Introduction
La Commission européenne s'apprête à engager une réforme d'envergure du RGPD. Baptisée « Omnibus Numérique », cette initiative se présente comme un ensemble d'ajustements ciblés destinés à simplifier les obligations de conformité des entreprises. Pourtant, les premiers éléments qui ont filtré laissent entrevoir des modifications bien plus substantielles.
À retenir
Le « Digital Omnibus » n'est pas encore adopté. À ce stade, il s'agit d'une proposition en cours de discussion. Vos obligations RGPD actuelles restent pleinement en vigueur.
Qu'est-ce que le « Digital Omnibus » ?
Le « Digital Omnibus » (ou Omnibus Numérique) est une initiative portée par la Commission européenne visant à rationaliser et simplifier le cadre réglementaire numérique de l'Union. Il s'agit d'un texte transversal susceptible de modifier plusieurs règlements et directives en vigueur, notamment :
- Le RGPD (Règlement général sur la protection des données)
- Le RPDUE (règlement sur la protection des données des institutions de l'UE)
- La directive ePrivacy (vie privée et communications électroniques)
- L'acquis en matière de données (Data Act, Data Governance Act…)
Les points saillants de la réforme proposée
Parmi les orientations déjà identifiées, plusieurs suscitent des inquiétudes sérieuses chez les autorités de protection des données :
⚠️ Points de vigilance identifiés
- Une redéfinition restrictive de la notion de « données personnelles », susceptible d'ouvrir un espace considérable aux acteurs de l'intelligence artificielle pour exploiter des données requalifiées comme « non personnelles »
- Un rétrécissement du champ d'application des droits reconnus aux personnes concernées en vertu du RGPD
- Un affaiblissement de la protection des données sensibles — données de santé, opinions politiques, orientation sexuelle
- La possibilité d'accéder à distance à des données personnelles stockées sur des ordinateurs ou smartphones sans consentement préalable
À ce stade, ces orientations semblent contredire la jurisprudence de la Cour de justice de l'Union européenne et paraissent difficilement conciliables avec les conventions européennes ainsi qu'avec la Charte des droits fondamentaux de l'Union.
L'avis conjoint du CEPD et de l'EDPS
Le 12 février 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (EDPS) ont publié un avis conjoint sur la proposition de règlement dit « Omnibus Numérique ».
Les deux autorités examinent notamment si la réforme apporte réellement une simplification juridique, une sécurité juridique accrue, et si elle respecte les droits fondamentaux.
Des inquiétudes sur des changements clés
Le CEPD et l'EDPS s'opposent fermement à la redéfinition de la notion de « données à caractère personnel ». Ils estiment qu'une telle révision dépasserait de loin un simple ajustement technique : elle risquerait de restreindre le champ de protection actuel et d'introduire une insécurité juridique préjudiciable.
🔍 Point d'attention spécifique
Les deux autorités jugent également inapproprié de déléguer à la Commission le pouvoir de décider, par voie d'acte d'exécution, de ce qui constituerait — ou non — des données personnelles après pseudonymisation. Une telle délégation sortirait la définition du champ législatif pour la confier à un pouvoir exécutif, sans garantie démocratique suffisante.
Ce que le CEPD et l'EDPS soutiennent
L'avis n'est pas exclusivement négatif. Sur plusieurs points, les autorités saluent des mesures susceptibles d'alléger la charge administrative sans compromettre la protection des données :
| Mesure | Position des autorités |
|---|---|
| Relèvement du seuil de risque déclenchant l'obligation de notifier une violation de données | ✅ Soutenu, avec allongement du délai de notification |
| Modèles communs pour les déclarations de violations et analyses d'impact | ✅ Soutenu |
| Dérogation pour données biométriques à fins d'authentification sous contrôle exclusif de la personne | ✅ Soutenu |
| Harmonisation autour de la notion de « recherche scientifique » | ✅ Soutenu |
| Redéfinition des données personnelles | ❌ Fermement opposé |
| Délégation à la Commission du pouvoir de qualifier la pseudonymisation | ❌ Fermement opposé |
Vie privée et communications électroniques (ePrivacy)
S'agissant de la directive ePrivacy, l'avis soutient l'objectif de remédier à la fatigue liée aux bannières de consentement, en favorisant des mécanismes techniques automatisés de gestion des préférences et en promouvant la publicité contextuelle plutôt que comportementale, sous réserve de garanties appropriées.
ℹ️ Ce que cela signifie concrètement pour les cookies
L'objectif affiché est de réduire la multiplication des popups de consentement en permettant aux navigateurs ou systèmes d'exploitation de gérer les préférences de l'utilisateur une fois pour toutes. La publicité contextuelle (basée sur le contenu de la page) serait favorisée par rapport à la publicité comportementale (basée sur le profil de l'utilisateur).
Dans l'attente de ces évolutions, vos obligations actuelles en matière de gestion des cookies restent inchangées.
L'acquis en matière de données
Le CEPD et l'EDPS approuvent la rationalisation de l'acquis en matière de données, notamment par l'intégration de certains textes existants au sein du Data Act. Ils soulignent toutefois la nécessité de clarifier les bases juridiques de la réutilisation des données publiques et d'assurer une protection adéquate des données personnelles dans toutes les situations concernées.
Ce que cela change (ou pas) pour votre conformité aujourd'hui
Position claire
Le « Digital Omnibus » n'est pas encore adopté. Aucun texte définitif n'a été publié. Il serait prématuré — et contre-productif — de modifier votre organisation ou de relâcher vos efforts de mise en conformité dans l'attente d'une simplification hypothétique.
Les obligations actuelles du RGPD s'appliquent pleinement. Une conformité solide aujourd'hui reste votre meilleure protection, quelle que soit l'issue de cette réforme.
Questions fréquentes sur le Digital Omnibus et le RGPD
Qu'est-ce que le « Digital Omnibus » exactement ?
Le « Digital Omnibus » est une initiative de la Commission européenne visant à simplifier le cadre réglementaire numérique de l'UE, en apportant des ajustements à plusieurs textes dont le RGPD, la directive ePrivacy et le Data Act. Il s'agit d'un texte en cours de discussion, pas encore adopté.
Quels sont les risques de cette réforme pour la protection des données personnelles ?
Les principales inquiétudes portent sur :
- Une redéfinition restrictive de la notion de données personnelles, ouvrant la voie à une exploitation accrue de données dites « non personnelles » par les acteurs de l'IA
- Un rétrécissement des droits des personnes concernées
- Un affaiblissement des protections sur les données sensibles (santé, opinions politiques, orientation sexuelle)
- La possibilité d'accéder à des données stockées sur des appareils sans consentement préalable
Quelle est la position du CEPD et de l'EDPS sur cette réforme ?
Dans leur avis conjoint du 12 février 2026, le CEPD et l'EDPS s'opposent fermement à la redéfinition des données personnelles et à la délégation à la Commission du pouvoir de qualifier ou non des données après pseudonymisation. Ils soutiennent en revanche certaines mesures d'allègement administratif comme les modèles communs pour les violations de données ou l'harmonisation autour de la recherche scientifique.
Mes obligations RGPD actuelles vont-elles changer ?
À ce stade, rien n'est acté. La réforme est en cours de discussion et aucun texte définitif n'a été adopté. Vos obligations actuelles restent pleinement en vigueur. Il est prématuré de modifier votre conformité en anticipation de changements non encore adoptés.
La réforme va-t-elle simplifier la gestion des cookies et du consentement ?
C'est l'un des objectifs affichés concernant la directive ePrivacy : réduire la fatigue des bannières de consentement grâce à des mécanismes automatisés de gestion des préférences, et favoriser la publicité contextuelle sur la publicité comportementale. Dans l'attente de ces évolutions, vos obligations actuelles en matière de cookies restent inchangées.
Dois-je suivre l'évolution de cette réforme pour mon entreprise ?
Oui, il est utile de se tenir informé, car certaines modifications pourraient simplifier des obligations administratives (notification de violations, analyses d'impact). Pour autant, la vigilance s'impose : d'autres propositions pourraient affaiblir des protections sur lesquelles vos clients comptent. Nous suivons de près l'évolution de ce texte et mettrons à jour nos analyses au fil des décisions.
Votre conformité RGPD est-elle à jour ?
Le cadre évolue. Faites le point sur votre situation avec un diagnostic personnalisé.
Faire un diagnostic RGPD