Derrière le Digital Omnibus, les traces des lobbies des Big Tech

DeregulAItion

Les échos des revendications des organisations professionnelles et du lobbying des Big Tech, notamment des sociétés américaines, se retrouvent derrière de nombreuses propositions controversées du Digital Omnibus.

Mathilde Saliou

Le 15 janvier à 17h01

8 min

Société numérique

Société

Les lobbies des « oligarques de la tech » ont largement influencé la proposition de Digital Omnibus de la Commission européenne. Tel est du moins la conclusion de Corporate Europe Observatory et LobbyControl, deux organisations spécialisées dans l’analyse des jeux d’influence et des pratiques des lobbies au niveau européen.

Le Digital Omnibus a été proposé dans le cadre du projet plus large de la Commission de « simplifier » les régulations qui pèsent sur les entreprises. En comparant les propositions du Digital Omnibus et celle des associations d’intérêts portées par les géants numériques (avant tout américains), les auteurs du rapport constatent de grandes proximités dans les manières d’aborder le Règlement général sur la protection des données (RGPD), la directive ePrivacy ou encore la régulation de l’intelligence artificielle.

Une analyse qui vient renforcer l'idée selon laquelle le pouvoir réglementaire de l'Union européenne est en nette perte de vitesse, remplacée par le programme de déréglementation que porte Donald Trump dans et hors de son pays.

La Commission publie son projet d’omnibus numérique dans un contexte tendu

Redéfinir les données personnelles et limiter l’accès à ses propres données

Plusieurs points des adaptations proposées des diverses réglementations européennes existantes traduisent la proximité de la position de la Commission avec celle des géants de la tech, en particulier les américains.

L’un des axes principaux, que soulignait la représentante de European Digital Rights (EDRi) Itxaso Dominguez auprès de Next en novembre, consisterait à limiter la définition de ce qu’est une donnée personnelle en fonction de la capacité d’une entreprise X à l’utiliser pour identifier à nouveau la personne. Si l’entreprise X n’en est pas capable, alors la donnée ne serait plus considérée comme personnelle.

Il reste 75% de l'article à découvrir.

Déjà abonné ? Se connecter

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (5)

fred42 Premium

Le 15/01/2026 à 17h52

L’un des axes principaux, que soulignait la représentante de European Digital Rights (EDRi) Itxaso Dominguez auprès de Next en novembre, consisterait à limiter la définition de ce qu’est une donnée personnelle en fonction de la capacité d’une entreprise X à l’utiliser pour identifier à nouveau la personne. Si l’entreprise X n’en est pas capable, alors la donnée ne serait plus considérée comme personnelle.

J'avais raté ce point dans l'article précédent et j'ai été surpris de lire ça ici, parce que ça mélange deux notions : une donnée identifiante et une donnée personnelle. Par exemple, une date de naissance est une donnée personnelle mais pas une donnée identifiante : on est plusieurs à être nés le même jour.

Je suis donc allé relire l'article précédent et surtout le PDF en lien qui en parle.

Et, j'avais raison d'être surpris, ce n'est pas ce qui est dit.
Il est dit :

Protection would depend on whether each organisation claims it can identify a person, rather than on whether the information is about an identifiable individual in general. While the aim is supposedly to align the GDPR with the SRB European Court of Justice (CJEU) ruling, in practice this would turn the objective definition of personal data into a controller-specific one. This would allow companies argue that information is ‘non-personal’ simply because they claim to lack the means or intent to identify someone, even when others could easily do so.

Donc, non, dans la nouvelle définition, il ne faudrait pas que la donnée permette l'identification de la personne mais que le responsable de traitement soit capable ou ait la volonté d'identifier la personne (par d'autres moyens), même si d'autres seraient capables d'identifier la personne. Ce serait un retour en arrière sur une jurisprudence très ancienne de la CJUE antérieure au RGPD (citée récemment par aeris ici).
Une donnée se rattachant à une personne non identifiée ou identifiable par le responsable de traitement ne serait donc plus une donnée personnelle, même si c'est par exemple sa date de naissance.

Il suffirait donc que le responsable du traitement soit de mauvaise foi pour qu'il dise ne pas traiter de données personnelles.

Mais on est bien d'accord que cette nouvelle définition serait néfaste. Par exemple, une adresse IP ne serait plus une donnée personnelle sauf pour les autorité judiciaires ou policières qui peuvent demander l'identification d'un individu aux FAI, pour ceux-ci aussi, ce serait une donnée personnelle.

@MathildeSaliou pour info. Je n'ai pas fait une remontée d'erreur parce que c'était trop complexe à expliquer dans la petite boite de dialogue. En plus, je pense que ça peut intéresser d'autres personnes.
Je pense qu'il faudrait aussi reprendre l'article précédent.

swiper Premium

Le 16/01/2026 à 09h45

Je rappelle que la définition de la CNIL d'une données personnelles est "toute information se rapportant à une personne physique identifiée ou identifiable".
Cela donc inclut aussi bien les données identifiantes et indirectement identifiantes. Dans le cas d'espèce, c'est via un croisement de données qu'elle devient identifiante.

Je te rejoins sur l'idée que la mauvaise foi fera assurément le vote de cette modification un échec pour la protection des données des personnes. On sait d'expérience (et eux aussi) que dès lors qu'on offre le choix aux entreprises de la jouer loyal, ce n'est jamais ce qui est observé.

fred42 Premium

Le 16/01/2026 à 09h59

Bien sûr que des données identifiantes sont des données personnelles. Ça me semblait tellement évident qu'inutile à rappeler.
Mais l'idée (mauvaise) ici est de supprimer ou jouer sur le identifiable. Ça affaiblit énormément le RGPD.

iridium77 Premium

Le 15/01/2026 à 21h00

C'est tellement étonnant. Non ? Ah.
merci pour cet article désespérant.

SebGF Premium

Le 15/01/2026 à 22h39

Rapprochement entre lobbies des Big Tech et extrême droite européenne

Ah, ces partis prônant la "préférence nationale" qui se font dicter leur ligne par des puissances étrangères. Toujours aussi savoureux.
Dire que ça va arriver au pouvoir...

On a pas le cul sorti des ronces.

À côté de ça, les discours de "souveraineté" me paraissent totalement dissonants si c'est pour derrière écouter les lobbies américains qui veulent affaiblir un cadre fort et indispensable. Quand comprendra-t-on que l'Europe leur fait peur et qu'il faut continuer dans ce sens ?