique 💶 ou pour constituer des preuves dans un litige ⚖️ ?
5/ La notification d’une violation de données à l’autorité de contrôle (via guichet unique) ne sera obligatoire qu’en cas de risque « élevé » pour les personnes concernées et dans un délai prolongé de 96 heures [Art. 33 (1) du RGPD].
Prochaine étape : le texte devra encore obtenir l’aval du Parlement européen et du Conseil de l’UE avant d’être définitivement adopté.