Réforme du RGPD : Simplification ou Recul pour Vos Droits ?

Depuis quelques mois, une réforme du RGPD fait couler beaucoup d'encre dans les cercles juridiques et tech. La Commission européenne a présenté en novembre 2025 un "paquet numérique" baptisé Digital Omnibus, censé simplifier la réglementation et stimuler l'innovation.

Sur le papier, c'est une bonne nouvelle pour les TPE et PME, souvent débordées par la complexité administrative du RGPD. Mais derrière cette promesse de simplification, certains voient une remise en cause des fondements mêmes de la protection des données en Europe.

Alors, qui a raison ? Est-ce vraiment une simplification bienvenue ou un cadeau déguisé aux géants de la tech ? On décrypte le sujet, sans jargon et sans parti pris.

Ce que propose Bruxelles

Le Digital Omnibus est un ensemble de modifications législatives qui touche plusieurs textes européens : le RGPD, l'AI Act, la directive ePrivacy, le Data Act et NIS 2. L'idée est de "rationaliser" ces différentes réglementations pour réduire la charge administrative des entreprises.

Concernant le RGPD spécifiquement, voici les principales modifications envisagées :

1. Une nouvelle définition des "données personnelles"

C'est le point le plus controversé. Actuellement, le RGPD définit une donnée personnelle comme "toute information se rapportant à une personne physique identifiée ou identifiable". Cette définition large englobe la quasi-totalité des données collectées en ligne.

La Commission propose d'ajouter une nuance : une information ne serait plus considérée comme personnelle si l'entreprise qui la collecte n'est pas en mesure d'identifier la personne concernée, "compte tenu des moyens raisonnablement susceptibles d'être utilisés".

Concrètement, si une entreprise récupère des données pseudonymisées et affirme ne pas pouvoir relier ces données à une personne réelle, elle pourrait échapper aux obligations du RGPD – même si une autre entité (l'éditeur d'origine, par exemple) peut, elle, faire le lien.

2. Allègement pour les PME

Le seuil d'exemption pour la tenue du registre des traitements passerait de 250 à 750 salariés. Les entreprises concernées n'auraient plus l'obligation de tenir ce registre, sauf pour les traitements à risque.

3. Notification des violations : 96h au lieu de 72h

Le délai pour notifier une violation de données à la CNIL passerait de 72 heures à 96 heures. Un allongement modeste, mais qui donnerait un peu plus de marge aux entreprises en cas d'incident.

4. Intégration de l'ePrivacy dans le RGPD

Les règles sur les cookies et traceurs (actuellement régies par la directive ePrivacy) seraient intégrées au RGPD. Certains traitements "à faible risque" pourraient se faire sans consentement explicite.

5. "Intérêt légitime" élargi pour l'IA

Les entreprises pourraient utiliser des données personnelles pour entraîner leurs modèles d'intelligence artificielle sur la base de "l'intérêt légitime", sans forcément obtenir le consentement des personnes concernées.

Les arguments en faveur de la réforme

La Commission européenne et ses partisans avancent plusieurs arguments pour justifier ces modifications.

Réduire la charge administrative des PME

C'est l'argument massue. Selon Bruxelles, cette réforme permettrait d'économiser entre 4 et 10 milliards d'euros par an en coûts de conformité pour les entreprises européennes. Les PME, qui n'ont souvent pas de DPO dédié ni de budget juridique conséquent, seraient les premières bénéficiaires.

Le registre des traitements, en particulier, est souvent perçu comme une contrainte lourde pour les petites structures. Relever le seuil d'exemption leur simplifierait la vie.

Rattraper le retard européen en IA

L'Europe ne représente que 4% des modèles d'IA développés dans le monde. Face aux États-Unis et à la Chine, le Vieux Continent accuse un retard significatif. Pour la Commission, une partie de ce retard s'explique par des réglementations trop strictes qui freinent l'accès aux données d'entraînement.

Faciliter l'utilisation des données pour l'IA permettrait aux acteurs européens (comme Mistral AI en France) de rivaliser avec les géants américains.

Clarifier des zones grises juridiques

La proposition s'appuie notamment sur un arrêt de la Cour de Justice de l'UE de septembre 2025, qui a consacré une approche "subjective" de la notion de données personnelles. La Commission affirme simplement codifier cette jurisprudence pour apporter de la clarté aux entreprises.

Réduire la "fatigue du consentement"

Les bandeaux cookies omniprésents agacent tout le monde. En permettant certains traitements à faible risque sans consentement explicite, la Commission espère améliorer l'expérience utilisateur tout en maintenant un niveau de protection raisonnable.

Les critiques et inquiétudes

Face à ces arguments, les associations de défense de la vie privée et une partie du Parlement européen tirent la sonnette d'alarme. L'organisation Noyb, fondée par l'activiste autrichien Max Schrems, est particulièrement virulente.

"Une faille béante" dans le RGPD

Pour Noyb, la redéfinition des données personnelles est tout sauf une clarification. Elle introduirait au contraire une part de subjectivité dangereuse : les mêmes données pourraient être considérées comme personnelles ou non selon l'entreprise qui les traite et ses "intentions".

Max Schrems compare cette approche à "une loi sur les armes à feu qui ne s'appliquerait que lorsque le propriétaire confirme qu'il a l'intention de tirer sur quelqu'un". En d'autres termes, il suffirait de promettre de ne pas identifier les personnes pour échapper à la loi.

Un cadeau aux géants de la tech

Les grandes entreprises technologiques américaines (Google, Meta, Amazon, OpenAI...) disposent d'armées de juristes capables d'exploiter chaque faille réglementaire. Selon les critiques, ce sont elles – et non les PME européennes – qui bénéficieraient réellement de ces assouplissements.

Meta, régulièrement sanctionné pour ses tentatives de contournement du RGPD, pourrait par exemple utiliser la nouvelle définition pour traiter des données publicitaires sans consentement, en affirmant ne pas "identifier directement" les utilisateurs.

Plus de complexité, pas moins

Paradoxalement, l'approche "au cas par cas" risque de multiplier les contentieux plutôt que de les réduire. Chaque entreprise devra démontrer qu'elle n'est pas en mesure d'identifier les personnes – une évaluation qui peut être contestée.

Pour les autorités de contrôle comme la CNIL, cela complique considérablement le travail d'application. Comment vérifier les "intentions" d'une entreprise ?

Un processus législatif critiqué

Au-delà du fond, c'est la méthode qui est contestée. Max Schrems dénonce un processus "aller vite et tout casser" qui ne respecte pas les règles habituelles de consultation. 127 organisations de la société civile ont signé une lettre ouverte critiquant l'initiative.

Les groupes parlementaires du centre et de la gauche (S&D, Renew, Verts) ont appelé la Commission à renoncer à ces "coupes massives" dans le RGPD.

Notre analyse : ce qu'il faut retenir

Après avoir examiné les arguments des deux camps, voici notre lecture de la situation.

La simplification est réelle... mais limitée

Pour les TPE et PME, certaines mesures apportent un soulagement concret : le relèvement du seuil pour le registre des traitements, l'allongement du délai de notification, la rationalisation des textes. Ce n'est pas négligeable.

Mais soyons honnêtes : ces allègements restent marginaux. L'essentiel des obligations RGPD demeure inchangé. Si vous devez aujourd'hui recueillir le consentement pour vos cookies ou respecter les droits des personnes, vous devrez toujours le faire demain.

La redéfinition des données personnelles est problématique

C'est le vrai sujet de fond. En introduisant une définition "subjective" des données personnelles, la Commission ouvre effectivement une brèche dont les conséquences sont difficiles à anticiper.

Pour une TPE qui gère un fichier clients classique, ça ne change rien : vous pouvez identifier vos clients, donc le RGPD s'applique. Mais pour les acteurs de la publicité en ligne, de l'IA ou du big data, c'est potentiellement un bouleversement.

Le texte peut encore évoluer

Le Digital Omnibus n'est qu'une proposition de la Commission. Il doit encore passer par le Parlement européen et le Conseil – un parcours législatif qui peut prendre des mois, voire des années, et qui peut aboutir à un texte très différent.

Vu l'opposition actuelle d'une partie du Parlement et de nombreux États membres, il est probable que les dispositions les plus controversées soient amendées ou supprimées.

Ce que ça change pour vous (concrètement)

Si vous êtes une TPE, PME, artisan ou indépendant avec un site web, voici ce qu'il faut retenir.

Aujourd'hui : rien ne change

Le Digital Omnibus n'est pas encore adopté. Le RGPD actuel reste pleinement en vigueur, avec toutes ses obligations :

• Mentions légales obligatoires sur votre site
• Politique de confidentialité décrivant vos traitements
• Bandeau cookies avec consentement explicite
• Respect des droits des personnes (accès, rectification, suppression...)
• Notification des violations sous 72 heures

Demain : des ajustements possibles, pas une révolution

Même si le Digital Omnibus est adopté en l'état (ce qui est peu probable), l'impact pour les petites structures serait limité :

• Registre des traitements : si vous avez moins de 750 salariés et des traitements à faible risque, vous pourriez être exempté. Mais en pratique, ce registre reste un outil utile pour piloter votre conformité.
• Notification des violations : vous auriez 96h au lieu de 72h. Un peu plus de marge, mais l'obligation demeure.
• Cookies : certains traceurs "à faible risque" pourraient ne plus nécessiter de consentement. À préciser dans les textes d'application.

Notre conseil : restez conformes

Dans ce contexte d'incertitude, la meilleure stratégie est de maintenir votre conformité actuelle. Les règles peuvent évoluer, mais les fondamentaux du RGPD ne disparaîtront pas :

• Vous collectez des données = vous devez informer les personnes
• Vous utilisez des cookies = vous devez recueillir le consentement (sauf exceptions techniques)
• Vous vendez en ligne = vous devez avoir des CGV conformes

Si une simplification arrive, vous en bénéficierez automatiquement. Mais si vous n'êtes pas conforme aujourd'hui, vous restez exposé aux sanctions actuelles.

En résumé

La réforme du RGPD portée par le Digital Omnibus cristallise un débat de fond : jusqu'où peut-on assouplir la protection des données au nom de la compétitivité économique ?

Les arguments des deux camps sont recevables. Oui, le RGPD peut être simplifié pour les PME sans compromettre les droits fondamentaux. Mais non, cette simplification ne doit pas créer de failles exploitables par les géants de la tech.

Pour l'instant, le texte est loin d'être adopté et fera l'objet d'intenses négociations. Nous suivons ce dossier de près et vous tiendrons informés des évolutions.

En attendant, une seule règle : restez conformes. C'est la meilleure façon de vous protéger, quelle que soit l'issue de cette réforme.