Espace Banque & Droit

Actualités réglementaires en matière de conformité. Protection des données personnelles. Règlement sur l’IA

Créé le

06.02.2026

Docteure en Droit
Juriste en régulation bancaire Confédération Nationale du Crédit Mutuel

Le Paquet législatif « Omnibus numérique » simplifiant¹ les règles relatives aux données, à la cybersécurité et à l’intelligence artificielle (IA) et publié par la Commission européenne le 19 novembre 2025, contient certains aspects intéressants² relatifs à la facilitation de la mise en conformité avec le règlement (RGPD)³ et le règlement européen du 13 juin 2024 établissant un cadre harmonisé pour l’intelligence artificielle⁴.

L’examen approfondi du contenu de ce Paquet législatif dit « Paquet Digital Omnibus », révèle que ce Paquet semble aller au-delà de l’ambition affichée par la Commission européenne d’une simplification des règles existantes. Ce Paquet comporte en effet certaines modifications structurantes sur le fond au sein du RGPD (1) et le règlement sur l’IA (2), ces deux règlementations transverses étant susceptibles d’intéresser l’industrie bancaire.

1. Parmi les modifications de fond des règles du RGPD, il convient de relever une modification clarifiant la définition de la notion de données à caractère personnel figurant à l’article 4 qui prévoit actuellement que (i) ces données désignent toute information se rapportant à une personne physique « identifiée ou identifiable » et (ii) qu’est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement.

Exclusion du champ d’application du RGPD des données pseudonymisées. C’est la notion d’« identification indirecte » et, par conséquent, l’applicabilité du RGPD à des données pseudonymisées⁵ qui a été clarifiée pour exclure précisément ces dernières du champ d’application du RGPD en tenant compte de la jurisprudence récente de la CJUE issue de l’arrêt du 4 septembre 2025⁶. La proposition précise que les informations ne sont pas considérées comme des données personnelles pour une entité donnée si cette entité ne dispose pas des moyens raisonnablement susceptibles d’identifier la personne physique à laquelle les informations se rapportent. Cette proposition de modification renforcerait la sécurité juridique des opérateurs lorsque des techniques de pseudonymisation sont utilisées.

Possibilité d’entraîner des systèmes et modèles d’IA sur des catégories particulières de données à caractère personnel sensibles. Par ailleurs, il convient de relever une modification proposant d’ajouter une nouvelle exception du traitement de données spécialement protégées à l’article 9 du RGPD⁷ qui permettrait l’utilisation de données à caractère personnel sensibles afin d’entraîner des systèmes et des modèles d’IA. Afin de ne pas entraver de manière disproportionnée le développement et le fonctionnement de l’IA, cette proposition de modification tient compte du fait que le développement de certains systèmes et modèles d’IA peut impliquer la collecte de grandes quantités de données, y compris des données à caractère personnel et des catégories particulières de données à caractère personnel⁸. Cette nouvelle exception à l’interdiction de traitement des catégories particulières de données à caractère personnel pour le développement et le fonctionnement de l’IA est néanmoins entourée de deux garde-fous. Le premier est que cette possibilité de se fonder sur l’intérêt légitime ne devrait s’appliquer que lorsque le responsable du traitement n’a pas pour objectif de traiter des catégories particulières de données à caractère personnel et sous réserve que le responsable du traitement soit toujours tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées pour éviter le traitement de catégories particulières de données à caractère personnel. Le second garde-fou contre toute divulgation ou mise à disposition à des tiers impose au responsable de traitement de supprimer ces données dès qu’elles auraient été identifiées.

2. En ce qui concerne les modifications relatives au règlement européen sur l’intelligence artificielle⁹, au-delà du report des dates d’application¹⁰ des dispositions relatives aux systèmes d’IA à haut risque, initialement prévues au 2 août 2026¹¹ et au 2 août 2027¹², il convient de relever la suppression de l’obligation de déclaration des systèmes d’IA ne présentant pas de risque significatif.

Par ailleurs, du point de vue de l’amélioration du mécanisme européen de surveillance des systèmes d’IA, il est à noter deux propositions intéressantes. Compte tenu de la démultiplication des modèles d’IA à usage général et du fait qu’un grand nombre de systèmes d’IA ont été élaborés sur ces modèles, une proposition vise à renforcer les pouvoirs du Bureau européen de l’IA afin de superviser les systèmes d’IA construits sur des modèles d’IA à usage général, pour garantir leur efficacité. Une autre proposition vise à renforcer la coopération entre les autorités de surveillance du marché et les autorités chargés de superviser ou de faire appliquer les droits fondamentaux tout en veillant à ce que les opérateurs ne soient pas confrontés à de multiples demandes d’information.

Enfin, certaines mesures d’accompagnement des parties prenantes en matière de conformité sont proposées. Une proposition de modification du règlement sur l’IA autorise les fournisseurs de systèmes d’IA à haut risque à utiliser exceptionnellement des données personnelles sensibles, en principe interdites par le RGPD, à des fins de détection et de correction des biais. Cette mesure vise à faciliter l’entraînement et les tests efficaces des IA. La possibilité de s’appuyer sur cette base juridique serait également étendue aux fournisseurs de tous les systèmes d’IA et de modèles d’IA à usage général. Une autre proposition de modification viserait à instaurer des bacs à sable réglementaires¹³ pour l’IA pour accompagner les innovateurs en IA dans le développement de systèmes d’IA à haut risque fiables et conformes. En outre, le Bureau européen de l’IA serait habilité à mettre en place un bac à sable réglementaire pour l’IA au niveau de l’UE pour les systèmes d’IA placés sous sa surveillance.

En conclusion, s’inscrivant dans un mouvement européen de simplification, ces propositions de modifications au sein de Paquet « Omnibus numérique », actuellement soumises à consultation publique jusqu’au 11 mars 2026, devront encore être soumises, dans le cadre de la procédure législative, au Parlement européen et au Conseil. Au-delà de la volonté de simplifier son cadre réglementaire numérique, la Commission européenne a fait preuve d’agilité à la fois (i) en réduisant les « externalités négatives », pour les parties prenantes au sein des écosystèmes numériques, liées à l’existence de plusieurs textes législatifs européens aux finalités différentes comme le RGPD ou le règlement sur l’IA (ii) en faisant sien l’adage « vingt fois sur le métier remettez votre ouvrage » en décalant des dates d’entrée en application et en ayant pris conscience du blocage que représente l’absence d’adoption de normes de niveau 2 qui devaient être adoptées par des organismes de normalisation européens pour mettre en œuvre le règlement sur l’IA.

À retrouver dans la revue

Notes :
¹ Ce Paquet Omnibus numérique fait suite au Rapport Draghi du 9 septembre 2024 attribuant le déficit de compétitivité de l’UE aux charges administratives et aux incohérences réglementaires.
² Cette chronique ne passera pas en revue la directive e-privacy ni la réglementation sur la cybersécurité.
³ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : https://eur-lex.europa.eu/eli/reg/2016/679/oj/fra
⁴ Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle : https://eur-lex.europa.eu/eli/reg/2024/1689/oj?locale=fr
⁵ La pseudonymisation consiste en pratique à remplacer les données personnelles (nom, prénom, numéro personnel, numéro de téléphone, etc.) par des données d’identification indirecte (alias, numéro séquentiel, etc.) dans un ensemble de données. Les données pseudonymisées demeurent toujours des données personnelles soumises au RGPD (voir le lien sur le site du Comité européen de la protection des données).
⁶ CJUE, 4 septembre 2025, CEPD c/ CRU, C-413/23 P. Cette affaire mettait en cause le Conseil de résolution unique (CRU) pour avoir transmis des commentaires pseudonymisés, formulés auprès de ce dernier par des actionnaires et créanciers affectés par des mesures de résolution bancaire, à un tiers indépendant aux fins d’évaluation sans les en avoir informés. Dans ce cadre, la CJUE a précisé la notion de « données à caractère personnel », dans le cadre de données pseudonymisées et, plus particulièrement, sur l’obligation d’information à fournir à la personne concernée lorsque de telles données sont transférées à un tiers : le caractère identifiable de la personne concernée doit être apprécié au moment de la collecte des données et du point de vue du responsable du traitement.
⁷ Le paragraphe 1 de l’article 9 du RGPD pose le principe d’un interdiction du traitement des données à caractère personnel sensibles qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Le paragraphe 2 de l’article 9 du RGPD prévoit une liste d’exceptions à cette interdiction.
⁸ Par ailleurs, les données à caractère personnel non sensibles pourraient également être traitées par des responsables de traitement dans le cadre du développement et du fonctionnement de l’IA en étendant la notion d’ «intérêt légitime » au sens de l’article 6, paragraphe 1, point f) du RGPD.
⁹ Entré en vigueur le 1^er août 2024.
¹⁰ Ces reports sont motivés notamment par les retards dans la désignation, au plus tard le 2 août 2025, des autorités de surveillance nationales compétentes et de l’absence de publications de normes techniques harmonisées par des organismes européens devant préciser, au plus tard le 31 août 2025, les conditions d’utilisation des systèmes à haut risque.
¹¹ Date d’entrée en application des dispositions relatives aux systèmes d’IA à haut risque de l’annexe III du règlement n° 2024/1689 reportée au 2 décembre 2027, à défaut de décision de la Commission devant constater l’existence des outils nécessaires à la mise en conformité des opérateurs.
¹² Date d’entrée en application des dispositions relatives aux systèmes d’IA à haut risque de l’annexe I du règlement n°2024/1689 reportée au 2 août 2028, à défaut de décision de la Commission devant constater l’existence des outils nécessaires à la mise en conformité des opérateurs.
¹³ En anglais « Sandboxes ». L’objectif de ces bacs à sables réglementaires est de permettre aux fournisseurs de tester certains systèmes d’IA sans avoir nécessairement à respecter les obligations prévues par la réglementation en principe applicable.