Train de mesures «omnibus» sur le numérique : la simplification est lancée, mais les entreprises ont encore besoin de clarté

Le train de mesures omnibus sur le numérique, proposé par la Commission européenne en novembre 2025, vise à rationaliser et à simplifier le corpus réglementaire portant sur le numérique afin de stimuler la compétitivité et de faciliter le développement de l’intelligence artificielle (IA) en Europe. Il s’agit d’un ensemble de deux règlements modifiant plusieurs lois existantes sur l’intelligence artificielle (le «train de mesures omnibus sur l’IA») et sur les données (le «train de mesures omnibus sur le numérique» ou «train de mesures omnibus sur les données»).

La proposition vise à faciliter l’utilisation des données pour l’IA en adaptant la définition des données à caractère personnel à la jurisprudence actuelle et en précisant que l’entraînement et le développement de l’IA peuvent constituer un «intérêt légitime» au titre du règlement général sur la protection des données (RGPD). Elle introduit également un point d’entrée unique pour le signalement des violations de la cybersécurité au titre de divers règlements et directives (RGPD, SRI 2, DORA), le but étant de réduire la charge administrative. 

Du point de vue des entreprises, le train de mesures omnibus sur le numérique n’apporte pas l’allègement et la clarté qu’elles escomptaient. Certes, il simplifie en partie le corpus législatif de l’UE sur le numérique, mais des réformes structurelles essentielles sont nécessaires pour véritablement renforcer la compétitivité de l’UE. La Commission souhaitait «apporter un allégement immédiat aux entreprises, aux administrations publiques et aux citoyens», mais la proposition actuelle ne peut être considérée que comme une première étape vers la mise à jour du corpus réglementaire de l’UE sur le numérique. 

Simplification 

Dans notre avis, nous affirmons que l’Europe doit renforcer sa capacité d’innovation et sa compétitivité à l’échelle mondiale en rationalisant les processus administratifs, en éliminant les obligations redondantes et les exigences nationales supplémentaires qui sont préjudiciables au marché unique. Dans le même temps, nous reconnaissons que l’Europe devrait maintenir des normes exigeantes sur le plan social et environnemental et en matière de protection des consommateurs. En fait, il est possible d’abroger des règles obsolètes et redondantes sans abaisser les normes. Seule une clarification accrue est capable d’apporter de la sécurité juridique à tous les acteurs et de réduire le risque de litiges longs et coûteux. Nous demandons en particulier que, dans tous les actes concernés, des définitions claires soient apportées aux notions de «données à caractères personnel», «détenteur de données», «utilisateur», «service de traitement de données» et «mise sur le marché».

Intelligence artificielle

En ce qui concerne l’intelligence artificielle, nous demandons une réglementation proportionnée et fondée sur les risques, qui devrait être plus légère pour les usages industriels et interentreprises. Cette approche de la réglementation fondée sur les risques est essentielle pour trouver les bons équilibres entre l’innovation et la protection des droits fondamentaux. En ajustant les obligations en fonction des risques réels, l’Union européenne peut favoriser une innovation responsable, soutenir les petites et moyennes entreprises (PME) et les petites entreprises à moyenne capitalisation (PEMC), et s’assurer que la sécurité et les droits fondamentaux ne soient pas compromis. Cela peut passer, par exemple, par l’introduction de solutions simples en ce qui concerne l’utilisation de l’IA dans l’environnement interne des entreprises. Les mesures de protection prescrites par le règlement sur l’IA sont essentiellement conçues pour répondre à des risques associés aux services publics et aux services directement offerts aux consommateurs. On pourrait introduire un privilège d’entreprise en vertu duquel le règlement sur l’IA ne s’appliquerait qu’à certaines situations internes dans l’organisation. Le CESE reconnaît aussi qu’il est nécessaire de simplifier le cadre réglementaire applicable aux PME et aux PEMC, afin de réduire la charge administrative, et se dit favorable à la mise en place de «bacs à sable» réglementaires.

Le point d’entrée unique

En ce qui concerne le train de mesures omnibus sur le numérique ou les données, nous nous félicitons de la proposition d’introduire un point d’entrée unique interopérable au niveau de l’UE. Cela permettra également de mieux appréhender les situations et de réagir plus vite et de façon mieux coordonnée face aux menaces. Outre la langue de l’État membre concerné, il devrait être possible d’effectuer dans le système les signalements en anglais et de pouvoir réutiliser des informations saisies précédemment, et ce guichet unique devrait également restreindre strictement l’accès des autorités sur la base du «besoin d’en connaître».

Données à caractère personnel

La définition des données à caractère personnel est déterminante pour délimiter le champ d’application du RGPD. En particulier, l’utilisation de données anonymisées est un instrument d’une grande importance pour le secteur, notamment pour l’entraînement de l’IA, en même temps qu’elle fournit aussi un mécanisme permettant de ménager un équilibre entre d’une part l’innovation et d’autre part de solides garanties en matière de protection des données et de la vie privée. Il est fondamental, aux fins de la sécurité juridique et de l’innovation, de préciser en quelles circonstances des données pseudonymisées peuvent être considérées comme anonymisées. S’agissant de la directive relative à la vie privée et aux communications électroniques, le CESE encourage les colégislateurs à étudier les possibilités de simplification des exigences en matière de consentement dans les contextes à faible risque. Des règles trop rigides peuvent entraver involontairement l’innovation, par exemple dans le domaine de la sécurité des véhicules et de la conduite autonome. 

Enfin, le facteur temps est particulièrement décisif: les dates d’application pour les systèmes d’IA à haut risque seront en vigueur à compter d’août 2026. Le CESE invite instamment les colégislateurs à donner un traitement prioritaire à la conclusion en temps utile des négociations relatives au train de mesures omnibus sur l’IA, et à veiller ce faisant à ce que toutes les parties prenantes aient clairement connaissance des obligations qui se rattachent à l’IA à haut risque avant que celles-ci ne deviennent contraignantes et à ce qu’elles disposent de suffisamment de temps pour s’y adapter.

Par Heiko Willems, membre du groupe des employeurs du CESE et rapporteur de l’avis INT/1108 sur le train de mesures «omnibus» sur le numérique.