Présenté comme une "simplification", le projet Digital Omnibus de 156 pages réécrit les fondations du RGPD avec des implications majeures pour la gouvernance des données et l'IA. Sa modification la plus déterminante concerne l'article 9 relatif aux données sensibles : en restreignant la protection aux seules données "révélant directement" une pathologie, le texte déclasse tous les indicateurs indirects (mobilité, rythme cardiaque, patterns de sommeil, stress comportemental) vers le régime général moins protecteur.

Cette reclassification est stratégique car ces signaux faibles alimentent précisément les profilages sanitaires prédictifs et l'entraînement de modèles d'IA sans consentement. Le document étend aussi l'intérêt légitime (article 6) à l'optimisation, la détection d'anomalies et l'amélioration de modèles IA, rendant le consentement moins central pour de nombreux usages.

Les droits individuels fondamentaux (accès, rectification, effacement) se verraient restreints par un critère "manifestement excessif" sans définition claire, donnant aux entreprises plus de latitude pour refuser les demandes citoyennes. Sur la gouvernance, l'ENISA (agence de cybersécurité) hériterait de compétences jusqu'ici exercées par les autorités nationales de protection des données, centralisant l'interprétation juridique vers une institution technique et réduisant la nuance locale.

Ce projet répond contextuellement aux critiques américaines et à la pression des géants technologiques. Il symbolise un renoncement discret à la singularité européenne ayant mis les droits fondamentaux au centre de la régulation numérique, au profit d'un alignement compétitif. Les gagnants sont clairement identifiés : grandes plateformes tech, acteurs de l'IA générative, États industriels aspirant à alléger les contraintes réglementaires.

Les perdants sont nombreux : citoyens dont les droits deviennent contestables, PME face à un cadre juridique flou, DPO (délégués à la protection des données) avec des missions affaiblies, autorités nationales dépossédées de leurs compétences.

Selon Max Schrems et d'autres experts en protection des données, cette révision représente "une mort par mille coupes" : chaque modification isolée semble technique et mineure, mais cumulativement, elles érodent l'esprit protecteur du RGPD sans bruit médiatique ni débat public.

La question politique dépasse le texte lui-même : l'Europe choisit-elle de maintenir sa position de protectrice des droits fondamentaux numériques ou de s'aligner sur le modèle américain d'exploitation maximale des données ? Pour AI4Data et la gouvernance IA, ces changements sont critiques : ils affaiblissent le cadre européen qui était justement le différenciateur et l'avantage concurrentiel de confiance.