Le 20 novembre 2025, la Commission européenne a dévoilé un texte monumental : le Digital Omnibus, une réforme qui modifie simultanément le Règlement général sur la protection des données (RGPD), le Data Governance Act (DGA), la directive ePrivacy, NIS 2, Dora (résilience des entités financières) ou encore le règlement P2B qui s'applique aux services d'intermédiation en ligne.
Depuis plusieurs semaines, des fuites ont laissé craindre un recul des droits numériques et un cadeau aux grandes entreprises technologiques. Que reste-t-il de ces craintes maintenant que le texte a été présenté officiellement ? Et surtout : que va réellement changer ce projet de règlement ?
Réduire la charge administrative des entreprises
Le Digital Omnibus a pour objectif affiché de réduire drastiquement la charge administrative qui pèse sur les entreprises européennes, considérée comme un frein à l'innovation et la compétitivité. L'exécutif européen souhaite réduire de 25% les charges administratives d'ici 2029 et de 35% pour les petites et moyennes entreprises. Le tout devrait permettre d'économiser jusqu'à 5 milliards d'euros.
Pour réussir ce pari ambitieux, la Commission souhaite toucher à trois piliers majeurs du numérique en Europe : la gestion et la protection des données, l'intelligence artificielle et la sécurité informatique.
Une redéfinition de la donnée personnelle
Le premier volet, celui de la réforme du RGPD, suscite le plus de tensions. Dans le détail, le projet de règlement souhaite modifier la définition de la "donnée personnelle" en considérant qu'une donnée est personnelle uniquement si le responsable dispose de moyens raisonnables de réidentification.
S'appuyant sur la jurisprudence Breyer de la Cour de justice de l'Union européenne, elle introduit une large part d'objectivité dans la définition. On pourrait imaginer un acteur de la publicité en ligne soutienne le fait qu'il n'y a pas les moyens d'identifier les personnes derrière des identifiants pseudonymes pour s'extraire des obligations du RGPD. Autrement dit, le caractère personnel des données est jugé selon les connaissances du responsable du traitement.
De plus, le texte soutenu par Bruxelles permettrait de refuser une demande d'accès si la finalité poursuivie n'est pas liée à la protection des données. Actuellement, le RGPD permet à toute personne de demander l'accès à ses données pour n'importe quelle raison. La justice européenne l'a rappelé à plusieurs reprises : ce droit n'est pas conditionné par une finalité. Le Digital Omnibus introduit une limite en prévoyant que le responsable peut refuser une demande si la finalité n'est pas liée à la protection des données elle-même.
Autrement dit, un employé qui souhaiterait accéder à son historique de badgeage pour prouver des heures supplémentaires non payées pourrait se voir refuser sa demande. Cela pourrait être également le cas pour une personne qui demande l'accès à son scoring bancaire pour contester un taux d'intérêt ou comprendre un refus de prêt.
L'ePrivacy intégré dans le RGPD
Par ailleurs, le Digital Omnibus modifie ce qui relevait jusqu'ici de la directive ePrivacy en intégrant certaines règles directement dans le RGPD. Il s'agit de trois obligations liées aux cookies publicitaires : le refus en un clic, l'interdiction des dark patterns et la reconnaissance obligatoire des signaux automatisés. Dans le détail, le RGPD réformé prévoirait explicitement que l'utilisateur doit pouvoir refuser aussi facilement qu'il accepte les cookies, sans menus cachés ni parcours compliqués. De plus, les bannières ne pourront plus manipuler l'utilisateur - via des boutons trompeurs ou des couleurs biaisées. Egalement, si le navigateur envoie un signal "je refuse le tracking", le site devra obligatoirement le respecter sans que l'internaute n'ait à cliquer sur une bannière.
En parallèle du refus en un clic et de l'interdiction des dark patterns, la Commission introduit de nouvelles exceptions permettant d'accéder ou de stocker certaines informations sur le terminal sans le consentement préalable de son propriétaire. Auparavant, ces exceptions étaient strictes et limitées au fonctionnement du service, aux cookies techniques... Le texte élargit ce périmètre à deux nouvelles catégories : les statistiques agrégées et la sécurité du terminal.
De nouvelles règles sur la collecte de données sans consentement
Le projet autorise sans le consentement de l'intéressé la collecte de données permettant de produire des statistiques agrégées tant qye les données ne sont pas utilisées pour identifier l'utilisateur et que les statistiques servent à mesurer l'usage ou améliorer la qualité du service. Ces statistiques peuvent couvrir de la télémétrie détaillée (temps d'affichage...), des mesures comportementales ainsi que certains types de fingerprinting "léger".
En pratique, cela signifie que les acteurs publicitaires pourraient réutiliser cette exception pour collecter des signaux techniques sans demander le consentement de l'intéressé.
La deuxième nouvelle exception concerne la sécurité du terminal. Le texte autorise certaines opérations sans consentement lorsque l'objectif est d'assurer la sécurité du terminal (détection de fraude, protection contre un accès non autorisé...). Le problème étant que cette exception pourrait être interprétée de façon très large. Des services pourraient chercher à géolocaliser ou identifier des modèles d'appareils pour "sécuriser" leur accès.
Un guichet unique pour notifier un incident
Le deuxième volet du Digital Omnibus porte sur la cybersécurité. La Commission souhaite notamment réformer la notification des incidents, tels qu'une fuite de données. D'après elle, les entreprises notifient mal ou trop tard car le nombre d'interlocuteurs (Cnil, CSIRT, superviseur financier dans certains cas...) sont trop nombreux.
Le texte introduit ainsi un nouvel article dans NIS 2 : la création d'un point d'entrée unique. En pratique, il s'agirait d'un portail unique, opéré par l'Agence de l'Union européenne pour la cybersécurité (ENISA), qui deviendrait obligatoire pour déclarer tous les types d'incidents (violation du RGPD, incidents DORA...). Cette unique notification serait ensuite redistribuée automatiquement aux autorités compétentes.
Le Digital Omibus prévoit également une harmonisation des délais de notification d'un incident. Les violations de données personnelles ne devraient être notifiées que si elles entraînent un risque élevé. Le délai passe de 72 heures à 96 heures.
Le troisième volet concerne l'encadrement de l'intelligence artificielle. Précision importante : le projet de règlement ne modifie pas directement l'Artificial Intelligence Act (AI Act) récemment adopté et en cours d'application. Il réforme des textes autour du cadre de l'IA, dont le RGPD, la directive ePrivacy, le Data Act... C'est parce que ces textes périphériques déterminent ce que les entités peuvent collecter, réutiliser ou transférer que leurs modifications ont un effet majeur sur l'IA.
Assouplir les règles pour les fournisseurs de modèles d'IA
Le changement le plus important concerne le RGPD. Le Digital Omnibus modifie plusieurs points essentiels : définition d'une donnée personnelle, conditions de réutilisation des données pour une nouvelle finalité... Pour ne donner qu'un exemple : en principe, le RGPD impose que les données collectées pour une finalité précise ne puissent être réutilisées pour une autre finalité qu'à des conditions strictes. Le Digital Omnibus assouplit cette règle lorsqu'il s'agit de développement, d'amélioration ou de validation de systèmes d'IA.
Ainsi, les données collectées dans le cadre normal d'un service pourront être réutilisées plus facilement pour entraîner un modèle de recommandation, améliorer un modèle existant ou encore affiner un système de personnalisation.
Le projet de règlement introduit aussi un cadre pour la présence résiduelle de données sensibles dans les jeux d'entraînement. Le texte crée une exception permettant leur traitement lorsque ces données apparaissent de manière non intentionnelle, qu'elles ne sont pas utilisées pour influencer le comportement du modèle et que l'entité met en place des mécanismes de détection et de suppression.
Les modifications apportées à la directive ePrivacy jouent également un rôle. L'intégration de certaines dispositions dans le RGPD, telles que l'encadrement des accès aux terminaux, la reconnaissance obligatoire des signaux de refus automatisés ou encore l'introduction de nouvelles exceptions (statistiques agrégées et sécurité du terminal), redéfinissent les conditions dans lesquelles les entreprises peuvent collecter des données de navigation, d'usage ou de performance. Ces informations sont précieuses pour affiner des modèles en production.
Fusionner les règles sur les données non personnelles
Par ailleurs, la Commission souhaite fusionner plusieurs textes encadrant les données : le Data Act, le Data Governance Act et le règlement Free Flow of Non-personal Data (la libre circulation des données à caractère non personnel). De ce rapprochement naît plusieurs modifications : l'accès aux données industrielles, la portabilité et la circulation transfrontalière des données.
Avec le Digital Omnibus, l'utilisateur d'un équipement industriel aurait le droit de récupérer les données concernant cet équipement. Son fabricant ne pourra pas refuser. Concernant l'interopérabilité, les fabricants devront fournir des données en format interopérable dans des délais stricts et avec des API ou interfaces normalisées.
Sur le dernier point, la circulation transfrontalière des données non personnelles, le texte prévoit que ces données peuvent circuler librement dans toute l'Union, être stockées dans n'importe quel pays membre et être traitées dans n'importe quel prestataire européen, sans qu'un Etat ne puisse imposer de localisation obligatoire.
Un vent de contestations
Ces modifications ont provoqué un vent de contestation parmi la société civile, en particulier l'association autrichienne None of Your Business (Noyb). Le projet représenterait "la plus grande attaque contre les droits numériques des Européens depuis des années", a dénoncé Max Schrems, le président de Noyb, connu pour ses croisades contre Meta notamment. "Lorsque la Commission déclare qu'elle "maintient les normes les plus élevées, c'est manifestement faux. Elle propose de saper ces normes", a-t-il jugé.
Le Digital Omnibus ne pourra entrer en vigueur qu'après le vote du Parlement européen et le Conseil de l'Union européenne (27 membres de l'UE). Ces deux institutions devront ensuite trouver un compromis commun en trilogue avant d'adopter ce texte.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
