La Commission européenne a publié deux projets de règlement le 19 novembre 2025 : le « Digital Omnibus » (disponible ici) et le « Digital Omnibus sur l’IA » (disponible ici).

La Commission européenne a lancé un paquet numérique sur la simplification dans le cadre de son initiative plus large visant à simplifier le corpus réglementaire de l’UE. Servant de test de résistance pour les règles numériques existantes, le Digital Omnibus vise à répondre aux préoccupations des parties prenantes grâce à une liste ambitieuse de modifications.

Le défi consiste à simplifier les règles et les procédures afin de soulager les petites et moyennes entreprises d’obligations contraignantes, tout en préservant les objectifs sous-jacents du cadre réglementaire et en garantissant les droits fondamentaux.

Le champ d’application du projet de règlement «Digital Omnibus» sur la simplification de l’acquis numérique concerne plusieurs cadres réglementaires, notamment le RGPD, la directive «vie privée et communications électroniques», la loi sur les données et le cadre de cybersécurité.

La présente note fournit des éléments clés pour comprendre les modifications substantielles proposées par la Commission européenne concernant le RGPD et la directive «vie privée et communications électroniques».

RGPD : définitions clés et principes généraux

Mise à jour de la définition des données à caractère personnel et consolidation de la décision « SRB ». L’article 4, paragraphe 1, du RGPD définissant les « informations relatives à une personne physique » serait complété par l’introduction de la perspective de l’entité traitant les données et des moyens raisonnablement susceptibles d’être utilisés pour identifier des personnes physiques. Cela encouragerait le recours à la pseudonymisation et à d’autres techniques d’anonymisation.

Acte d’exécution sur la pseudonymisation. Un nouvel article 41 bis du RGPD prévoit que la Commission européenne adoptera des actes d’exécution précisant les moyens et les critères permettant de déterminer si des données pseudonymisées ne constituent plus des données à caractère personnel pour certaines entités. Le CEPD sera étroitement associé à la préparation des actes d’exécution et émettra un avis sur ces actes.

Une plus grande clarté sur la limitation de la finalité. La modification de l’article 5, paragraphe 1, point b), du RGPD établit explicitement que tout traitement ultérieur «dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques» doit être considéré comme compatible avec les finalités initiales du traitement, indépendamment du test de compatibilité prévu à l’article 6, paragraphe 4, du RGPD.

Nouveaux motifs justifiant le traitement de catégories particulières de données, y compris l’entraînement des modèles d’IA. La modification de l’article 9 du RGPD prévoit deux nouvelles exceptions au traitement des catégories particulières de données : (i) dans le cadre du développement et de l’exploitation de systèmes d’IA et (ii) pour la vérification biométrique. L’exception relative à l’entraînement des modèles d’IA s’accompagne de garanties supplémentaires, à savoir la mise en œuvre de mesures appropriées pour éviter la collecte et le traitement de catégories particulières de données.

Nouvelles limitations des droits des personnes concernées

Introduire davantage de proportionnalité dans l’exercice des droits des personnes concernées. Les modifications apportées à l’article 12, paragraphe 5, du RGPD offrent davantage de flexibilité aux responsables du traitement pour facturer des frais raisonnables ou refuser de donner suite à la demande de la personne concernée, en particulier pour les demandes d’accès aux données lorsque les droits en matière de protection des données sont utilisés de manière abusive à des fins autres que la protection des données. La charge de la preuve qu’une demande de la personne concernée est manifestement infondée ou qu’il existe des motifs raisonnables de croire qu’elle est excessive incombe au responsable du traitement.

Introduction de nouvelles exceptions à l’obligation de fournir des informations. Les modifications apportées à l’article 13 du RGPD permettent des exemptions à l’obligation de fournir des informations lorsque (i) les données à caractère personnel sont collectées dans un cadre clair et limité, (ii) l’activité du responsable du traitement n’est pas intensive en données et (iii) il existe des motifs raisonnables de croire que la personne concernée dispose déjà de ces informations. L’exemption ne s’applique pas en cas de transfert de données vers un pays tiers, de prise de décision automatisée, y compris le profilage, ou de traitement de données à haut risque. D’autres exemptions à l’obligation de fournir des informations s’appliqueraient dans le cadre de la recherche scientifique, lorsque la fourniture d’informations s’avère impossible ou impliquerait des efforts disproportionnés, sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou lorsque la fourniture des informations est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. Dans une telle situation, le responsable du traitement doit rendre les informations accessibles au public et adopter des mesures appropriées pour protéger les droits, libertés et intérêts légitimes de la personne concernée.

Limitation du critère de nécessité en matière de profilage. Les modifications apportées à l’article 22 du RGPD permettent désormais que les décisions produisant des effets juridiques à l’égard des personnes concernées ou les affectant de manière significative de façon similaire soient fondées uniquement sur un traitement automatisé, y compris le profilage, lorsque cette décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement, que la décision puisse ou non être prise par d’autres moyens que des moyens purement automatisés.

Conseils supplémentaires en matière de conformité émanant des autorités

Processus harmonisé et plus souple de notification des violations de données à caractère personnel. Les modifications apportées à l’article 33 relèvent le seuil de notification des violations de données aux autorités. Les violations de données à caractère personnel ne doivent être notifiées aux autorités de contrôle que lorsqu’elles présentent un risque élevé pour les personnes concernées. Le projet de proposition met également en place un point d’entrée unique pour les notifications, en cohérence avec la directive NIS2 modifiée. Le délai de notification est porté de 72 à 96 heures.

Nouvelles orientations de l’EDPB et de la Commission européenne. L’EDPB se voit confier de nouvelles tâches, notamment la fourniture de modèles pour la notification d’une violation de données à caractère personnel et d’une liste de critères permettant de déterminer si une violation de données entraîne un risque élevé pour les droits et libertés des personnes physiques. Le CEPD doit également fournir des lignes directrices pour les AIPD (analyses d’impact relatives à la protection des données) (articles 35 et 70 du RGPD). La Commission européenne est habilitée à examiner et à adopter ces modèles et lignes directrices proposés par le CEPD, et à les mettre à jour le cas échéant.

Intégration des principes de la directive «vie privée et communications électroniques» dans le RGPD

Intégration des règles de la directive «vie privée et communications électroniques» relatives aux cookies dans le RGPD – le consentement reste le principe. Le nouvel article 88 bis intégrerait l’article 5, paragraphe 3, de la directive «vie privée et communications électroniques» dans le RGPD pour les données à caractère personnel uniquement. Le principe du consentement préalable au stockage et à l’accès aux données à caractère personnel stockées dans l’équipement terminal d’une personne physique reste inchangé.

Ajout de 2 nouvelles exceptions à la base juridique du consentement. Outre les 2 exceptions existantes (transmission de communications et service explicitement demandé), la disposition introduit 2 nouvelles exceptions et la possibilité pour le droit de l’UE et des États membres d’adopter des exceptions à ce principe sous réserve des objectifs limités énumérés à l’article 23, paragraphe 1, du RGPD (notamment la sécurité nationale, la sécurité publique…). Les deux nouvelles exceptions proposées sont les suivantes :

· la création d’informations agrégées sur l’utilisation d’un service en ligne à des fins de mesure d’audience réalisée par le responsable du traitement de ce service, et

· le maintien ou le rétablissement de la sécurité des services fournis par le responsable du traitement et demandés par l’utilisateur.

Ajout de conditions à la mise en œuvre de la base juridique du consentement pour remédier à la « fatigue du consentement ». L’utilisateur doit pouvoir accepter ou refuser le stockage ou l’accès à son terminal, «de manière simple et intelligible, au moyen d’un bouton à clic unique ou d’un moyen équivalent». D’autres conditions visent à limiter le nombre de sollicitations adressées à la personne concernée :

· en cas de consentement donné, la même personne concernée ne doit pas être invitée à donner à nouveau son consentement pendant la période au cours de laquelle le responsable du traitement peut légalement se fonder sur ce consentement ; et

· en cas de refus, la même personne concernée ne doit pas être invitée à donner à nouveau son consentement pendant 6 mois aux mêmes fins.

Création de nouvelles obligations concernant les moyens automatisés permettant d’exprimer le consentement et l’opposition de l’utilisateur. Le projet d’article 88 ter établit le droit pour les personnes concernées d’exprimer leur consentement et leur opposition par des moyens automatisés et lisibles par machine.

Les responsables du traitement doivent respecter les choix des personnes concernées, à l’exception des sites web des fournisseurs de services de médias. Des normes de référence seront élaborées à la demande de la Commission européenne. Le point 6 crée une nouvelle obligation pour les fournisseurs de navigateurs web (qui ne sont pas des PME) de fournir des moyens techniques permettant aux personnes concernées de donner leur consentement, de refuser et d’exercer leur droit d’opposition par des moyens automatisés et lisibles par machine.

Limitation de la directive «e-Privacy» aux données non à caractère personnel. L’article 5 du projet de directive omnibus vise à modifier la directive «e-Privacy» afin de préciser que l’article 5, paragraphe 3, ne s’applique plus au traitement des données à caractère personnel.

Clarification de l’utilisation des données à caractère personnel pour la formation et l’exploitation des modèles d’IA

L’intérêt légitime comme base juridique pour le développement et l’exploitation de l’IA. Le projet d’article 88 quater établit que les activités de traitement de données nécessaires aux intérêts du responsable du traitement dans le cadre du développement et de l’exploitation d’un système d’IA ou d’un modèle d’IA peuvent se fonder sur l’article 6, paragraphe 1, point f), du RGPD, sauf lorsque ces intérêts sont supplantés par les intérêts des personnes concernées ou lorsque le droit de l’Union ou le droit national exige explicitement le consentement. Cette position apporte des éclaircissements à la suite de l’avis du CEPD sur les modèles d’IA.

Rappel des principes de protection de la vie privée dans le contexte de l’IA. Des mesures organisationnelles et techniques appropriées ainsi que des garanties doivent être adoptées, telles que la minimisation des données, la transparence ou l’octroi aux personnes concernées d’un droit inconditionnel de s’opposer au traitement de leurs données à caractère personnel.

Prochaines étapes

Le projet de proposition sera soumis au Parlement européen et au Conseil pour adoption. Le projet de règlement sera examiné par les députés européens à partir de janvier 2026, l’objectif étant d’adopter un rapport final d’ici le premier trimestre 2026. Parallèlement, les États membres entameront des discussions au sein du Conseil afin de préparer leur position.

À partir du deuxième trimestre 2026, la Commission européenne, le Parlement européen et le Conseil entameront des négociations en «trilogue» afin de parvenir à un texte de compromis.

Il est probable que le Parlement recoure à la procédure d’urgence pour contourner les négociations en commission et passer directement au vote du texte, réduisant ainsi les possibilités de présenter des amendements. Dans ce cas, l’adoption du texte pourrait intervenir dès le premier trimestre 2026 au lieu de la mi-2026.