Digital Omnibus : vers une réforme du RGPD en 2026 ?

Qu'est-ce que le Digital Omnibus ?

Le 19 novembre 2025, la Commission européenne a dévoilé un projet de réforme majeur : le Digital Omnibus. Derrière ce nom technique se cache une tentative de simplifier l'ensemble du cadre réglementaire numérique européen, devenu particulièrement complexe après une décennie de textes successifs : RGPD, ePrivacy, Data Act, Data Governance Act, NIS2, DORA, AI Act...

L'objectif affiché est clair : réduire la charge administrative des entreprises européennes, estimée par la Commission à 5 milliards d'euros d'économies potentielles d'ici 2029. Mais derrière cette promesse de simplification, certaines modifications touchent aux fondements mêmes de la protection des données personnelles.

Le Digital Omnibus se compose en réalité de deux propositions législatives distinctes :

• Un règlement modifiant le RGPD, la directive ePrivacy, NIS2, et fusionnant plusieurs textes dans le Data Act
• Un règlement spécifique ajustant l'AI Act (report de certaines obligations)

Ce projet s'inscrit dans la lignée des recommandations du rapport Draghi sur la compétitivité européenne, qui pointait la complexité réglementaire comme un frein à l'innovation, notamment face aux États-Unis et à la Chine dans le domaine de l'intelligence artificielle.

Les 5 changements majeurs proposés pour le RGPD

1. Redéfinir ce qu'est une "donnée personnelle"

C'est le point le plus controversé de toute la réforme. La Commission propose de modifier l'article 4(1) du RGPD pour introduire une approche dite "subjective" de la notion de donnée personnelle.

Actuellement, une donnée est personnelle si elle permet d'identifier une personne, directement ou indirectement, par quelque moyen que ce soit.

Avec le Digital Omnibus, une information ne serait plus considérée comme personnelle si l'entité qui la détient ne dispose pas elle-même des "moyens raisonnablement susceptibles" d'identifier la personne concernée.

En clair : une même donnée pourrait être "personnelle" pour une entreprise et "non personnelle" pour une autre, selon leurs capacités techniques respectives. Cette modification aurait des conséquences considérables :

• Les données pseudonymisées pourraient sortir du champ d'application du RGPD pour certains acteurs
• La Commission pourrait décider, par acte d'exécution, quelles données pseudonymisées ne sont plus des données personnelles
• L'anonymisation deviendrait plus facile à invoquer pour échapper aux obligations du RGPD

La Commission justifie cette modification en citant un arrêt de la Cour de Justice de l'UE de septembre 2025 (affaire C-413/23 P). Mais les autorités de protection des données contestent cette interprétation.

2. Faciliter l'utilisation des données pour l'IA

Le Digital Omnibus ouvre explicitement la porte à l'entraînement des modèles d'intelligence artificielle sur des données personnelles. Deux mécanismes sont proposés :

Extension de l'intérêt légitime (article 6) : lorsque le traitement est "nécessaire aux intérêts du responsable de traitement pour développer ou exploiter un système ou modèle d'IA", l'entreprise pourrait s'appuyer sur l'intérêt légitime comme base légale, sans demander le consentement des personnes.

Nouvelle exception pour les données sensibles (article 9) : le traitement "résiduel et involontaire" de données sensibles (santé, opinions politiques, orientation sexuelle...) serait toléré lors du développement d'une IA, à condition qu'il soit brièvement conservé et supprimé efficacement.

L'objectif est clair : permettre aux entreprises européennes de rivaliser avec les géants américains et chinois de l'IA. L'Europe ne représente aujourd'hui que 4% des modèles d'IA développés dans le monde.

3. Intégrer les règles cookies dans le RGPD

Les règles sur les cookies, actuellement dispersées entre la directive ePrivacy et le RGPD, seraient regroupées dans le seul RGPD. Deux nouveaux articles (88 bis et 88 ter) encadreraient l'accès aux terminaux des utilisateurs.

Les changements concrets :

• Refus en un clic obligatoire : l'utilisateur doit pouvoir refuser aussi facilement qu'il accepte
• Interdiction des dark patterns : plus de boutons trompeurs ni de parcours décourageants
• Signaux automatisés : le navigateur pourrait envoyer un signal "je refuse le tracking" que les sites devraient respecter automatiquement
• Limitation de fréquence : un refus devrait être respecté pendant au moins 6 mois
• Nouvelles exceptions : certains cookies pourraient être déposés sans consentement (mesure d'audience agrégée, sécurité du terminal)

En pratique, les bannières cookies telles qu'on les connaît pourraient devenir obsolètes pour de nombreux sites, remplacées par des paramètres gérés directement dans le navigateur.

4. Alléger les obligations administratives

Plusieurs simplifications sont proposées pour réduire la charge des entreprises :

Notifications de violation de données :

• Délai porté de 72h à 96 heures
• Notification obligatoire uniquement en cas de risque élevé (et non plus de risque simple)
• Modèle européen commun de notification (harmonisation des formulaires entre pays)

Analyses d'impact (AIPD) :

• Liste européenne unique des traitements nécessitant ou non une AIPD
• Modèle et méthodologie communes proposés par le CEPD

Obligation d'information :

• Suppression de l'obligation d'informer lorsque la personne est "raisonnablement présumée déjà informée"
• Exception pour les relations B2B claires et circonscrites

Registre des traitements :

• Extension de la dérogation actuelle (PME de moins de 250 salariés) aux petites entreprises à moyenne capitalisation

5. Créer un guichet unique pour les incidents cyber

Aujourd'hui, une entreprise victime d'un incident de cybersécurité doit potentiellement notifier plusieurs autorités différentes selon les textes applicables : la CNIL pour le RGPD, l'ANSSI pour NIS2, l'ACPR pour DORA...

Le Digital Omnibus prévoit un point d'entrée unique géré par l'ENISA (Agence européenne pour la cybersécurité) pour centraliser toutes ces notifications. Une simplification bienvenue pour les entreprises qui font face à des cyberattaques.

L'opposition des autorités de protection des données

Le 11 février 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (EDPS) ont publié un avis conjoint très critique sur le Digital Omnibus.

Ce qu'ils approuvent

Les autorités soutiennent l'objectif général de simplification et saluent plusieurs mesures :

• L'augmentation du seuil de risque pour la notification des violations
• L'allongement du délai de notification à 96 heures
• Les modèles communs pour les notifications et les AIPD
• L'exception biométrique pour l'authentification sous contrôle exclusif de la personne
• L'harmonisation de la notion de "recherche scientifique"

Ce qu'ils rejettent catégoriquement

Mais sur les points les plus sensibles, la position est sans appel. Anu Talus, présidente du CEPD, et Wojciech Wiewiórowski, EDPS, demandent expressément aux colégislateurs de ne pas adopter plusieurs modifications :

Sur la définition des données personnelles :

"Les modifications proposées vont bien au-delà d'une modification ciblée ou technique du RGPD. Elles ne reflètent pas exactement la jurisprudence de la CJUE et aboutiraient à une restriction significative de la notion de données à caractère personnel."

— Avis conjoint CEPD-EDPS, février 2026

Les autorités considèrent que la Commission a isolé un seul élément d'une seule décision de justice en omettant le contexte de l'espèce. Elles refusent également que la Commission puisse décider par acte d'exécution ce qui constitue ou non une donnée personnelle.

Sur l'intérêt légitime pour l'IA :

Le CEPD rappelle que l'intérêt légitime peut déjà être utilisé dans certains cas pour l'IA (avis 28/2024). Il juge donc inutile d'ajouter une disposition spécifique dans le RGPD, qui n'apporterait pas de clarification mais créerait au contraire de l'incertitude.

Sur la restriction du droit d'accès :

La proposition de limiter le droit d'accès aux seules "finalités de protection des données" est jugée problématique. Elle pourrait empêcher l'utilisation de ce droit dans le cadre de litiges ou d'enquêtes journalistiques.

La réaction de la société civile

L'ONG noyb (fondée par Max Schrems) qualifie le Digital Omnibus de "plus grande attaque contre les droits numériques européens depuis des années". Dans une lettre ouverte du 11 novembre 2025, signée également par EDRi et ICCL, elle dénonce une "déréglementation" déguisée en simplification.

Max Schrems a salué l'avis du CEPD et de l'EDPS : "Les autorités indépendantes appellent les modifications par leur nom véritable : non pas des simplifications techniques, mais des restrictions du droit à la protection des données pour les résidents de l'UE."

Quel calendrier pour cette réforme ?

Le Digital Omnibus suit désormais la procédure législative ordinaire de l'Union européenne :

Étape 1 - Examen parlementaire (2026)

Le Parlement européen examine le texte et propose des amendements. Plusieurs groupes parlementaires (S&D, La Gauche, Les Verts) ont déjà exprimé leur opposition à certaines mesures.

Étape 2 - Position du Conseil (2026)

Les États membres définissent leur position commune. La France et l'Allemagne ont globalement salué l'initiative de simplification.

Étape 3 - Trilogue (2026-2027)

Négociations entre la Commission, le Parlement et le Conseil pour trouver un compromis. C'est à cette étape que le texte peut être significativement modifié.

Étape 4 - Adoption et publication (2027 probable)

Une fois adopté, le règlement entre en vigueur 20 jours après sa publication au Journal officiel.

Étape 5 - Application progressive (2027-2028)

La plupart des modifications du RGPD s'appliqueraient immédiatement. Mais certaines mesures techniques (guichet unique ENISA, signaux automatisés de consentement) nécessiteront des actes d'exécution et une mise en œuvre progressive.

Ce que ça change (ou pas) pour votre entreprise aujourd'hui

Face à cette actualité, la tentation est grande de modifier ses pratiques en anticipation. C'est une erreur.

Ce qui ne change PAS

• Le RGPD actuel reste pleinement en vigueur
• Vos obligations de conformité sont identiques
• Les contrôles et sanctions de la CNIL continuent (487 millions d'euros d'amendes en 2025)
• Votre politique de confidentialité doit toujours être complète et à jour
• Vos bannières cookies doivent toujours permettre un refus facile

Ce qu'il faut surveiller

• Les positions de la CNIL : elle coordonne avec le CEPD et publiera probablement des recommandations
• L'évolution du texte au fil des négociations européennes
• Les consultations publiques si elles sont organisées
• La conformité de vos sites : les règles actuelles s'appliquent toujours et la CNIL continue ses contrôles

Ce qu'il faut faire maintenant

La meilleure stratégie reste de consolider votre conformité actuelle. Un organisme qui respecte le RGPD aujourd'hui sera bien positionné quelle que soit l'issue de cette réforme :

• Si le Digital Omnibus est adopté en l'état, vous bénéficierez des simplifications
• S'il est rejeté ou fortement amendé, vous restez conforme au RGPD actuel
• Dans tous les cas, une conformité solide vous protège des sanctions et des litiges

Pour les agences web, freelances et DPO externes qui gèrent plusieurs sites clients, cette période d'incertitude réglementaire renforce l'intérêt d'un système de veille automatisé. Un scan régulier de vos sites permet de détecter immédiatement tout problème de conformité — qu'il soit lié aux règles actuelles ou aux évolutions à venir.

Comme le résume Anu Talus : "La simplification est essentielle, mais pas au détriment des droits fondamentaux."

Notre analyse : simplification ou affaiblissement ?

Le Digital Omnibus cristallise un débat de fond : jusqu'où peut-on assouplir la protection des données au nom de la compétitivité économique ?

Les arguments en faveur de la réforme :

• L'accumulation de textes a créé une complexité contre-productive, notamment pour les PME
• L'Europe accuse un retard significatif dans l'IA (4% des modèles mondiaux)
• Les bannières cookies omniprésentes agacent les utilisateurs sans les protéger vraiment
• Certaines obligations sont disproportionnées pour les petites structures

Les arguments contre :

• Redéfinir les données personnelles créerait une application asymétrique et de l'insécurité juridique
• Faciliter l'IA sur des données personnelles profite surtout aux grandes plateformes
• Les exceptions pour les médias montrent que la "simplification" est aussi politique
• Le RGPD est un avantage concurrentiel européen, pas un handicap

La vérité est probablement entre les deux. Certaines simplifications sont légitimes et attendues (harmonisation des AIPD, guichet unique cyber, délai de notification). Mais d'autres touchent aux fondements mêmes du droit à la protection des données et méritent un débat démocratique approfondi.

En attendant, restez conformes

Quelle que soit l'issue de cette réforme, une chose est certaine : la conformité RGPD reste obligatoire. Et elle le restera, même si les règles évoluent à la marge.

Si vous êtes une TPE, PME, artisan ou indépendant avec un site web, votre priorité est de disposer de documents légaux à jour : mentions légales, politique de confidentialité, CGV, bandeau cookies conforme.

RGPDKit génère automatiquement tous ces documents en scannant votre site. En 3 minutes, vous êtes protégé — quelle que soit l'évolution de la réglementation. Et si les règles changent demain, nous mettrons à jour nos modèles pour que vous restiez conforme.

Générez vos documents conformes dès maintenant, ou découvrez nos formules pour bénéficier de la veille automatique et des mises à jour gratuites.

En résumé

Le Digital Omnibus est un projet ambitieux de simplification du cadre numérique européen, présenté par la Commission européenne le 19 novembre 2025. Il propose des modifications substantielles du RGPD :

• Redéfinition des données personnelles : approche "subjective" selon les moyens de l'entité
• Facilitation de l'IA : intérêt légitime pour l'entraînement, exception pour les données sensibles résiduelles
• Intégration des cookies dans le RGPD : signaux automatisés, refus en un clic, fin des bannières classiques
• Simplifications administratives : délai de notification à 96h, modèles AIPD harmonisés
• Guichet unique cyber : centralisation des notifications d'incidents

Mais ce projet fait face à une opposition forte des autorités de protection des données (CEPD, EDPS) et de la société civile. Les mesures les plus controversées (définition des données personnelles, restriction du droit d'accès) pourraient être abandonnées ou fortement amendées.

Pour l'instant, rien ne change. Le RGPD actuel reste en vigueur. Continuez à respecter vos obligations de conformité et surveillez l'évolution du texte. Nous vous tiendrons informés des développements.