L'Europe veut mettre fin aux bannières à cookies sur les sites, pour le meilleur… et pour le pire

L'Europe veut mettre fin aux bannières à cookies sur les sites, pour le meilleur… et pour le pire
Maurine Briantais

Avec son "omnibus numérique", la Commission européenne propose d'importantes modifications pour le RGPD et l'IA Act. Elle souhaite notamment mettre fin aux pénibles bannières à cookies mais aussi lâcher du lest avec l'IA.

Tout le monde les connaît, et personne ne les supporte. Les bannières de cookies, ces fenêtres pop-up – ou "surgissantes" comme on devait le dire en français – qui s'affichent automatiquement dès que l'on arrive sur un site Web, sont devenues pénibles.  

Elles sont pourtant là pour notre bien. Imposées en Europe avec le fameux RGPD, le Règlement général sur la protection des données qui s'applique depuis 2018, elles informent les internautes sur l'exploitation de leurs données de navigation par les sites qu'ils consultent, en particuliers à travers les cookies, ces petits fichiers de texte enregistrés sur leur appareil à chaque visite.

Seulement voilà, alors qu'elles sont censées nous protéger en nous informant sur le pistage par les sites Web, elles sont devenues aussi inutiles que rébarbatives. À cause de leur multiplication et de leur redondance, plus personne ne lit les informations importantes qu'elles contiennent, et tout le monde finit par accepter les conditions imposées de façon mécanique pour accéder plus vite à la page désirée, sans se préoccuper de l'exploitation des données, pourtant réelle et intensive.

Mais le problème pourrait bientôt être résolu. La Commission européenne prépare en effet une réforme de ce système de barrière, qu'elle a présentée le mercredi 19 novembre 2025 sous la forme d'un "omnibus" – un ensemble de réglementations – destiné à apporter de profondes modifications au sacro-saint RGPD, notamment au niveau des bannières de cookies, de la "pseudonymisation" des données et de leur exploitation par les IA. Le but : alléger les contraintes administratives des entreprises et rattraper le retard du Vieux Continent en matière de technologie, quitte à sacrifier la protection numérique des citoyens européens. 

Omnibus numérique : une simplification des bannières de cookies

Le changement le plus concret pour la majorité des internautes concerne les fameuses bannières à cookies, ces fameux petits fichiers stockés sur les appareils (ordinateur, smartphone, etc.) par les navigateurs Web dès lors que l'on navigue sur des sites Internet. Le RGPD impose à tout site Web qui utilise des cookies d'informer ses visiteurs sur leur nature, leur usage et leur conservation, et de les inviter à les accepter, ou non, via une fenêtre pop-up.

Avec la nouvelle législation, le consentement ne passerait plus systématiquement par des bannières ou des fenêtres pop-ups, mais pourrait être géré de façon centralisée au niveau du navigateur. Pour faire simple, la bannière s'affichera une fois, avec un design obligatoirement lisible et compréhensible au premier coup d'œil – fini les "Refuser" minuscules et illisibles – et le choix devra être mémorisé pendant au moins six mois. Tous les sites Web devront reconnaître les signaux standardisés de consentement ou de refus transmis automatiquement par le navigateur.

Sur le papier, cela a l'air d'être beaucoup plus pratique. Mais il y a un point plus intéressant : la nouvelle loi prévoit quelques exceptions où le consentement ne serait pas demandé. Ainsi, les cookies jugés "inoffensifs", comme ceux utilisés pour les mesures d'audience (statistiques de fréquentation), pour la transmission strictement nécessaire à la fourniture du service et pour réaliser ce qui est demandé par l'utilisateur, comme la gestion du panier d'achat, et pour le maintien de la sécurité du service ou de l'équipement seraient exemptés de consentement. Bref, cookies techniques et essentiels qui ne présentent aucun risque pour la vie privée.

Cette mesure ne va certainement pas plaire au secteur publicitaire, dont les acteurs risquent de perdre une énorme manne financière. Il faut s'attendre à une levée de boucliers et à du lobbying intense pour vider le texte de sa substance. De plus, ces nouvelles dispositions risquent de donner trop de pouvoirs aux navigateurs, et donc à certains géants du numérique, comme Apple et Google. On se souvient d'ailleurs de la Privacy Sandbox de ce dernier, qui avait déjà tenté de remplacer les cookies tiers par ses propres systèmes de suivi, avant que le projet ne soit finalement abandonné (voir notre article).​

Omnibus numérique : un assouplissement de l'IA Act

Avec l'omnibus, la Commission européenne prévoit de repousser le calendrier d'application de l'IA Act, et ainsi donner plus de temps aux entreprises pour appliquer ses nouvelles règles sur les systèmes d'intelligence artificielle dits à "hauts risques". L'application des règles, qui est censée s'effectuer à partir d'août 2026, serait repoussée à décembre 2027. "Nos règles ne doivent pas être un fardeau, mais une valeur ajoutée. D'où la nécessité de prendre des mesures immédiates pour se débarrasser de l'encombrement réglementaire", a déclaré Henna Virkkunen, vice-présidente de la Commission chargée du Numérique.

Plus inquiétant : les entreprises auront le droit de traiter des données personnelles pour entraîner des modèles d'IA sans recueillir le consentement explicite des internautes, à condition que l'utilisation ne viole aucune loi européenne ou nationale, et que le traitement respecte toutes les exigences du RGPD.​ Une façon pour la Commission de trouver un équilibre entre innovation et protection. Pour cela, il suffirait d'invoquer "l'intérêt légitime" des entreprises à la place du "consentement préalable des utilisateurs". Mais il s'agit ni plus ni moins que de privilégier les entreprises du numérique, comme Google et OpenAI, à la protection des données personnelles des citoyens européens. 

Pire encore, ce projet de loi autorise les développeurs d'IA à exploiter des données ultra-sensibles, comme les origines ethniques, les données de santé, ou les orientations politiques, sous prétexte de leur permettre de tester leurs systèmes et de vérifier qu'il n'y a pas de discrimination. Bien évidemment, la Commission oublie de préciser les garanties, même si chacun pourra demander à l'entreprise de cesser d'utiliser ses données pour entraîner une IA.

Omnibus numérique : un texte fortement critiqué

La Commission entend également revoir la définition d'une donnée personnelle. Pour faire simple, le caractère personnel de la donnée deviendrait relatif au destinataire. Ainsi, une donnée pseudonymisée peut rester personnelle pour celui qui la collecte, une entreprise par exemple, mais pourrait devenir non personnelle pour le tiers, comme un sous-traitant, qui la reçoit, à condition que ce dernier ne dispose d'aucun moyen pour ré-identifier les individus. 

Les modifications envisagées par l'omnibus auraient des impacts considérables si elles étaient appliquées. Il reste maintenant à voir comment cet omnibus numérique va évoluer, car il n'en est qu'au début de son périple. Le texte doit encore passer par le Parlement européen et obtenir l'accord des 27 États membres. Mais il est déjà la cible de critiques, notamment comme le détricotage de tout l'édifice protecteur européen. Nombreux sont ceux qui l'accusent de sacrifier la vie privée des citoyens européens pour rattraper le retard économique du Vieux Continent.

Pour le militant autrichien de la protection des données Max Schrems, il s'agit tout simplement de "la plus grande attaque contre les droits numériques des Européens depuis des années". Les eurodéputés semblent très divisés sur le sujet. Globalement, la droite salue les assouplissements tandis que les sociaux-démocrates appellent à ne pas "déréglementer et affaiblir le cadre juridique numérique soigneusement construit par l'UE". Bien évidemment, la Commission européenne s'en défend. Reste à savoir qui des lobbies, des grandes entreprises du numérique ou des défenseurs de la vie privée parviendra à peser le plus lourd sur la promulgation du texte.