Digital Omnibus : la proposition de règlement européenne ouvre-t-elle la voie à une simplification du RGPD ?

Introduction

« L’Europe est à la traîne », « trop de règles, pas assez d’innovation », « étouffée par son propre cadre » : le refrain est bien connu. Face à ces critiques récurrentes, la Commission européenne passe à l’offensive et présente le 19 novembre 2025, un projet colossal : le Digital Omnibus. Une proposition de règlement ambitieuse qui pourrait redéfinir le paysage numérique européen. Entre simplification administrative et craintes d’affaiblissement des protections, ce train de mesures modifie en profondeur le RGPD, l’AI Act et les règles de cybersécurité. Décryptage d’une réforme qui divise déjà l’Europe.

1. Qu’est-ce que le Digital Omnibus ?

Le Digital Omnibus est un ensemble de mesures législatives proposées par la Commission européenne pour simplifier et harmoniser les réglementations numériques au sein de l’Union européenne. Cette initiative vise à réduire la charge administrative pesant sur les entreprises tout en maintenant un niveau élevé de protection des données et de cybersécurité.

1.1 Contexte et objectifs de la réforme

Face aux critiques récurrentes sur l’excès de réglementation européenne, la Commission a publié le Digital Omnibus avec des objectifs clairs :

• Réduire de 25% la charge administrative pour toutes les entreprises d’ici 2029
• Diminuer de 35% les obligations pour les PME
• Générer jusqu’à 5 milliards d’euros d’économies
• Stimuler l’innovation européenne, notamment dans le domaine de l’intelligence artificielle

La proposition touche à un vaste corpus de législation : le RGPD, la directive ePrivacy, l’AI Act, NIS2, DORA, et le Data Act. Il s’agit d’une série de modifications d’ampleur sans précédent depuis l’entrée en vigueur du RGPD en 2018, qui constituent le socle de la régulation numérique européenne.

2. Les modifications majeures du RGPD

Le Digital Omnibus propose des changements substantiels au Règlement Général sur la Protection des Données. Voici les points clés de cette transformation :

2.1 Redéfinition de la donnée personnelle et pseudonymisation

Changement proposé : Une information ne serait considérée comme donnée personnelle que si l’entité qui la détient dispose de moyens raisonnablement susceptibles d’identifier la personne concernée. Cette définition de donnée à caractère personnel reprend la solution de l’arrêt de la Cour de Justice de l’Union Européenne du 4 septembre 2025.

Nouveauté – Actes d’exécution : Le texte prévoit la possibilité pour la Commission européenne, conjointement avec le Comité Européen de la Protection des Données (CEPD), d’assister les responsables de traitement dans la qualification des données pseudonymisées. Des actes d’exécution pourront préciser les moyens et critères pertinants, incluant l’état de l’art des techniques disponibles et l’évaluation du risque de réidentification.

Conséquence : Cette approche « subjective » du caractère personnel des données pourrait permettre à certaines données pseudonymisées, aujourd’hui protégées par le RGPD, de sortir du champ d’application du règlement. Une entreprise recevant des données pseudonymisées d’un tiers pourrait les traiter librement si elle ne dispose pas des moyens de réidentifier les personnes.

⚠️ Point d’attention : Les défenseurs de la vie privée craignent que des acteurs comme les régies publicitaires n’exploitent cette faille en déclarant ne pas avoir les moyens d’identifier les personnes. Certaines ONG dénoncent même un potentiel recul des droits fondamentaux.

2.2 Intérêt légitime pour l’entraînement des modèles d’IA

Changement proposé : Le Digital Omnibus introduirait la possibilité d’utiliser des données personnelles pour développer ou exploiter un système ou modèle d’IA sur la base de l’intérêt légitime, sans demander systématiquement le consentement des utilisateurs (excepté lorsque la loi exige le consentement). Cette mesure devrait faciliter le partage de données nécessaire au développement de l’IA européenne.

Condition : Le responsable de traitement devrait mettre en place des mesures techniques et organisationnelles protégeant les droits des personnes concernées.

Conséquence : Les entreprises technologiques pourraient accéder légalement à de vastes volumes de données pour développer leurs systèmes d’IA, à condition de respecter un droit d’opposition inconditionnel. Cette évolution marque un changement significatif dans la vie des entreprises qui développent des solutions d’intelligence artificielle.

✅ Note importante : La CNIL française admet déjà cette pratique dans certains cas. La réforme viendrait simplement l’inscrire explicitement dans le cadre européen et l’harmoniser entre États membres. Cette mesure s’inscrit dans une volonté de favoriser l’émergence des sociétés développant des solutions d’intelligence artificielle au sein de l’Union européenne.

2.3 Nouvelles exceptions au traitement des données sensibles

Le Digital Omnibus prévoit deux nouvelles exceptions à l’interdiction générale de traitement des données sensibles (article 9 du RGPD) :

a) Exception pour les données biométriques : Le traitement serait exempté lorsqu’il est nécessaire pour confirmer l’identité de la personne concernée et que les données et moyens de vérification sont sous le contrôle exclusif de cette personne. Cette exception vise notamment les systèmes de reconnaissance biométrique sur les appareils personnels (comme le déverrouillage par empreinte digitale ou reconnaissance faciale).

b) Exception pour l’IA – données sensibles résiduelles : Une exception est prévue pour le traitement résiduel des données sensibles (origine raciale, opinions politiques, santé, orientation sexuelle, etc.) dans le cadre du développement et du fonctionnement d’un système ou modèle d’IA.

Condition stricte : Les responsables de traitement doivent mettre en place des mesures techniques et organisationnelles adaptées pour éviter la collecte de telles données. Si malgré ces mesures préventives, des données sensibles sont identifiées, le responsable du traitement devra les supprimer.

Conséquence : Au lieu d’interdire l’utilisation de tout un jeu de données contenant quelques résidus de données sensibles, la réforme permettrait son exploitation à condition que ces résidus ne soient ni exposés, ni réutilisés dans les réponses du modèle.

2.4 Clarification et limitation du droit d’accès

Changement proposé : Lorsque le droit d’accès est exercé de manière abusive à des fins autres que la protection des données personnelles, le responsable de traitement pourra refuser de donner suite à la demande ou facturer des frais raisonnables.

Précision supplémentaire : Les demandes trop générales et imprécises seraient considérées comme excessives. Les conditions permettant de démontrer qu’une demande d’accès est excessive seraient également précisées dans le texte.

Conséquence : Cette modification vise à limiter les réponses aux demandes de droit d’accès émanant notamment d’anciens salariés souhaitant obtenir des informations dans le cadre d’un contentieux, ou pour obtenir des dommages-intérêts sous menace judiciaire. Cela fait écho à certaines décisions de jurisprudence relatives au droit d’accès.

⚠️ Point de vigilance : Bien que les contours de ce droit essentiel du RGPD aient déjà été clarifiés par le CEPD, les défenseurs des droits numériques craignent que cette restriction ne limite l’accès des citoyens à leurs propres données et ne complique les enquêtes journalistiques. Une action collective pourrait être envisagée si le texte final s’avérait trop restrictif.

2.5 Suppression de l’obligation d’information dans certaines situations

Nouveauté importante : L’obligation d’information prévue à l’article 13 du RGPD pourrait être supprimée lorsque l’on pourrait raisonnablement supposer que la personne concernée dispose déjà de l’information en cause.

Champ d’application : Cela s’appliquerait notamment aux données collectées dans le cadre d’une relation claire et circonscrite, avec une activité qui n’est pas fondée sur la donnée (non data-intensive). Une activité non « data-intensive » est une activité collectant une faible quantité de données.

Exclusions : Sont exclues de ces activités les traitements relatifs à l’emploi par exemple. Cette suppression ne s’appliquerait pas lorsque les données sont :

• Transmises à d’autres destinataires
• Transférées vers un pays tiers
• Utilisées pour effectuer une prise de décision automatisée
• Traitées de manière susceptible d’entraîner un risque élevé pour les droits des personnes concernées

Objectif : Alléger la charge d’information pour les plus petites structures. Cette mesure permettra d’ouvrir une nouvelle fenêtre d’opportunités pour les PME qui consacrent actuellement beaucoup de ressources à cette obligation.

2.6 Modification des exigences relatives à la prise de décision automatisée

Changement majeur : L’interdiction de principe des décisions individuelles automatisées, prévue à l’actuel article 22 du RGPD, serait supprimée.

Nouvelle règle : Ces traitements seraient permis uniquement dans trois cas :

• Dans le cadre de l’exécution d’un contrat
• En cas d’autorisation légale
• Avec le consentement explicite de la personne concernée

Cette modification clarifie et assouplit les conditions d’utilisation des décisions automatisées, facilitant notamment le développement de systèmes d’IA pour l’évaluation de risques ou la personnalisation de services.

2.7 Notification des violations de données : délai étendu et risque élevé

Changements proposés :

• Le délai de notification passerait de 72 heures à 96 heures
• La notification ne serait requise que si la violation présente un risque élevé (ou haut risque) pour les droits de la personne concernée (alignant ainsi l’obligation de notification avec l’obligation de communication aux personnes concernées)

Guichet unique pour la notification des incidents : Le projet envisage l’utilisation d’un guichet unique lors de la notification des incidents de sécurité à l’autorité de contrôle, afin d’alléger la charge administrative des notifications à plusieurs autorités en cas de violation transfrontalière.

Harmonisation européenne : Le CEPD serait tenu de préparer un modèle commun pour les notifications de violations de données, harmonisant ainsi les procédures au niveau européen. À ce jour, en cas de notification dans plusieurs juridictions, les informations demandées par les autorités de contrôle peuvent varier. Le modèle européen simplifierait la procédure pour les responsables de traitement.

⚠️ Question ouverte : Cet allègement pose la question de la notion de « risque élevé ». En effet, sans critères définis, une analyse au cas par cas devra toujours être effectuée par les responsables de traitement, en prenant en compte les éléments d’évaluation préconisés par le CEPD.

✅ Portail ENISA : Le Digital Omnibus prévoit la création d’un portail unique géré par l’ENISA (Agence de l’Union européenne pour la cybersécurité) pour déclarer tous les incidents (RGPD, NIS2, DORA, CER), qui les redistribuera automatiquement aux autorités compétentes.

2.8 Harmonisation des listes d’activités de traitement nécessitant une AIPD

Nouveauté : Une liste unique d’activités de traitement nécessitant ou non une Analyse d’Impact relative à la Protection des Données (AIPD) devrait être établie au niveau européen, permettant d’harmoniser la notion de risque élevé.

Responsabilité du CEPD : Le Comité Européen de la Protection des Données serait chargé de proposer :

• Ces listes communes
• Un modèle commun pour la réalisation des AIPD
• Une méthodologie commune

État actuel en France : Ces listes ont déjà été établies par la CNIL, notamment avec l’outil PIA (Privacy Impact Assessment) permettant la réalisation d’AIPD. L’harmonisation européenne devrait faciliter le travail des entreprises opérant dans plusieurs États membres.

2.9 Intégration des règles sur les cookies (directive ePrivacy)

Changement structurel : Les règles sur les cookies de la directive ePrivacy devraient être intégrées au sein du RGPD. Deux nouveaux articles devraient être ajoutés (88 bis et ter) prévoyant notamment l’exigence d’un consentement pour le stockage ou l’accès à des données personnelles sur le terminal de la personne, soumettant ce traitement au RGPD.

Consentement simplifié : Le consentement de l’utilisateur devrait être simplifié via un bouton à clic unique afin d’améliorer son expérience en ligne.

Signal automatisé : Le consentement aux cookies serait exprimé directement dans le navigateur web, via un signal automatisé de confidentialité. Les préférences de l’utilisateur s’appliqueraient automatiquement à tous les sites visités.

Conséquence : Les bannières de cookies actuelles deviendraient largement obsolètes pour la plupart des sites web. Les utilisateurs définiraient leurs choix une seule fois dans leur navigateur (Chrome, Safari, Firefox), évitant ainsi les 575 millions d’heures perdues annuellement par les Européens à cliquer sur ces bannières.

Exception notable : Les fournisseurs de services de médias bénéficieraient d’une dérogation et ne seraient pas obligés de reconnaître les signaux automatisés, bien qu’ils doivent toujours obtenir un consentement explicite pour les cookies tiers.

✅ Mise en œuvre progressive : Dans un premier temps, les bannières évolueraient vers des options simplifiées (oui/non en un clic), puis la gestion complète serait transférée aux navigateurs.

3. Réactions et controverses : un débat européen intense

Le Digital Omnibus ne fait pas l’unanimité. Entre soutiens enthousiastes et oppositions virulentes, la réforme cristallise les tensions sur l’avenir du numérique européen.

3.1 Les critiques de la société civile et des ONG

Max Schrems, fondateur de NOYB, n’a pas mâché ses mots. Il qualifie la réforme de « plus grande attaque contre les droits numériques des Européens depuis des années » et évoque même des « pratiques législatives à la Trump ».

Les principales critiques portent sur :

• L’absence d’étude d’impact : La Commission aurait publié la réforme sans analyse approfondie de ses conséquences
• Une procédure accélérée : 127 organisations de la société civile dénoncent un processus expéditif
• Un cadeau aux géants américains : Les nouvelles failles juridiques profiteraient surtout aux grandes entreprises technologiques, pas aux PME européennes
• Un affaiblissement des droits fondamentaux : La réforme remettrait en cause 40 ans de protection contre la surveillance commerciale

3.2 Positions divergentes des États membres

Les États membres sont tout aussi divisés : la France, l’Autriche, l’Estonie et la Slovénie s’opposent frontalement au projet, estimant qu’il affaiblit la protection des données. À l’inverse, l’Allemagne, pourtant traditionnellement stricte, soutient cette fois une évolution.

3.3 Réactions du Parlement européen

Au Parlement européen, les groupes politiques Centre, Gauche (S&D, Renouveau) et Verts ont exprimé leur opposition frontale au projet, demandant explicitement à la Commission d’arrêter ces modifications du RGPD. Cette forte opposition parlementaire laisse présager de débats intenses lors de la procédure législative ordinaire qui démarre maintenant.

4. Calendrier d’adoption : où en est-on ?

Le Digital Omnibus n’est qu’une proposition. Le Parlement européen et le Conseil de l’Union européenne doivent maintenant examiner, débattre et amender le texte avant toute adoption définitive. Une consultation publique est ouverte jusqu’au 11 mars 2026, permettant aux parties prenantes de formuler leurs observations sur cette page importante de l’histoire réglementaire européenne.

4.1 Calendrier prévisionnel

Décembre 2025 :

• La Commission européenne transmet officiellement ses propositions au Parlement européen
• Attribution aux commissions parlementaires compétentes

T2/T3 2026 :

• Votes des rapports finaux en commission
• Adoption en session plénière du Parlement
• Le Conseil définit sa position
• Début des négociations interinstitutionnelles (trilogues)

T3/T4 2026 :

• Si les discussions se déroulent sans heurts majeurs, adoption finale possible fin 2026
• Pression particulière pour adopter les dispositions sur l’IA avant le 2 août 2026 (date d’application complète de l’AI Act)

2027-2028 :

• Entrée en vigueur progressive (20 jours après publication au Journal officiel pour la plupart des dispositions)
• Mise en œuvre opérationnelle des mesures techniques (guichet unique ENISA, signaux automatisés de consentement)

5. La position de Dipeeo face à cette réforme

Chez Dipeeo, nous considérons cette réforme comme une évolution logique du cadre européen. Voici pourquoi :

Une simplification nécessaire : L’accumulation de textes réglementaires (RGPD, ePrivacy, NIS2, DORA, AI Act, Data Act) a créé une complexité devenue contre-productive. Le Digital Omnibus tente de rationaliser cet ensemble tout en préservant les principes fondamentaux.

Une adaptation au réel : De nombreuses dispositions proposées formalisent simplement des pratiques déjà admises par les autorités de contrôle nationales, comme la CNIL. L’harmonisation européenne était attendue et les procédures communes (modèles AIPD, listes harmonisées, modèles de notification) faciliteront grandement le travail des entreprises.

La conformité reste centrale : La réforme vise à simplifier, mais pas à déréguler. Les entreprises devront continuer à démontrer qu’elles respectent les principes de protection des données, avec toujours la même exigence de documentation et de traçabilité.

Notre engagement : Nous suivons de très près les discussions européennes et nous adapterons nos recommandations au fur et à mesure de l’avancement du texte. L’objectif : vous permettre d’innover sans risque, tout en restant alignés avec l’évolution du cadre européen.

FAQ : 5 questions essentielles sur le Digital Omnibus

1. Le Digital Omnibus est-il déjà en vigueur ?

Non. Il s’agit d’une proposition de la Commission européenne datée du 19 novembre 2025. Le texte doit encore être soumis au Parlement européen et au Conseil pour discussions avant sa potentielle adoption définitive en 2026. L’adoption définitive est prévue pour fin 2026, avec une application effective à partir de 2027-2028.

2. Le RGPD va-t-il disparaître avec cette réforme ?

Non, le RGPD ne disparaît pas. Le Digital Omnibus propose des modifications ciblées pour alléger certaines obligations et clarifier des zones grises, notamment sur la pseudonymisation, l’utilisation de données pour l’IA, et les obligations d’information. Les principes fondamentaux du RGPD (transparence, minimisation, sécurité) restent intacts. La réforme vise à simplifier des procédures souvent fastidieuses et à préciser certaines obligations des responsables de traitement.

3. Les bannières de cookies vont-elles vraiment disparaître ?

Partiellement. Le Digital Omnibus prévoit que les utilisateurs expriment leurs préférences directement dans leur navigateur via un bouton à clic unique. Les sites devront respecter ces signaux automatisés. Pour les sites qui ne font que des statistiques basiques, les bannières pourraient disparaître. Pour ceux utilisant de la publicité ciblée ou des traceurs tiers, un consentement restera nécessaire mais la gestion sera simplifiée.

4. Que signifie concrètement « intérêt légitime pour l’IA » ?

Actuellement, utiliser des données personnelles pour entraîner une IA nécessite généralement le consentement des personnes. Le Digital Omnibus permettrait de s’appuyer sur l’intérêt légitime lorsque le traitement est nécessaire aux intérêts du responsable pour développer ou exploiter un système d’IA (excepté lorsque la loi exige le consentement). L’entreprise devrait démontrer que cet usage est nécessaire et proportionné, et mettre en place des garanties appropriées. Les personnes conserveraient un droit d’opposition.

5. Comment les données pseudonymisées seront-elles qualifiées après la réforme ?

La réforme prévoit que la Commission européenne, conjointement avec le CEPD, puisse assister les responsables de traitement dans la qualification des données pseudonymisées. Des actes d’exécution préciseront les moyens et critères pertinents, incluant l’état de l’art des techniques disponibles et l’évaluation du risque de réidentification. Cela devrait apporter plus de clarté et de sécurité juridique aux entreprises.

Conclusion

Le Digital Omnibus représente un tournant potentiel dans la régulation numérique européenne. Entre simplification nécessaire et craintes d’affaiblissement des protections, cette réforme incarne la tension permanente entre innovation et droits fondamentaux.

Les évolutions proposées sont nombreuses : suppression de certaines obligations d’information, harmonisation des listes AIPD, assouplissement des décisions automatisées, extension du délai de notification des violations, intégration des règles sur les cookies, et surtout, ouverture de l’intérêt légitime pour le développement de l’IA.

Les mois à venir seront déterminants. Les négociations entre la Commission, le Parlement et le Conseil vont façonner la version finale du texte. Les compromis trouvés détermineront si l’Europe parvient à concilier compétitivité économique et protection des citoyens, ou si elle sacrifie l’un au profit de l’autre.

Chez Dipeeo, nous restons convaincus qu’une conformité bien pensée n’est pas un frein, mais un levier de confiance et de différenciation. Nous continuerons à vous accompagner dans cette période de transition, en vous fournissant les outils et l’expertise nécessaires pour naviguer sereinement dans ce nouveau paysage réglementaire.

On ne peut qu’espérer une mise en œuvre opérationnelle rapide de ces simplifications qui devraient alléger la charge administrative tout en préservant l’essentiel : la protection des droits fondamentaux des citoyens européens.

Restez informés, restez conformes, restez compétitifs.