Dans une lettre ouverte, EDRi, ainsi que 107 organisations de la société civile, universitaires, entreprises, syndicats et experts, appellent la Commission européenne à rejeter toute réouverture du règlement général sur la protection des données (RGPD) et à le réaffirmer en tant que pierre angulaire de la réglementation numérique de l’UE.
Le 19 mai 2025
La réouverture du GDPR est une menace pour les droits, la responsabilité et l’avenir de la politique numérique de l’UE
Monsieur le vice-président exécutif Virkkunen,
Monsieur le Commissaire McGrath,
Nous écrivons en tant qu’organisations de la société civile, universitaires, entreprises, syndicats, expertes et autres, alarmées par un risque croissant : que la loi la plus importante en matière de droits numériques semble prête à être discrètement démantelée. Nous sommes gravement préoccupées par les propositions actuelles visant à rouvrir le Règlement général sur la protection des données (RGPD), y compris les changements attendus dans le cadre du quatrième paquet omnibus, et par les rumeurs croissantes selon lesquelles le RGPDsera rouvert dans le cadre d’initiatives ultérieures plus tard dans l’année ou au-delà.
Le GDPR est plus qu’un règlement. C’est l’épine dorsale de la réglementation numérique de l’UE, une avancée législative obtenue de haute lutte qui fixe des normes élevées et protège la dignité des personnes dans un monde dominé par les données. Son impact dépasse largement les frontières de l’UE et influence la gouvernance numérique à l’échelle mondiale.
Cependant, nous craignons que les changements proposés ne passent à côté, sans aucune preuve, de la cible d’une véritable simplification, et qu’ils ne fassent reculer des garanties essentielles en matière de responsabilité et, avec elles, le principe de responsabilité lui-même. En pratique, elles pourraient permettre à certaines entreprises d’éviter de tenir des registres de traitement des données (même lorsqu’elles traitent des catégories spéciales de données) en se basant uniquement sur l’effectif ou le chiffre d’affaires du personnel.
Ce changement compromet ce que l’on appelle souvent « l’approche fondée sur les risques » du RGPD, un mécanisme permettant de calibrer les obligations en fonction du préjudice potentiel causé aux droits et libertés des personnes, et non en fonction de la taille de l’entreprise. Plus profondément, cela pourrait éroder le fondement initial du règlement en tant qu’instrument basé sur les droits, fondé sur la reconnaissance de la protection des données à caractère personnel comme un droit fondamental. Les droits relatifs aux données ne perdent pas de leur importance lorsque le responsable du traitement est plus petit, et la vulnérabilité des personnes aux préjudices ne diminue pas en conséquence.
Si la compétitivité est importante, son utilisation pour justifier des dérogations aux protections fondamentales envoie un message inquiétant : les droits des personnes ne sont pas indispensables lorsque des intérêts économiques sont en jeu. Mais la compétitivité durable dépend de la confiance, de la responsabilité et de l’équité, et non de l’abaissement des normes. Elle repose également sur d’autres facteurs qui n’ont rien à voir avec la réglementation : des investissements à long terme, des infrastructures solides et une mise en œuvre cohérente. Le RGPD, qui est technologiquement neutre, soutient l’innovation précisément en garantissant que les droits des personnes sont respectés et que les entreprises opèrent sur un pied d’égalité. De nombreuses entreprises et délégués à la protection des données (DPD), y compris ceux d’entre nous qui signent cette lettre, ne sont pas favorables à la réouverture du RGPD. Au contraire, il est largement reconnu que des obligations telles que celles prévues à l’article 30 contribuent à garantir la conformité et à encourager des pratiques responsables en matière de données.
D’après notre expérience, les efforts de déréglementation s’arrêtent rarement à des « ajustements techniques ». Une fois rouvert, le GDPR pourrait devenir vulnérable à des demandes de déréglementation plus larges. De nombreuses pressions de ce type sont déjà visibles, notamment des appels à l’affaiblissement des règles sur le consentement sans garanties efficaces pour les utilisateurrices, ou à la légitimation des utilisations invasives de données personnelles pour l’entraînement des intelligences artificielles (IA).
Nous ne pouvons pas non plus ignorer le contexte géopolitique. Ces dernières années, les appels lancés par des acteurs commerciaux et politiques étrangers pour assouplir les protections numériques de l’UE ont toujours commencé par des tentatives d’affaiblissement du RGPD, une stratégie désormais étendue à l’ensemble des règles technologiques de l’UE, y compris le DSA (Règlement sur les services numériques), le DMA (Règlement sur les marchés numériques) et la loi sur l’IA – et déjà en cours pour la responsabilité des entreprises et la justice environnementale. L’affaiblissement du RGPD nuirait également à la crédibilité de l’UE. Le règlement est encore largement cité comme une référence en matière de gouvernance numérique fondée sur les droits. L’affaiblir enverrait le signal que l’UE est prête à abandonner ses propres normes sous la pression, ce qui éroderait encore plus la confiance dans ses politiques numériques.
Le RGPD est présenté par certaines comme un obstacle aux modèles agressifs d’extraction de données qui reposent sur l’opacité, la manipulation et le mépris des droits. Ce sont souvent les mêmes acteurrices qui s’efforcent d’échapper à une mise en œuvre efficace. Saper le RGPD n’affaiblirait pas seulement les protections des personnes dans l’UE ; cela enverrait un signal au niveau mondial que la réglementation basée sur les droits est négociable sous la pression.
Nous partageons l’inquiétude selon laquelle le modèle de conformité actuel peut sembler lourd, en particulier pour les petites entités agissant de bonne foi. Mais l’affaiblissement des protections juridiques n’est pas la solution. Au contraire, l’UE doit investir dans l’application réelle des règles existantes contre les récidivistes, tout en améliorant les conseils, l’accès aux outils et le soutien proportionnel à la conformité pour les acteurs plus petits.
Nous demandons à la Commission européenne de :
- Rejeter toute réouverture du RGPD – aussi limitée qu’elle puisse paraître – et réaffirmer l’intégrité du règlement en tant que fondement de la législation numérique de l’UE ;
- Reconnaître que les difficultés actuelles de mise en œuvre peuvent être résolues par une application efficace et claire, et non par une déréglementation ;
- Continuer à soutenir les mécanismes de conformité et la sécurité juridique, non pas en réécrivant la loi mais en garantissant un soutien et une assistance accrus, en particulier pour les petites entités ;
- Résister aux pressions externes et internes qui cherchent à faire disparaître les droits des personnes au nom de la compétitivité ou d’intérêts commerciaux.
Le RGPD a été conçu pour protéger les personnes face aux asymétries croissantes du pouvoir numérique, qui nuisent de manière disproportionnée aux communautés qui ont été systématiquement marginalisées pendant des décennies. Il n’est pas abîmé, mais la pression pour l’abîmer est réelle. Le rouvrir maintenant risquerait de faire reculer des droits durement acquis.
Nous restons à votre disposition pour dialoguer et vous exhortons à défendre fermement les droits fondamentaux.
Nous vous prions d’agréer l’expression de nos salutations distinguées,