Le Conseil de l'UE rejette les modifications de la définition des « données à caractère personnel » du RGPD dans un projet fuité de l'Omnibus Numérique
Dans un revirement significatif pour la politique numérique européenne, un texte de compromis fuité du Conseil de l'Union européenne suggère que les États membres s'apprêtent à bloquer les modifications proposées à la définition des « données à caractère personnel » dans le cadre du Règlement général sur la protection des données (RGPD). Le document, daté du 20 février 2026 et diffusé par la présidence chypriote, indique une nette préférence pour le maintien du statu quo par rapport aux révisions plus vastes — et controversées — de la Commission européenne.
Le projet, qui a fait surface juste avant des réunions diplomatiques de haut niveau à Bruxelles, marque un tournant critique pour ce que l'on appelle l'« Omnibus Numérique ». Ce paquet législatif visait à simplifier les règles numériques de l'UE et à les adapter à l'ère de l'intelligence artificielle avancée et de l'informatique de périphérie (edge computing) omniprésente. Cependant, la décision de supprimer la définition révisée des données à caractère personnel suggère que les États membres craignent de rouvrir la « boîte de Pandore » des définitions fondamentales de la vie privée.
La stabilité du statu quo
Depuis près d'une décennie, la définition des données à caractère personnel sert de pierre angulaire au droit européen de la vie privée. Selon le RGPD actuel, les données à caractère personnel sont définies comme toute information relative à une personne physique identifiée ou identifiable. La proposition originale de la Commission européenne pour l'Omnibus Numérique cherchait à affiner cela, en élargissant potentiellement le champ d'application pour inclure des catégories plus nuancées de métadonnées et d'identifiants comportementaux de plus en plus générés par les systèmes d'IA.
La décision du Conseil d'éliminer ces révisions reflète une approche de « sécurité avant tout ». En s'en tenant au texte existant, les États membres évitent l'insécurité juridique massive qu'une nouvelle définition déclencherait. Pour les entreprises, un changement de définition aurait signifié la réévaluation de chaque base de données, de chaque formulaire de consentement et de chaque accord de traitement de données actuellement en place. Le Conseil semble avoir donné la priorité à la stabilité réglementaire plutôt qu'au désir de précision technique de la Commission.
Pourquoi la définition est importante
Pour comprendre pourquoi cette décision est si importante, on peut considérer la définition des données à caractère personnel comme le « crochet juridictionnel » du RGPD. Si une information entre dans cette définition, tout le poids de la législation européenne sur la protection de la vie privée s'applique. Si elle en sort, les données peuvent être déplacées, vendues ou analysées avec beaucoup moins de restrictions.
Les détracteurs de l'expansion proposée ont fait valoir qu'une définition plus large aurait capturé par inadvertance des données « anonymisées » actuellement utilisées pour la recherche médicale et la planification des infrastructures. D'un autre côté, les défenseurs de la vie privée craignent qu'en conservant l'ancienne définition, l'UE ne parvienne pas à traiter les risques de « ré-identification » posés par l'apprentissage automatique moderne, où des points de données apparemment anonymes peuvent être recoupés pour démasquer un individu.
Le numéro d'équilibriste de la présidence chypriote
Chypre, qui assure actuellement la présidence tournante du Conseil, a la tâche peu enviable de trouver un terrain d'entente entre vingt-sept États membres aux priorités numériques divergentes. Le texte de compromis fuité suggère que l'équipe chypriote se concentre sur l'« harmonie procédurale » plutôt que sur une « refonte définitionnelle ».
En supprimant les révisions litigieuses sur les données personnelles, la présidence tente probablement de dégager la voie pour le reste de l'Omnibus Numérique. Ce paquet comprend des mises à jour vitales sur l'application transfrontalière et la coopération entre les autorités nationales de protection des données (APD). Si la définition des données à caractère personnel restait sur la table, elle aurait pu bloquer l'ensemble du processus législatif pendant des années.
Implications pour l'industrie technologique
Pour le secteur technologique, cette fuite est largement perçue comme un répit. L'industrie soutient depuis longtemps que le RGPD est déjà assez complexe à appréhender. Une définition mouvante de son terme le plus fondamental aurait créé une « cible mouvante pour la conformité ».
| Aspect | Définition actuelle du RGPD | Modification proposée (désormais éliminée) |
|---|---|---|
| Champ d'application | Informations relatives à une personne identifiable. | Inclusion explicite des métadonnées d'IA à haute inférence. |
| Sécurité juridique | Élevée (établie par des années de jurisprudence). | Faible (nécessiterait de nouvelles interprétations judiciaires). |
| Impact sur la conformité | Stable ; les processus sont déjà en place. | Élevé ; nécessiterait des audits de données massifs. |
| Innovation | Équilibrée ; limites claires pour l'utilisation des données. | Potentiellement restrictive pour l'analyse « Big Data ». |
Quelle est la suite ?
Le projet aurait été discuté par les diplomates des États membres le 27 février. Si le Conseil maintient cette position, la prochaine étape sera les négociations en « trilogue » entre le Conseil, le Parlement européen et la Commission européenne. Le Parlement a historiquement été plus protecteur des droits des personnes concernées et pourrait se battre pour réintroduire certaines des protections plus larges que la Commission avait initialement envisagées.
Cependant, le front uni du Conseil sur cette question envoie un signal fort : les gouvernements nationaux européens ne sont pas actuellement d'humeur à une refonte radicale des principes fondamentaux de la vie privée. Ils veulent que les règles fonctionnent mieux, pas nécessairement qu'elles soient plus larges.
Points clés pratiques pour les organisations
Bien que la définition des données à caractère personnel puisse rester la même, le paysage de l'application de la loi continue d'évoluer. Voici ce sur quoi les organisations devraient se concentrer à mesure que l'Omnibus Numérique progresse :
- Auditez votre cartographie des données : Même si la définition ne change pas, l'interprétation par les tribunaux (comme la CJUE) continue d'évoluer. Assurez-vous que votre inventaire de données est à jour.
- Concentrez-vous sur la conformité procédurale : L'Omnibus Numérique est susceptible d'introduire des délais plus stricts pour répondre aux demandes des APD. Révisez vos flux de travail de reporting interne.
- Surveillez le trilogue : Le texte final n'est pas gravé dans le marbre. Gardez un œil attentif sur la réponse du Parlement européen à ce projet du Conseil au cours des prochains mois.
- Investissez dans l'anonymisation : Indépendamment de la définition légale, le meilleur moyen de réduire les risques est de s'assurer que les données sont véritablement anonymisées à l'aide de techniques de pointe qui résistent à la ré-identification.
Sources
- European Council: Council of the European Union Overview
- Euractiv: Digital & Media Policy Reports
- Politico Europe: Tech and Data Protection Coverage
- European Commission: GDPR Procedural Rules and Digital Omnibus Documentation
- Official Journal of the European Union: GDPR Text and Definitions
On se retrouve de l'autre côté.
Notre solution de messagerie cryptée de bout en bout et de stockage en nuage constitue le moyen le plus puissant d'échanger des données en toute sécurité, garantissant ainsi la sûreté et la confidentialité de vos données.
/ Créer un compte gratuit
