Affaiblissement du RGPD : l’Allemagne l’inspire, la France y est opposée « à ce stade »

Une petite bombe a été lâchée la semaine dernière avec la fuite d'un brouillon de la Commission européenne de la loi « omnibus numérique » prévoyant d’affaiblir le RGPD au profit des entreprises d’IA. Elle doit officiellement le présenter le 19 novembre prochain et le texte peut encore changer d'ici là.

• La Commission européenne prévoit d’affaiblir le RGPD au profit des entreprises d’IA

L'association noyb de Max Schrems, qui y est totalement opposée, a publié [PDF] les positions de neuf pays sur la « simplification » du RGPD rendues avant la fuite du brouillon.

L'Allemagne pour des changements en profondeur... mais avec des discussions en amont

L'Allemagne plaidait pour une vaste révision du règlement mais sans que la loi « omnibus numérique » qui doit entrer en discussion d'ici peu en soit le vecteur le plus significatif. Berlin considère que les discussions autour du sujet méritent du temps.

« Afin d'ajuster l'équilibre entre les droits fondamentaux des personnes concernées et les droits fondamentaux des citoyens et des entreprises à traiter des données à caractère personnel (notamment la liberté d'information, la liberté des sciences, la liberté d'exercer une activité commerciale), toute modification du RGPD, tout en garantissant un niveau adéquat de protection des données et en préservant les principes fondamentaux du RGPD, devrait être examinée avec soin et mise en œuvre de manière ciblée, précise et fondée sur les risques », affirmait l'Allemagne.

Mais, pour noyb, « il semble que la Commission se soit simplement "emparée" » de cette position non-officielle de l'Allemagne pour établir sa proposition d'un affaiblissement du RGPD exprimée dans le brouillon de l' « omnibus numérique » , « étant donné que de nombreux changements apportés au projet semblent être une copie conforme des demandes formulées dans la lettre allemande qui a fuité », affirme l'association de Max Schrems.

La France et sept autres pays de l'UE pour des changements à la marge

De leurs côtés, les huit autres pays qui se sont exprimés (la République tchèque, l'Estonie, l'Autriche, la Pologne, la Slovénie, la Finlande, la Suède et la France) ne pressent pas pour un changement majeur du texte. Si aucun d'entre eux ne nie le besoin de clarification de certains points dans le règlement européen, notamment pour faciliter la mise en conformité des entreprises, une bonne partie d'entre eux souligne, à l'instar de la République tchèque, la nécessité que cela reste « compatible avec la protection effective des droits fondamentaux ».

Prague voit surtout des modifications à la marge comme la possibilité pour les responsables du traitement de ne pas « déployer des efforts disproportionnés » pour fournir des informations lorsqu'une personne lui demande, comme l'article 15 du règlement le prévoit, si certaines de ses données à caractère personnel sont ou ne sont pas traitées. La Suède propose aussi des changements à la marge comme un relèvement du seuil pour lequel les entreprises doivent notifier la violation de données personnelles.

Quant à la France, elle jugeait qu' « à ce stade, les retours des parties prenantes collectés par la Commission ont montré qu’elles ne souhaitaient pas d’une réouverture du RGPD » et que « les autorités françaises se sont également exprimées en ce sens et maintiennent cette position ». Comme les sept autres pays, elle estimait que « pour atteindre un équilibre optimal entre les enjeux d’innovation et la protection des libertés fondamentales, les efforts de mise en œuvre du texte doivent se poursuivre ». Par contre, Paris appelle « le CEPD [Contrôleur européen de la protection des données] et les autorités de protection des données à mener rapidement des consultations des acteurs sur les sujets prioritaires que sont l’articulation du RGPD avec le règlement sur l’intelligence artificielle (RIA), la pseudonymisation et l’anonymisation, dans les semaines qui viennent ». La France estime qu' « il s’agit d’une attente très forte pour que les besoins concrets puissent être exprimés en amont de la finalisation du premier jet des lignes directrices sur ces sujets ».

De son côté, Max Schrems réitère ses critiques sur le projet : « Le brouillon n'est pas seulement extrême, il est également très mal rédigé. Il n'aide pas les "petites entreprises", comme promis, mais profite à nouveau principalement aux "grandes entreprises technologiques" ». noyb s'est joint à l'Edri et à l'organisation irlandaise Irish Council for Civil Liberties pour envoyer une lettre ouverte [PDF] à la Vice-présidente exécutive de la Commission européenne à la Souveraineté technologique, à la Sécurité et à la Démocratie, Henna Virkkunen. Dans ce texte, les trois associations affirment que les changements « considérables » prévus par le brouillon « priveraient non seulement les citoyens de leurs droits, mais compromettraient également la compétitivité européenne ».