RGPD et nouvelles régulations numériques : vers une cohérence renforcée du cadre européen de protection des données

Le RGPD comme socle transversal des nouvelles régulations numériques européennes

Le Comité européen de la protection des données (CEPD) affirme de plus en plus clairement le rôle central du RGPD au sein de l’écosystème normatif numérique européen. Le RGPD est désormais conçu comme une norme de référence structurante, destinée à s’articuler avec le Digital Markets Act (DMA), le Digital Services Act (DSA) et le futur règlement sur l’intelligence artificielle (AI Act).

Cette approche s’inscrit dans la stratégie 2024–2027 du CEPD, qui vise explicitement à renforcer la cohérence réglementaire, la sécurité juridique et l’effectivité des droits fondamentaux dans un contexte de multiplication des obligations numériques.

L’articulation RGPD et DMA : clarifications institutionnelles majeures

Les lignes directrices conjointes publiées par le CEPD et la Commission européenne constituent une avancée structurante en matière de gouvernance numérique européenne. Elles visent à garantir une application complémentaire du RGPD et du DMA, en particulier à l’égard des plateformes qualifiées de gatekeepers.

Plusieurs principes clés sont réaffirmés :

• Primauté des principes du RGPD : les obligations imposées par le DMA ne sauraient justifier des traitements contraires aux principes de minimisation des données, de limitation des finalités ou de proportionnalité ;
• Encadrement strict du consentement : lorsque le DMA impose certaines obligations fonctionnelles (interopérabilité, accès aux données), le recours au consentement reste requis dès lors que le traitement n’est pas strictement nécessaire à l’obligation légale ;
• Protection des droits fondamentaux : les mécanismes d’accès aux données ou de portabilité renforcée doivent être conçus de manière à préserver les droits des personnes concernées.

Ces clarifications traduisent une volonté explicite d’éviter toute lecture autonome du DMA qui affaiblirait le niveau de protection garanti par le RGPD.

RGPD et AI Act : une complémentarité fondée sur la protection des droits fondamentaux

L’entrée en vigueur progressive du règlement européen sur l’intelligence artificielle (AI Act) confirme cette logique d’articulation normative. Le législateur européen a expressément prévu que l’AI Act s’applique sans préjudice du RGPD, notamment lorsque les systèmes d’IA impliquent des traitements de données personnelles.

Plusieurs points d’attention majeurs se dégagent :

• Qualification juridique cumulative : Un système peut être simultanément un système d’IA à haut risque (AI Act) et un traitement soumis au RGPD, impliquant des obligations parallèles (documentation, gouvernance, analyse de risques).
• Données d’entraînement et de test : l’AI Act renforce les exigences de qualité, de représentativité et d’absence de biais, qui viennent compléter les principes de licéité, de minimisation et d’exactitude du RGPD ;
• Analyse d’impact : dans certains cas, une analyse d’impact relative à la protection des données devra être articulée avec l’évaluation des risques exigée par l’AI Act.

Le CEPD et le Contrôleur européen de la protection des données ont d’ailleurs souligné à plusieurs reprises que le RGPD demeure l’outil central de protection des personnes face aux usages intensifs de l’IA.

Des recommandations opérationnelles pour une mise en conformité concrète

Au-delà des textes de principe, le CEPD poursuit une démarche résolument pragmatique en publiant des recommandations ciblées à destination des acteurs économiques.

Parmi les sujets récemment abordés figure la question de la création obligatoire de comptes utilisateurs dans le commerce électronique. Le CEPD rappelle que :

• la création d’un compte ne peut constituer un prérequis systématique à l’achat ;
• des alternatives telles que l’achat en tant qu’invité doivent être proposées, sauf nécessité objective (abonnements, services personnalisés) ;
• la conception des parcours utilisateurs doit être guidée par le principe de minimisation des données.

Ces recommandations témoignent de la volonté du CEPD de rendre le RGPD plus opérationnel, en ciblant directement les architectures de sites, les parcours clients et les systèmes CRM.

Une effectivité renforcée des droits : l’action coordonnée sur le droit à l’effacement

Le CEPD a également engagé une action coordonnée européenne portant sur le droit à l’effacement (article 17 du RGPD), mobilisant plus de trente autorités nationales de protection des données.

Cette initiative poursuit deux objectifs principaux :

• harmoniser les méthodes de contrôle et d’interprétation entre autorités nationales ;
• améliorer l’effectivité concrète d’un droit encore appliqué de manière inégale selon les secteurs.

Ce type d’action marque une évolution significative du rôle du CEPD, désormais pleinement engagé dans la coordination opérationnelle de l’application du RGPD à l’échelle européenne.

Conclusion

Les évolutions récentes confirment la transformation du CEPD en véritable pilier de la régulation numérique européenne. En clarifiant l’articulation du RGPD avec le DMA et l’AI Act, en formulant des recommandations opérationnelles et en coordonnant les actions des autorités nationales, le CEPD contribue à consolider un cadre juridique cohérent, protecteur et effectif.

Le RGPD apparaît ainsi non comme un texte isolé, mais comme le socle transversal d’un écosystème normatif intégré, destiné à encadrer durablement les usages numériques, les plateformes structurantes et les systèmes d’intelligence artificielle.

Comité européen de la protection des données (CEPD), Strategy 2024–2027

DMA et GDPR: L’EDPB et la Commission européenne approuvent des lignes directrices communes visant à clarifier les points de contact communs

‍