Le CEPD et l’EDPS fixent des règles strictes pour les données des biotechs européennes

Le CEPD et le Contrôleur européen de la protection des données ont publié un avis conjoint sur une proposition de la Commission visant à simplifier le cadre réglementaire numérique de l’Union, un paquet souvent présenté comme un omnibus. Le message central tient en deux idées, oui à la rationalisation pour accélérer l’innovation, mais pas au prix d’un affaiblissement de la protection des données et des droits fondamentaux.

Dans le même mouvement, le débat touche directement les biotechnologies, surtout quand elles s’appuient sur des données de santé et des systèmes d’IA. Les autorités de protection des données demandent une implication plus directe dans les dispositifs d’expérimentation, les bacs à sable, et des clarifications sur qui surveille quoi. Derrière la technique, il y a une question très concrète, qui contrôle l’accès, l’usage et la réutilisation des données sensibles quand on veut aller vite.

Le CEPD et l’EDPS cadrent l’ omnibus numérique

L’avis conjoint du CEPD et de l’EDPS s’inscrit dans une séquence politique claire, la Commission veut simplifier des couches de réglementation pour réduire la charge administrative et soutenir la compétitivité. Sur le papier, l’objectif parle aux entreprises, moins de doublons, plus de lisibilité, des procédures plus rapides. Mais les deux autorités rappellent un point de méthode, simplifier ne doit pas créer de zones grises sur les droits.

Leur position n’est pas un refus de principe. Ils soutiennent l’idée d’une mise en uvre plus fluide de certaines règles harmonisées liées à l’IA, à condition de renforcer des garanties. Dans leur lecture, la sécurité juridique n’est pas un slogan, c’est une condition pour que les organisations sachent ce qu’elles peuvent faire, et pour que les personnes concernées puissent exercer leurs droits sans se perdre dans un labyrinthe institutionnel.

Ce cadrage a une conséquence pratique pour les acteurs des biotechnologies. Une start-up qui entraîne un modèle sur des données cliniques, un hôpital qui mutualise des cohortes, un laboratoire qui déploie un outil d’aide à la décision, tous ont besoin de règles compréhensibles. Mais si la simplification se traduit par des formulations plus vagues, le risque est double, plus de contentieux, et plus de divergences d’interprétation entre États membres, ce qui casse l’ambition d’un marché intérieur cohérent.

Dans les échanges à Bruxelles, plusieurs juristes soulignent ce point, la simplification utile, c’est celle qui réduit les redondances sans réduire les exigences, résume Marc L., consultant en conformité RGPD auprès d’acteurs de la santé numérique. Sa nuance est directe, si on retire des garde-fous au nom de la vitesse, on paiera plus tard en incidents, en sanctions, et en perte de confiance, un coût rarement intégré dans les présentations de compétitivité.

Les bacs à sable IA exigent la présence des autorités de données

Le cur opérationnel de l’avis, ce sont les bacs à sable réglementaires dédiés à l’IA. Le CEPD et l’EDPS se félicitent de ces dispositifs au niveau de l’UE, parce qu’ils peuvent accélérer l’innovation en encadrant des tests réels. Mais ils demandent une condition non négociable, la participation directe des autorités compétentes en matière de protection des données à la surveillance des traitements réalisés dans ces bacs à sable.

Pourquoi cette exigence compte pour la biotech. Parce qu’un bac à sable, dans la vraie vie, c’est souvent un projet pilote avec des données sensibles, dossiers patients pseudonymisés, imagerie médicale, résultats de biologie, parfois données génétiques. Sans supervision des autorités de protection des données, une équipe projet peut croire qu’un dispositif expérimental autorise des raccourcis. L’avis rappelle que l’expérimentation ne suspend pas les principes de base, finalité, minimisation, sécurité, droits des personnes.

Les autorités demandent aussi un rôle plus structuré au niveau européen. Le CEPD devrait obtenir un rôle consultatif et un statut d’observateur au sein du comité européen de l’intelligence artificielle, pour garantir la cohérence sur les bacs à sable. En clair, éviter qu’un État membre valide une approche permissive tandis qu’un autre impose une lecture plus stricte, ce qui pousserait les acteurs à choisir la juridiction la plus souple, un phénomène bien connu dans d’autres domaines.

Dans le secteur, des responsables innovation défendent les bacs à sable comme un outil de réduction du risque. Une directrice R&D d’un groupe de diagnostic, interrogée lors d’un événement professionnel à Bruxelles, explique que tester avec un régulateur dans la boucle, c’est gagner du temps sur la mise à l’échelle. Mais la critique existe aussi, si la gouvernance est floue, le bac à sable devient un label, pas un contrôle, et il peut servir d’argument commercial sans réelle garantie sur les données.

Les données de santé sensibles restent le point de friction

La biotech moderne se nourrit de données de santé, et c’est précisément là que les tensions montent. Les textes européens de protection des données sont ancrés dans une logique de droits fondamentaux, tandis que les initiatives pro-compétitivité, comme un futur Biotech Act évoqué dans le débat public, relèvent davantage d’une culture marché intérieur. Ce décalage de logique explique une partie des frictions institutionnelles relevées par plusieurs observateurs.

Le risque pointé dans les discussions tient à la normalisation d’accès aux données via des régimes de réutilisation, parfois au nom de l’intérêt public ou de l’innovation. Les autorités de protection des données alertent sur un glissement possible, des accès secondaires qui deviendraient la norme sans consentement significatif, ou sans garanties équivalentes. Dans un contexte de santé, la promesse d’innovation peut vite devenir un argument qui écrase le débat sur la proportionnalité.

Concrètement, prenons un cas typique. Un consortium veut entraîner un modèle pour détecter précocement des cancers sur des données d’imagerie issues de plusieurs pays. Le bénéfice potentiel est réel, mais les questions sont immédiates, qui héberge, combien de temps, quelles mesures de sécurité, qui peut réutiliser pour d’autres finalités, et comment informer les patients. Les autorités ne contestent pas l’objectif médical, elles contestent les angles morts, surtout quand la chaîne de sous-traitance devient complexe.

Marc D., DPO dans un CHU français, résume le dilemme avec des mots simples, on nous demande d’ouvrir les données pour innover, mais on nous jugera sur la moindre fuite. Sa nuance vise la gouvernance, si l’Europe veut accélérer, elle doit financer et exiger des architectures robustes, chiffrement, journalisation, segmentation des accès, audits. Sans cela, la pression à produire des résultats rapides peut pousser à des solutions bricolées, et la santé n’est pas un terrain où l’on peut improviser.

Le rôle du Bureau de l’IA et du comité européen se précise

Un autre point mis en avant concerne la surveillance des systèmes fondés sur des modèles d’IA à usage général. Le CEPD et l’EDPS demandent que le rôle du Bureau de l’IA soit clairement défini pour ces systèmes, parce que l’ambiguïté sur l’autorité compétente crée des trous de contrôle. Dans la biotech, ces modèles généralistes peuvent être adaptés à des tâches médicales, tri d’images, extraction d’informations, génération de comptes rendus.

Le sujet est moins théorique qu’il n’y paraît. Si un laboratoire adapte un modèle généraliste pour assister des biologistes, la question devient, qui vérifie les conditions d’entraînement, les données utilisées, la gestion des biais, la robustesse, et la conformité RGPD. Les autorités de données ne veulent pas se retrouver informées a posteriori, une fois que l’outil est déjà déployé. Leur avis pousse à une articulation claire entre contrôle IA et contrôle données, sans doublons, mais sans vide.

Le CEPD demande aussi un statut d’observateur et un rôle consultatif dans le comité européen de l’intelligence artificielle, pour sécuriser la cohérence. L’objectif est d’éviter des lignes directrices contradictoires entre institutions. Dans le monde réel, une entreprise ne peut pas suivre deux doctrines incompatibles, l’une axée conformité IA, l’autre axée conformité données. Quand une règle est incertaine, les acteurs prudents ralentissent, et les acteurs agressifs prennent des risques, ce qui crée une concurrence biaisée.

Une critique revient souvent côté industrie, la multiplication des instances peut donner le sentiment d’une Europe à comités. Mais l’avis des autorités rappelle une réalité, sans coordination, chaque autorité nationale interprète, et les projets transfrontières deviennent un casse-tête. Un responsable conformité d’une PME de e-santé allemande confie que l’incertitude coûte plus cher que la règle. Dans ce contexte, clarifier qui surveille les modèles et les données peut être perçu comme une simplification réelle, pas comme une contrainte supplémentaire.

La simplification promise se heurte aux exigences du RGPD

La proposition d’ omnibus vise explicitement à simplifier le cadre réglementaire numérique de l’UE, en touchant plusieurs textes, dont le RGPD et des règlements encadrant les institutions européennes. Le CEPD et l’EDPS soutiennent l’objectif de réduction de charge administrative, mais ils insistent sur un point, la simplification doit être réelle. En clair, pas un empilement de nouvelles procédures sous un nom plus simple.

L’avis met aussi en avant la question des lignes directrices et de la cohérence. Les autorités se félicitent de la confirmation du rôle du EDIB dans l’application cohérente de la législation sur les données. Elles recommandent de clarifier la capacité de la Commission à publier des lignes directrices sur tout sujet concernant le règlement sur les données, et de préciser comment l’EDIB assiste la Commission. Pour la biotech, ces guides peuvent décider de la faisabilité d’un projet.

Exemple concret, une entreprise veut réutiliser des données collectées pour un essai clinique afin d’améliorer un algorithme de stratification des patients. Sans lignes directrices claires sur la réutilisation, la base juridique, l’information des personnes, et les mesures de sécurité, le projet peut être bloqué pendant des mois. À l’inverse, si les guides sont trop permissifs, on ouvre la porte à des usages secondaires difficiles à expliquer au public, avec un risque de rejet social, surtout sur la génétique.

Dernier point rarement dit à voix haute, la simplification peut déplacer la charge plutôt que la réduire. Si on allège des obligations formelles, mais qu’on augmente l’incertitude, les entreprises compensent en achetant du conseil, en multipliant les audits, ou en renonçant à des projets transfrontières. Un avocat spécialisé, interrogé dans le cadre d’un débat public, dit souvent à ses clients mieux vaut une règle stricte qu’une règle floue. Cette phrase résume la ligne des autorités, accélérer oui, mais sans dégrader la protection des données, surtout quand la biotech touche au plus intime.