Digital omnibus / notification de violation de données / RGPD / SIA / Violation de données

Impact du Digital Omnibus sur le RGPD : Modifications proposées

Posted by

Décryptage du projet de Simplification du cadre numérique européen :

Image d'un fond bleu avec le texte 'DIGITAL OMNIBUS PACKAGE' en blanc et un élément graphique jaune.

Focus sur les modifications du RGPD proposées par la Commission européenne dans l’omnibus numérique : volet data (1)

Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Document officiel de la Commission Européenne proposant un règlement du Parlement européen et du Conseil, daté du 19 novembre 2025, modifiant plusieurs règlements et directives concernant le cadre législatif numérique.

Eléonore Scaramozzino, Avocat au Barreau de PARIS, Constellation Avocats

La Commission européenne a publié le 19 novembre 2025 sa proposition de règlement « Digital Omnibus », visant à harmoniser et simplifier le cadre numérique européen afin d’en renforcer la compétitivité. Ce texte prévoit la révision d’une grande partie des législations européennes liées au numérique et notamment du RGPD. Cette proposition constitue une première étape dans l’optimisation de l’application du corpus réglementaire numérique. Selon la proposition, les modifications ciblées des règles en matière de protection des données et de la vie privée soutiennent cet objectif et constituent des mesures de simplification immédiates pour les entreprises et les particuliers.

Modifications du règlement (UE) 2016/679 (règlement général sur la protection des données)

Le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données — RGPD) est entré en vigueur le 25 mai 2018, créant notamment cadre juridique général pour les personnes qui traitent des données à caractère personnel.

L’article 3 de la proposition vise à apporter des modifications ciblées au règlement (UE) 2016/679 («règlement général sur la protection des données»).

 Les modifications proposées visent à

  • apporter clarté et prévisibilité dans l’application des règles existantes ;
  • réduire la charge administrative, dans la mesure du possible, sans compromettre le niveau élevé de protection des données prévu par lesdits règlements ;
  • laisser inchangé les compétences des États membres et des organes et institutions de l’Union.
  • introduire un guichet unique pour le signalement des incidents, une solution à l’échelle européenne est proposée afin de fournir un canal unique pour les multiples obligations légales imposées aux entreprises concernant le signalement d’un incident qui est substantiellement le même. Cette solution ne modifie en rien les droits et compétences des autorités nationales en tant que destinataires de ces rapports. Étant donné qu’un grand nombre des services concernés sont fournis par-delà les frontières et que les prestataires sont présents dans plusieurs États membres, une solution à l’échelon européen est nécessaire.

Définition des données à caractère personnel : qualification variable

À l’article 3:

Le paragraphe 1 de l’article 3 vise à clarifier la définition des données à caractère personnel figurant à l’article 4 du règlement (UE) 2016/679 (règlement général sur la protection des données) en indiquant que les informations ne doivent pas être considérées comme des données à caractère personnel pour une entité donnée lorsque celle-ci ne dispose pas de moyens pouvant raisonnablement être utilisés pour identifier la personne physique à laquelle les informations se rapportent.

Par conséquent, une telle entité ne relèverait en principe pas dudit règlement.

L’article 4 est modifié comme suit:

(a) au point 1), les phrases suivantes sont ajoutées:

«Les informations relatives à une personne physique ne sont pas nécessairement des données à caractère personnel pour toute autre personne ou entité du simple fait qu’une autre entité peut identifier cette personne physique.

Les informations ne revêtent pas de caractère personnel pour une entité donnée lorsque ladite entité ne peut identifier la personne physique à laquelle elles se rapportent, compte tenu des moyens raisonnablement susceptibles d’être utilisés par cette entité. Ces informations ne se muent pas en informations à caractère personnel pour cette entité du simple fait qu’un destinataire ultérieur éventuel dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle les informations se rapportent.»;

Deux dérogations supplémentaires au traitement de catégories particulières de données

Il est prévu deux dérogations supplémentaires au traitement de catégories particulières de données:

Données biométriques :

Une dérogation à l’interdiction générale de traiter des données biométriques lorsque cela est nécessaire pour confirmer l’identité de la personne concernée et lorsque les données et les moyens permettant cette vérification sont sous le contrôle exclusif de cette personne.

Traitement de catégories particulières de données pour IA avec conditions

une dérogation pour le traitement résiduel de catégories particulières de données à caractère personnel aux fins du développement et de l’exploitation d’un système d’IA ou d’un modèle d’IA, sous certaines conditions, y compris des mesures organisationnelles et techniques appropriées pour éviter la collecte de catégories particulières de données à caractère personnel ainsi que la suppression de ces données.

« 3. L’article 9 est modifié comme suit:

(a) au paragraphe 2, les points suivants sont ajoutés:

«k) le traitement dans le cadre du développement et de l’exploitation d’un système d’IA au sens de l’article 3, point 1), du règlement (UE) 2024/1689 ou d’un modèle d’IA, sous réserve des conditions visées au paragraphe 5;

l) le traitement de données biométriques est nécessaire à la confirmation de l’identité d’une personne concernée (vérification), lorsque les données biométriques ou les moyens nécessaires à la vérification sont sous le seul contrôle de la personne concernée.»;

(b) le paragraphe suivant est ajouté:

«5. Pour le traitement visé au paragraphe 2, point k), des mesures organisationnelles et techniques appropriées sont mises en oeuvre pour éviter la collecte et tout autre traitement de catégories particulières de données à caractère personnel. Lorsque, malgré la mise en oeuvre de ces mesures, le responsable du traitement constate la présence de catégories particulières de données à caractère personnel dans les ensembles de données utilisés à des fins d’entraînement, d’essais ou de validation ou dans le système d’IA ou le modèle d’IA, il supprime ces données. Si la suppression de ces données nécessite des efforts disproportionnés, le responsable du traitement protège en tout état de cause ces données de façon efficace et sans retard injustifié afin d’empêcher qu’elles soient utilisées pour produire des sorties ou qu’elles soient divulguées ou mises à la disposition de tiers d’une autre manière.».

Droit d’accès abusif :

Le paragraphe 3 entend clarifier la situation visée à l’article 12 du règlement (UE) 2016/679 (règlement général sur la protection des données)

  • lorsque le droit d’accès est utilisé de manière abusive par les personnes concernées à des fins autres que la protection de leurs données à caractère personnel. En conséquence, le responsable du traitement pourrait refuser de donner suite à la demande ou exiger le paiement de frais raisonnables ;
  • clarification des conditions permettant de démontrer qu’une demande d’accès était excessive.

À l’article 12, le paragraphe 5 est remplacé par le texte suivant:

«5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives,

notamment en raison de leur caractère répétitif, ou également, lorsqu’il s’agit de demandes au titre de l’article 15, parce que la personne concernée abuse des droits conférés par le présent règlement à des fins autres que la protection de ses données, le responsable du traitement peut:

a)            exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou

b)           refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer que la demande est manifestement infondée ou qu’il existe des motifs raisonnables de croire qu’elle est excessive.»

Suppression de l’Obligation d’information sous conditions

Condition de suppression d’obligation d’information par le responsable de traitement :

l’obligation du responsable du traitement d’informer les personnes concernées du traitement de leurs données à caractère personnel en vertu de l’article 13 du règlement (UE) 2016/679 est supprimée dans les situations où il existe des motifs raisonnables de supposer que la personne concernée dispose déjà des informations.

Exception à la suppression d’information

  • Le responsable du traitement
    • transmet les données à d’autres destinataires ou catégories de destinataires,
    • transfère les données vers un pays tiers,
    • procède à une prise de décision automatisée
  • le traitement est susceptible d’engendrer un risque élevé pour les droits de la personne concernée.

l’article 13, le paragraphe 4 est remplacé par le texte suivant:

«4. Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque les données à caractère personnel ont été collectées dans le cadre d’une relation claire et circonscrite entre des personnes concernées et un responsable du traitement exerçant une activité sans usage intensif de données et qu’il existe des motifs raisonnables de supposer que la personne concernée dispose déjà des informations visées au paragraphe 1, points a) et c), sauf si le responsable du traitement transmet les données à d’autres destinataires ou catégories de destinataires, les transfère vers un pays tiers, pratique la décision automatisée, y compris le profilage, au sens de l’article 22, paragraphe 1, ou que le traitement est susceptible de comporter un risque élevé pour les droits et libertés des personnes concernées au sens de l’article 35.».

Clarification des exigences relatives à la prise de décision individuelle automatisée

Sont clarifiées les exigences relatives à la prise de décision individuelle automatisée au titre de l’article 22 du règlement (UE) 2016/679 (règlement général sur la protection des données), dans le cadre de la conclusion ou de l’exécution d’un contrat entre la personne concernée et un responsable du traitement, en particulier le fait que l’exigence de «nécessité» est indépendante de la question de savoir si la décision pourrait être prise autrement que par des moyens exclusivement automatisés.

À l’article 22, les paragraphes 1 et 2 sont remplacés par le texte suivant:

«1. Une décision qui produit des effets juridiques à l’égard d’une personne concernée ou l’affecte de manière significative de façon similaire ne peut être fondée exclusivement sur un traitement automatisé, y compris le profilage, que si cette décision:

a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement, que la décision puisse ou non être prise autrement que par des moyens exclusivement automatisés;

b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c) est fondée sur le consentement explicite de la personne concernée.».

Violation des données : révision de l’art 33 du RGPD

Limitation de la notification de la violation des données : existence d’un risque élevé pour les droits de la personne

Le paragraphe 8 vise à aligner l’obligation du responsable du traitement de notifier les violations de données à l’autorité de contrôle compétente en vertu de l’article 33 du règlement (UE) 2016/679 (règlement général sur la protection des données) sur l’obligation qui lui incombe d’informer les personnes concernées de ces violations en disposant que la notification n’est requise que si une violation de données est susceptible d’engendrer un risque élevé pour les droits de la personne concernée.

Prolongation du délai de notification à 96 heures

Le paragraphe 6 prolongerait également le délai de notification à 96 heures. Il est également proposé que les responsables du traitement utilisent le guichet unique lorsqu’ils notifient des violations de données à l’autorité de contrôle.

Proposition de modèle commun pour les notifications de violations de données par le CEPD

En outre, le comité européen de la protection des données serait tenu d’élaborer et de soumettre à la Commission une proposition de modèle commun pour les notifications de violations de données, que la Commission serait habilitée à adopter par voie d’acte d’exécution, après l’avoir révisée, le cas échéant.

L’article 33 est modifié comme suit:

(a) le paragraphe 1 est remplacé par le texte suivant:

«1. En cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement la notifie à l’autorité de contrôle compétente conformément à l’article 55 et à l’article 56, dans les meilleurs délais et, si possible, 96 heures au plus tard après en avoir pris connaissance, par l’intermédiaire du guichet unique mis en place en application de l’article 23 bis de la directive (UE) 2022/2555. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 96 heures, elle est accompagnée des motifs du retard.»;

(b) le paragraphe suivant est ajouté:

«1 bis. Jusqu’à la mise en place du guichet unique en application de l’article 23 bis de la directive (UE) 2022/2555, les responsables du traitement continuent de notifier les violations de données à caractère personnel directement à l’autorité de contrôle compétente conformément à l’article 55 et à l’article 56.»;

(c) les paragraphes suivants sont ajoutés:

«6. Le comité élabore et transmet à la Commission une proposition contenant un modèle commun pour la notification d’une violation de données à caractère personnel à l’autorité de contrôle compétente visée au paragraphe 1, ainsi qu’une liste des circonstances dans lesquelles une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. La proposition est soumise à la Commission dans un délai de [OP: date = neuf mois à compter de la date d’application du présent règlement]. La Commission, après l’avoir dûment examinée, la révise s’il y a lieu et est habilitée à l’adopter au moyen d’un acte d’exécution en conformité avec la procédure d’examen prévue à l’article 93, paragraphe 2.

7. Le modèle et la liste visés au paragraphe 6 sont réexaminés au moins tous les trois ans et, s’il y a lieu, mis à jour. Le comité soumet en temps utile son évaluation et d’éventuelles propositions de mise à jour à la Commission. La Commission, après les avoir dûment examinées, révise les propositions et est habilitée à adopter les éventuelles mises à jour conformément à la procédure

visée au paragraphe 6.»

AIPD : harmonisation des listes des traitements soumis à l’AIPD

Le paragraphe 9 vise à harmoniser les listes des activités de traitement qui nécessitent, ou qui ne nécessitent pas, une analyse d’impact relative à la protection des données en prévoyant qu’une liste unique des opérations de traitement qui nécessitent, ou qui ne nécessitent pas, une analyse d’impact relative à la protection des données soit fournie au niveau de l’Union, contribuant ainsi à l’harmonisation de la notion de risque élevé.

Le comité européen de la protection des données serait tenu :

  •  d’élaborer des propositions pour ces listes.
  • des propositions de modèle commun et de méthodologie commune pour la réalisation d’analyses d’impact relatives à la protection des données, que la Commission serait habilitée à adopter par voie d’acte d’exécution, après les avoir révisées, le cas échéant.

L’article 35 est modifié comme suit:

(a) les paragraphes 4, 5 et 6 sont remplacés par le texte suivant:

«4. Le comité élabore et transmet à la Commission une proposition de liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise en vertu du paragraphe 1.

5. Le comité élabore et transmet à la Commission une proposition de liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise.

6. Le comité élabore et transmet à la Commission une proposition de modèle commun et de méthode commune pour la réalisation d’analyses d’impact relatives à la protection des données.»;

(b) les paragraphes suivants sont insérés:

«6 bis. Les propositions relatives aux listes visées aux paragraphes 4 et 5 et au modèle et à la méthode visés au paragraphe 6 sont soumises à la Commission dans un délai de [OP date = 9 mois à compter de la date d’application du présent règlement]. La Commission, après les avoir dûment examinées, les révise s’il y a lieu et est habilitée à les adopter au moyen d’un acte d’exécution en conformité avec la procédure d’examen prévue à l’article 93, paragraphe 2.

6 ter. Les listes ainsi que le modèle et la méthode visés au paragraphe 6 bis sont réexaminés au moins tous les trois ans et, s’il y a lieu, mis à jour. Lecomité soumet en temps utile son évaluation et d’éventuelles propositions demise à jour à la Commission. La Commission, après les avoir dûment examinées, révise les propositions et est habilitée à adopter les éventuellesmises à jour conformément à la procédure visée au paragraphe 6 bis

6 quater Les listes, établies et rendues publiques par les autorités de contrôle, des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise et des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise restent valables jusqu’à ce que la Commission adopte l’acte d’exécution visé au paragraphe 6 bis.».

Evaluation des Données pseudonymisées : données personnelles ? risques de ré-identification

La Commission peut aider, en collaboration avec le comité européen de la protection des données, les responsables du traitement à évaluer si les données résultant de la pseudonymisation ne constituent pas des données à caractère personnel en précisant les moyens et critères pertinents pour une telle évaluation, y compris l’état de la technique en ce qui concerne les techniques et critères disponibles pour évaluer le risque de ré-identification.

L’article suivant est ajouté:

«Article 41 bis

1) La Commission peut adopter des actes d’exécution afin de préciser les moyens et les critères permettant de déterminer si les données résultant de la pseudonymisation ne constituent plus des données à caractère personnel pour certaines entités.

2) Aux fins du paragraphe 1, la Commission:

a) évalue l’état des techniques disponibles;

b) élabore des critères et/ou des catégories permettant aux responsables du traitement et aux destinataires d’évaluer le risque de réidentification à l’égard des destinataires types des données.

3) La mise en oeuvre des moyens et des critères définis dans un acte d’exécution est un élément pouvant servir à démontrer que les données ne sauraient conduire à une réidentification des personnes concernées.

4) La Commission associe étroitement le comité européen de la protection des données à la préparation des actes d’exécution. Le comité européen de la protection des données émet un avis sur les projets d’actes d’exécution dans un délai de 8 semaines à compter de la réception du projet de la Commission.

5) Les actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 3.».

L’article 57, paragraphe 1, est modifié comme suit:

(a) le point k) est supprimé.

12. À l’article 64, paragraphe 1, le point a) est supprimé.

13. À l’article 70, paragraphe 1, le point h) est supprimé.

14. À l’article 70, paragraphe 1, les points suivants sont insérés:

«h bis) d’élaborer et de transmettre à la Commission une proposition de liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise et pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise, conformément à l’article 35;

h ter) d’élaborer et de transmettre à la Commission une proposition de modèle commun et de méthode commune pour la réalisation d’analyses d’impact relatives à la protection des données, conformément à l’article 35;

h quater) d’élaborer et de transmettre à la Commission une proposition contenant un modèle commun pour la notification d’une violation de données à caractère personnel à l’autorité de contrôle compétente, ainsi qu’une liste des circonstances dans lesquelles une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, conformément à l’article 33.».

Intégration de dispositions de la directive 2002/58 (e-privacy) dans le RGPD

La directive 2002/58/CE concernant la protection de la vie privée dans le secteur des communications électroniques révisée en dernier lieu en 2009, s’applique à des données à caractère personnel collectées dans le cadre de communications électroniques. Elles sont soumises à une autre base juridique ,qui peut-être un consentement, lorsqu’elles sont soumises au RGPD

Diagramme expliquant la Directive 2002/58/CE concernant la vie privée et les communications électroniques, incluant des précisions sur le traitement des données personnelles et le placement de cookies.

Bases légales pour le traitement des données

Si le consentement est requis pour garantir le contrôle des personnes concernées, il ne constitue pas la base juridique la plus appropriée pour un traitement ultérieur, par exemple lorsque le traitement est nécessaire à l’exécution d’un service autre que le service de la société de l’information. Cette situation a entraîné une insécurité juridique ainsi que des coûts de mise en conformité plus élevés pour les responsables du traitement qui traitent des données à caractère personnel obtenues au départ d’équipements terminaux. En outre, le double régime découlant de la directive «vie privée et communications électroniques» et du règlement général sur la protection des données a eu pour effet que des autorités nationales différentes sont compétentes pour superviser les règles des deux cadres juridiques.

Proposition

Il est proposé de simplifier immédiatement l’interaction entre les règles applicables. Le traitement des données à caractère personnel stockées sur des équipements terminaux ou émises à partir de ces équipements ne devrait être régi que par le règlement (UE) 2016/679, lequel intégrerait également l’exigence claire du consentement pour accéder à l’équipement terminal d’une personne physique lorsque des données à caractère personnel sont collectées.

Les modifications proposées prévoient également certaines finalités pour lesquelles il ne devrait pas être nécessaire d’obtenir le consentement et pour lesquelles le traitement ultérieur devrait être considéré comme licite, en particulier lorsqu’elles présentent un faible risque pour les droits et libertés des personnes concernées ou lorsque le placement de ces solutions technologiques est nécessaire à la fourniture d’un service demandé par la personne concernée.

La proposition prévoit l’intégration d’indications automatisées et lisibles par machine quant aux choix individuels ainsi que le respect de ces indications par les fournisseurs de sites web et d’applications mobiles et par les fournisseurs d’applications de téléphonie mobile une fois que des normes seront

Cette proposition s’appuie sur la modification de 2009 de la directive 2002/58/CE (directive «vie privée et communications électroniques») (voir le considérant 66 de la directive 2009/136/CE), qui incitait déjà à permettre l’expression du consentement de l’utilisateur par l’utilisation des paramètres appropriés d’un navigateur ou d’une autre application lorsque cela était techniquement possible et effectif;

La proposition habilite la Commission à demander aux organismes de normalisation d’élaborer un ensemble de normes pour l’encodage d’indications automatisées et lisibles par machine des choix des personnes concernées, ainsi que pour la communication de ces choix depuis les navigateurs vers les sites web et depuis les applications de téléphonie mobile vers les services web. Une fois ces informations disponibles, et après un délai de grâce de six mois, les responsables du traitement utilisant un site web ou des applications mobiles pour fournir leur service seront tenus de respecter les indications automatisées et lisibles par machine qui ont été encodées.

Dès lors que les responsables du traitement veillent à ce que leurs sites web ou applications de téléphonie mobile respectent ces normes, ils devraient bénéficier d’une présomption de conformité.

Sur cette base, il est attendu que des paramètres pertinents soient également mis au point dans les navigateurs. Les dispositions sont formulées d’une manière neutre sur le plan technologique, de sorte que d’autres outils, tels que l’IA agentique, pourraient également aider les utilisateurs à faire des choix en matière de consentement, pour autant que ces outils soient en mesure de garantir le respect des exigences du RGPD.

Traitement des données stockées sur des équipements terminaux

Le paragraphe 15 réforme le régime juridique relatif au traitement des données à caractère personnel stockées sur des équipements terminaux ou émises à partir de ces équipements («dispositifs connectés»), lequel relève actuellement de la directive 2002/58/CE (directive «vie privée et communications électroniques»).

Consentement pour stockage ou accès à des données déjà stockées sur les équipements terminaux (article 88 bis)

Un nouvel article 88 bis est inséré dans le règlement (UE) 2016/679 (règlement général sur la protection des données), qui prévoit l’exigence de consentement pour le stockage de données à caractère personnel ou pour l’accès à des données déjà stockées sur les équipements terminaux des personnes physiques, et qui intègre dans les dispositions du règlement (UE) 2016/679 (règlement général sur la protection des données) le traitement de données à caractère personnel stockées sur les équipements terminaux ou émises à partir de ces équipements.

«Article 88 bis

Traitement des données à caractère personnel dans l’équipement terminal des personnes physiques

1) Le stockage de données à caractère personnel, ou l’obtention de l’accès à des données à caractère personnel déjà stockées, dans l’équipement terminal d’une personne physique n’est permis que si cette personne a donné son consentement, conformément au présent règlement.

2) Le paragraphe 1 ne fait pas obstacle au stockage de données à caractère personnel, ou à l’obtention de l’accès à des données à caractère personnel déjà stockées, dans l’équipement terminal d’une personne physique, sur la base du droit de l’Union ou du droit d’un État membre au sens de l’article 6 et sous réserve des conditions qui y sont énoncées, afin de préserver les objectifs visés à l’article 23, paragraphe 1.

3) Le stockage de données à caractère personnel, ou l’obtention de l’accès à des données à caractère personnel déjà stockées, dans l’équipement terminal d’une personne physique à défaut de consentement, ainsi que leur traitement ultérieur, sont licites dans la mesure où ils sont nécessaires pour:

a) effectuer la transmission d’une communication électronique par la voie d’un réseau de communications électroniques;

b) fournir un service expressément demandé par la personne concernée;

c) créer des informations agrégées sur l’utilisation d’un service en ligne afin de mesurer l’audience de ce service, lorsque cette action est effectuée par le responsable du traitement de ce service en ligne pour son propre usage exclusif;

d) maintenir ou rétablir la sécurité d’un service fourni par le responsable du traitement et demandé par la personne concernée ou l’équipement terminal utilisé pour la fourniture de ce service.

4) Lorsque le stockage de données à caractère personnel, ou l’obtention de l’accès à des données à caractère personnel déjà stockées, dans l’équipement terminal d’une personne physique est fondé sur le consentement, les dispositions suivantes s’appliquent:

a) la personne concernée est en mesure de rejeter les demandes de consentement d’une manière simple et compréhensible au moyen d’un bouton à simple clic ou par un moyen équivalent;

b) si la personne concernée donne son consentement, le responsable du traitement ne présente pas de nouvelle demande de consentement pour la même finalité pendant la période au cours de laquelle le responsable du traitement peut licitement se fonder sur le consentement de la personne concernée;

c) si la personne concernée rejette une demande de consentement, le responsable du traitement ne présente pas de nouvelle demande de consentement pour la même finalité pendant une période d’au moins six mois.

Le présent paragraphe s’applique également au traitement ultérieur des données à caractère personnel fondé sur un consentement.

5) Le présent article est applicable à partir du [OP: prière d’insérer la date correspondant à 6 mois après la date d’entrée en vigueur du présent règlement].

Indications automatisées et lisibles par machine des choix individuels, (article 88 ter)

Un nouvel article 88 ter est inséré dans le règlement (UE) 2016/679 (règlement général sur la protection des données) concernant les indications automatisées et lisibles par machine des choix individuels, ainsi que le respect de ces indications par les fournisseurs de sites web une fois que des normes seront disponibles.

Article 88 ter

Indications automatisées et lisibles par machine quant aux choix de la personne concernée en ce qui concerne le traitement de données à caractère personnel dans l’équipement terminal des personnes physiques

1) Les responsables du traitement veillent à ce que leurs interfaces en ligne permettent aux personnes concernées:

a) de donner leur consentement par des moyens automatisés et lisibles par machine, pour autant que les conditions applicables au consentement énoncées dans le présent règlement soient remplies;

b) de rejeter une demande de consentement et d’exercer le droit d’opposition conformément à l’article 21, paragraphe 2, par des moyens automatisés et lisibles par machine.

2) Les responsables du traitement respectent les choix effectués par les personnes concernées conformément au paragraphe 1.

3) Les paragraphes 1 et 2 ne s’appliquent pas aux responsables du traitement qui sont des fournisseurs de services de médias lorsqu’ils fournissent un service de médias.

4) Conformément à l’article 10, paragraphe 1, du règlement (UE) nº 1025/2012, la Commission demande à une ou plusieurs organisations européennes de normalisation d’élaborer des normes pour l’interprétation des indications lisibles par machine quant aux choix des personnes concernées.

Les interfaces en ligne de responsables du traitement conformes à des normes harmonisées ou à des parties de normes harmonisées dont les références ont été publiées au Journal officiel de l’Union européenne sont présumées conformes aux exigences couvertes par ces normes ou parties de normes visées au paragraphe 1.

5) Les paragraphes 1 et 2 sont applicables à partir du [OP: prière d’insérer la date correspondant à 24 mois après la date d’entrée en vigueur du présent règlement].

6) Les fournisseurs de navigateurs internet qui ne sont pas des PME fournissent les moyens techniques permettant aux personnes concernées de donner leur consentement, de refuser une demande de consentement et d’exercer leur droit d’opposition en vertu de l’article 21, paragraphe 2, par les moyens automatisés et lisibles par machine visés au paragraphe 1 du présent article, en application des paragraphes 2 à 5 du présent article.

7) Le paragraphe 6 est applicable à partir du [OP: prière d’insérer la date correspondant à 48 mois après la date d’entrée en vigueur du présent règlement].

Traitement dans le cadre du développement et de l’exploitation de l’IA : Article 88 quater

Article 88 quater

Traitement dans le cadre du développement et de l’exploitation de l’IA

Lorsque le traitement de données à caractère personnel est nécessaire aux intérêts du responsable du traitement dans le cadre du développement et de l’exploitation d’un système d’IA au sens de l’article 3, point 1), du règlement (UE) 2024/1689 ou d’un modèle d’IA, ce traitement peut être réalisé aux fins d’intérêts légitimes au sens de l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679, le cas échéant, à moins que le consentement soit expressément requis par d’autres dispositions du droit de l’Union ou du droit national et à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Ce traitement éventuel fait l’objet de mesures organisationnelles et techniques et de garanties appropriées pour les droits et libertés de la personne concernée, consistant notamment à veiller au respect de la minimisation des données au cours de la phase de sélection des sources et lors de l’entraînement et de l’essai d’un système d’IA ou d’un modèle d’IA, à prévenir la non-divulgation des données conservées de manière résiduelle dans le système d’IA ou le modèle d’IA, à garantir une transparence renforcée aux personnes concernées et à leur donner le droit inconditionnel de s’opposer au traitement de leurs données à caractère personnel.».

A suivre….

Décryptage des Modifications proposées par le « Digital omnibus » : volet data hors RGPD

Laisser un commentaire