Attaque secrète « accélérée » selon noyb

Le 19 novembre, le « Digital Omnibus » sera présenté. Selon les différentes sources, dont noyb, il pourrait marquer « une dégradation massive de la vie privée des Européens dix ans après l’adoption du Règlement ». En somme, une forme d’abandon.

Simplifier plusieurs lois de l’UE par le biais d’une réforme dite « Omnibus », un outil qui modifie normalement divers petits éléments de plusieurs lois de manière horizontale afin d’améliorer la qualité de la loi et de rationaliser les obligations administratives. Tel était le projet annoncé. Aujourd’hui, la réforme ressemble davantage à un abandon sous forme d’une « réforme massive ».

Cette procédure serait acceptable si seules des améliorations simples et non litigieuses sont apportées. Or, selon l’avocat-militant Max Schrems, à la tête de noyb (None Of Your Business), ce ne serait pas le cas. « Le projet n’est pas seulement extrême, il est aussi très mal rédigé. Il n’aide pas les ‘petites entreprises’, comme promis, mais profite surtout aux ‘grandes entreprises technologiques’. »

Les dommages potentiels causés au GDPR seraient énormes

Le projet initial de la Commission était d’effectuer un « bilan de santé numérique » en 2026, de recueillir les preuves nécessaires et de procéder ensuite à une mise à jour ciblée et bien développée du GDPR et d’autres lois sur le numérique. Cependant, selon Politico, l’Allemagne aurait insisté pour apporter des changements importants, allant au-delà du mandat initial de cette loi. L’objectif serait un réexamen des règles pour être plus favorable aux entreprises.

À la lecture du premier projet interne, les dommages potentiels causés au GDPR seraient énormes. Des parties importantes du projet violent les conventions européennes, la Charte des droits fondamentaux ou la jurisprudence constante de la Cour de justice. Selon noyb, « la question de savoir si cela est intentionnel ou si cela est dû au rythme rapide des travaux et à la piètre qualité du projet qui en résulte reste ouverte. » Des initiés bruxellois ont rapporté que certaines unités n’avaient que cinq jours ouvrables pour commenter un projet de loi de plus de 180 pages… Pour Max Schrems, « il est très inquiétant de voir les pratiques législatives trumpiennes s’installer à Bruxelles. »

Une vision étroite de la « course à l’IA » ? 

Alors qu’il pourrait y avoir plusieurs bonnes façons d’améliorer et de simplifier le GDPR, les changements proposés semblent souffrir d’une « vision tunnel » sur la possibilité de former et d’utiliser l’IA -même sur les données personnelles. Dans une étude récente, cependant, seuls 7 % des Allemands déclarent qu’ils souhaitent que Meta utilise leurs données personnelles pour former l’IA. Néanmoins, la réforme vise tous les éléments du GDPR qui pourraient limiter l’utilisation de l’IA.

Max Schrems est formel : le changement potentiel qui « libérerait » l’IA aurait des conséquences inattendues considérables pour de nombreux autres domaines du GDPR. « La protection des données relatives à la santé, aux minorités ou aux employés serait également supprimée dans ce projet. »

Un abandon sous la forme de 1000 trous

Bien que de nombreux changements semblent techniques, les droits des personnes se cachent derrière chaque « définition » du GDPR. Les changements vont de la réduction de ce qui est considéré comme des « données à caractère personnel » et donc protégé, jusqu’à la limitation du « droit d’accès », de sorte que les employés, les journalistes ou les chercheurs ne pourraient plus accéder à leurs propres données.

Les changements permettent également un accès plus souple pour « extraire » des données des smartphones, des PC ou des appareils connectés, ou autorisent largement les entreprises à utiliser les données personnelles des Européens pour l’entraînement (commercial) à l’IA. Alors que les entreprises affirment souvent que le GDPR serait un « fardeau », la réalité est que même pas 1,3 % de toutes les plaintes relatives au GDPR aboutissent à une amende. En Irlande , seules 0,6 % des amendes ont été payées jusqu’à présent.

« Le projet prévoit de nombreux petits trous dans la loi, ce qui la rendrait globalement inutilisable dans la plupart des cas, commente Max Schrems. Les lois européennes sur la protection de la vie privée ne sont déjà pratiquement pas appliquées. »

40 ans de doctrine bafoués

En fait, les PME et les entreprises de l’UE n’en tireront aucun avantage, conclut le rapport de noyb. La raison officielle des « clarifications » et des « simplifications » via l’Omnibus était de limiter la charge administrative pesant sur les PME dans l’Union. noyb soutient pleinement cet objectif. Cependant, les changements proposés concernent principalement les entreprises qui s’engagent dans la formation à l’IA -c’est-à-dire les entreprises qui sont maintenant évaluées en billions comme OpenAI, Google, Meta, Amazon ou Microsoft. Bien que certaines clarifications puissent bénéficier aux PME, telles que les règles sur le moment où les « évaluations de l’impact de la protection des données » doivent être effectuées, elles n’auront pas d’impact plus important sur la compétitivité européenne.

Et Max Schrems de conlure : « Si ce projet est finalisé, il est clair que tout discours sur les ‘petites entreprises’ et les ‘charges administratives’ n’est qu’une mise en scène destinée à obtenir le soutien de l’opinion publique. Au fond, il s’agit d’une tentative de déréglementation massive, qui bouleverse 40 ans de doctrine européenne en matière de droits fondamentaux ! »