Les règles relatives aux droits des personnes sont, dans leur architecture générale, maintenues. Le projet de Digital Omnibus ne supprime ni le droit d’accès, ni le droit à l’information, ni les garanties liées aux décisions automatisées, aux violations de données ou aux AIPD.

En revanche, plusieurs modifications traduisent une volonté d’assouplissement ciblé, qui peut être lue soit comme une simplification utile, soit comme l’ouverture de nouvelles marges d’interprétation au détriment des personnes concernées.

L’avis conjoint du CEPD et du Contrôleur européen montre d’ailleurs une position nuancée : certaines évolutions sont accueillies favorablement dans leur objectif, mais presque toujours sous réserve de clarifications importantes destinées à éviter un affaiblissement du niveau de protection.

Le droit d’accès : une simplification admise, mais strictement encadrée

Le projet modifie l’article 12(5) du RGPD afin de clarifier les hypothèses dans lesquelles une demande d’accès pourrait être refusée ou faire l’objet de frais. Deux mouvements se dégagent.

D’une part, le texte entend mieux cerner l’hypothèse d’un abus du droit d’accès, notamment lorsque ce droit serait utilisé dans une intention de nuisance.

D’autre part, il tend à alléger la charge probatoire pesant sur le responsable de traitement lorsqu’il entend qualifier une demande d’excessive.

Sur le principe, le CEPD et le Contrôleur européen accueillent favorablement l’idée de clarifier ce qui relève d’un abus. En revanche, ils critiquent fortement la rédaction proposée lorsqu’elle relie cet abus à l’exercice du droit d’accès pour des finalités “autres que la protection des données”.

Ils rappellent que le RGPD protège plus largement les droits et libertés fondamentaux, et que la CJUE a déjà admis que le droit d’accès puisse être exercé pour d’autres objectifs légitimes. Ils recommandent donc de rattacher l’abus non pas à la finalité poursuivie, mais à l’existence d’une intention abusive, par exemple une volonté évidente de nuire au responsable de traitement.

Ils rejettent également l’idée selon laquelle des demandes “trop larges et indifférenciées” devraient être regardées comme excessives par principe. Ils rappellent qu’en présence de traitements volumineux, le RGPD permet déjà au responsable d’inviter la personne à préciser sa demande, sans pour autant vider le droit d’accès de sa substance.

Enfin, ils demandent expressément de maintenir le seuil actuel de preuve, en supprimant la formule “reasonable grounds to believe”, qu’ils jugent trop favorable aux responsables de traitement. Selon eux, l’appréciation du caractère excessif ou manifestement infondé doit rester objective, documentée, et précédée, dans la mesure du possible, d’une possibilité pour la personne concernée de clarifier sa demande.

Point opérationnel

En matière de gestion des demandes d’exercice des droits (DSAR), la pratique la plus prudente consiste donc à :

• distinguer clairement, dans les procédures internes, ce qui relève d’une demande manifestement infondée, excessive ou d’un abus ;

• fonder cette qualification sur des éléments objectifs et documentés ;

• conserver les échanges permettant d’en rendre compte ;

• et surtout, avant tout rejet, inviter la personne à préciser le périmètre de sa demande.

Autrement dit, la bonne pratique ne consiste pas à refuser plus facilement, mais à mieux encadrer juridiquement le refus lorsqu’il est réellement justifié.

Le droit à l’information : une simplification bienvenue, mais sous réserve de garanties

Le projet modifie l’article 13(4) du RGPD afin de permettre, dans certains cas, de ne pas fournir immédiatement l’ensemble des informations à la personne concernée.

Cette dérogation jouerait lorsque plusieurs conditions cumulatives sont réunies :

• les données sont collectées dans une relation claire et circonscrite ;

• le responsable exerce une activité non data-intensive ;

• il existe des motifs raisonnables de penser que la personne dispose déjà, à tout le moins, des informations relatives à l’identité du responsable de traitement et aux finalités du traitement.

Le CEPD et le Contrôleur européen accueillent favorablement l’objectif de simplification, notamment pour les PME, et approuvent l’idée générale d’une évolution de l’article 13(4).

En revanche, ils soulignent immédiatement que la rédaction proposée risque de créer de l’incertitude et des interprétations divergentes. Ils demandent donc que les conditions de cette dérogation restent soigneusement limitées et définies.

Plus précisément, ils recommandent :

• de clarifier les notions de “not data-intensive activity” et de “clear and circumscribed relationship” ;

• de supprimer la formule “reasonable grounds to assume”, au motif qu’elle pourrait affaiblir la protection des personnes ;

• d’exiger que l’appréciation repose sur des éléments objectifs ;

• et surtout de préciser que, même si la dérogation joue, le responsable de traitement doit rester tenu de fournir l’ensemble des informations prévues à l’article 13 sur demande de la personne concernée, en l’informant de cette possibilité.

La dérogation continue par ailleurs de tomber dès lors qu’il existe :

• des transferts à d’autres destinataires ;

• un transfert hors de l’Union ;

• une décision automatisée ou un profilage ;

• ou un traitement susceptible d’engendrer un haut risque au sens de l’article 35.

Le projet ajoute également un paragraphe 5 à l’article 13 pour les traitements à des fins de recherche scientifique, lorsque l’information est impossible, disproportionnée, ou compromettrait gravement la recherche, à condition de respecter l’article 89(1) et de prendre des mesures appropriées, notamment par une information publique.

Sur ce point, l’avis conjoint s’inscrit dans une logique globalement favorable à l’objectif de simplification, tout en rappelant la nécessité d’un encadrement strict.

Point opérationnel

En pratique, il demeure conseillé de maintenir comme principe l’application normale de l’article 13. La dérogation devrait être réservée à des situations réellement évidentes :

• relation simple,

• finalité unique,

• volume limité de données,

• absence de transfert,

• absence d’automatisation,

• absence de traitement à haut risque.

Dans ces cas, une note interne devrait expliciter :

• pourquoi la relation est claire et circonscrite ;

• pourquoi l’activité n’est pas data-intensive ;

• sur quels éléments objectifs repose l’idée que la personne connaissait déjà l’identité du responsable et les finalités du traitement ;

• et pourquoi le traitement ne relève pas des exceptions excluant la dérogation.

S’agissant de la recherche scientifique, il convient en outre de sécuriser la qualification même de recherche, les garanties de l’article 89(1) et les mécanismes d’information publique.

L’article 22 : clarification, oui ; renversement de logique, non

Le projet modifie l’article 22 relatif aux décisions automatisées en le reformulant non plus comme un simple “droit de ne pas être soumis”, mais comme une liste des cas dans lesquels de telles décisions seraient autorisées. C’est précisément sur ce point que l’avis conjoint marque une limite très nette.

Le CEPD et le Contrôleur européen rappellent que la CJUE a interprété l’article 22 comme une interdiction de principe, assortie d’exceptions. Ils demandent donc que le texte conserve une formulation reflétant clairement cette logique de prohibition avec exceptions, afin d’éviter une interprétation trop large des cas d’automatisation admis.

Ils accueillent cependant favorablement l’objectif de clarification de l’exception contractuelle, en particulier l’idée selon laquelle le simple fait qu’un humain puisse théoriquement prendre la décision ne suffit pas, à lui seul, à exclure l’automatisation.

Mais ils insistent sur le fait que la notion de nécessité doit rester exigeante : le traitement doit être réellement nécessaire à la conclusion ou à l’exécution du contrat, et le responsable doit privilégier le moyen le moins intrusif parmi les solutions également efficaces. Pour cette raison, ils recommandent que la formule litigieuse ne figure pas dans la partie normative du texte, mais seulement dans les considérants.

Les garanties substantielles demeurent : intervention humaine, expression du point de vue, contestation de la décision. La règle relative aux catégories particulières de données demeure également inchangée dans son principe.

Les violations de données : une simplification plus nettement assumée

S’agissant de l’article 33, le projet prévoit trois changements structurants :

• relèvement du seuil de notification à l’autorité de contrôle vers le haut risque ;

• allongement du délai de notification de 72 heures à 96 heures ;

• mise en place d’un single-entry point en articulation avec NIS2.

Sur ce point, le CEPD et le Contrôleur européen soutiennent clairement l’augmentation du seuil de notification à l’autorité. Ils estiment que cette évolution ne devrait pas affecter substantiellement le niveau de protection des personnes, tout en réduisant significativement la charge administrative pour les responsables de traitement.

Ils rappellent toutefois que cela ne modifie ni l’obligation de documenter toutes les violations, ni l’obligation de mettre en œuvre des mesures appropriées de sécurité au titre de l’article 32.

Ils soutiennent également fortement la création du single-entry point, qui leur paraît de nature à réduire la charge de notification sans nuire au niveau de protection.

Le projet prévoit en outre que le CEPD prépare un modèle commun de notification et une liste commune des circonstances de haut risque, révisée périodiquement. Ici encore, la simplification dépendra largement du contenu réel de ces instruments.

Les AIPD : pas de changement de fond, mais une harmonisation de méthode

En matière d’AIPD, le principe demeure inchangé : une AIPD est requise lorsqu’un traitement est susceptible d’engendrer un haut risque pour les droits et libertés des personnes. Les trois cas classiques de l’article 35(3) demeurent eux aussi inchangés.

Le changement porte principalement sur la gouvernance :

• une liste européenne des traitements nécessitant une AIPD ;

• une liste européenne des traitements n’en nécessitant pas ;

• une méthodologie commune.

Le CEPD et le Contrôleur européen soutiennent cette harmonisation au niveau de l’Union, estimant qu’elle apportera davantage de clarté et réduira la charge de conformité pour les acteurs économiques. Ils critiquent toutefois, comme sur d’autres points du projet, la possibilité pour la Commission de modifier unilatéralement ces listes préparées par le CEPD.

L’impact réel pour les PME dépendra donc surtout de la qualité future de la liste et de la simplicité de la méthodologie retenue. Si ces outils deviennent trop abstraits ou trop complexes, la simplification restera largement théorique.