Digital Omnibus : quel enjeux et perspectives dans votre mise en conformité ?
La Commission européenne a publié le 19 novembre dernier un projet de réforme du cadre numérique européen acquis, dénommé le « Digital Omnibus »1, présenté comme simplifiant les principaux textes de l’écosystème numérique européen. Visant principalement les règles relatives aux données personnelles issues du RGPD2, il s’agirait de la première réforme de ce texte depuis son adoption en 2016.
Modifications ciblées du RGPD
Le projet de règlement propose tout d’abord une nouvelle définition limitative des données personnelles : les informations ne seraient pas considérées comme des données à caractère personnel lorsque l’entité qui les détient ne dispose pas de moyens « raisonnablement » susceptibles d’être utilisés pour identifier la personne concernée. Cette entité serait donc exclue du champ d’application du RGPD.
Le projet de règlement ajoute des exceptions au champ d’application du RGPD, en cas de pseudonymisation. L’objectif serait de rendre ces données fiables davantage utilisables pour les responsables de traitement, tout en réduisant l’incertitude juridique.
Le projet de règlement limite la définition des données sensibles3 : seules les données révélant directement une caractéristique dépendraient de ce régime spécial. Les données inférées (à savoir, issues d’un profilage, d’algorithmes prédictifs, de scoring, etc.) sortiraient du champ d’application de cette catégorie.
Les obligations d’information et de notification seraient allégées dans certains cas : les traitements de données considérés comme étant à faible risque, les personnes impossibles à contacter malgré des efforts raisonnables, les personnes concernées possédant déjà ces informations (par exemple dans le cas d’informations publiquement accessibles), ou encore en cas de disproportion manifeste. Cet allègement ne serait toutefois pas permis en cas de prise de décision automatisée.
S’agissant des demandes de droit d’accès, les responsables de traitement seraient autorisés à refuser ou à facturer les demandes abusives.
Le projet de règlement prévoit encore une facilitation de la réutilisation des données pour la recherche scientifique, sans nécessité de nouvelle base légale, tout en assurant certaines garanties (cloisonnement des traitements, accès restreint aux données brutes, absence d’exploitation commerciale).
Simplification du consentement aux cookies
Le projet de règlement encourage l’amélioration de l’expérience de l’internaute (consentement automatisé, moins de bannières, moins de clics, possibilité de paramétrage centralisé pour plusieurs sites internet, etc.). Certaines catégories de cookies ne nécessiteront plus de consentement : nécessité pour le service demandé, production de statistiques agrégées d’audience, maintenance ou restauration de la sécurité.
Nouveau régime pour les incidents de cybersécurité
Dans l’objectif de soulager la charge des autorités nationales (la CNIL en France), en particulier en cas de multiplication des notifications, le projet de règlement propose la mise en place d’un nouveau guichet unique : il serait le point d’attache pour notifier les violations de données personnelles. Un nouveau seuil de notification est proposé : alors que l’obligation de notification débute aujourd’hui à l’existence d’un « risque au regard de la vie privée des personnes concernées », le seuil serait désormais fixé au « risque élevé » pour les personnes concernées. Le délai de notification passerait par ailleurs de 72h à compter de la constatation de la violation, à un délai de 96h. Ces propositions semblent être avantageuses pour les responsables de traitements et devraient poursuivre un objectif d’efficacité de la résolution des violations de données personnelles.
Amélioration de la cohérence des textes sur l’Intelligence Artificielle
Les systèmes d’IA à haut risque bénéficieraient d’une période de grâce pour se mettre en conformité avec le Data Act. L’entrée en vigueur passerait de septembre 2026 à décembre 2027. De plus, l’entraînement des modèles d’IA deviendrait un motif légitime de traitement des données personnelles, au sens du RGPD, sous réserve de respecter certaines garanties (minimisation des données, transparence, respect du droit d’opposition, mesures anti-réidentification, déploiement limité et contrôlé) et pour certaines finalités uniquement (développement d’algorithmes, tests et validation du modèle, amélioration continue). Les données sensibles, les données de mineurs et le profilage à haut risque seraient exclus de cette base légale.
Perspectives du projet de règlement
Ce projet de règlement intervient quelques jours après une évaluation du règlement sur les services numériques (DSA)4, annonçant un besoin de simplification et constatant des doublons pouvant s’avérer embarrassants lorsque les mécanismes de mise en œuvre des textes diffèrent. Le contrôleur européen prévoit par ailleurs la publication en début de l’année 2026 de nouvelles lignes directrices sur l’application simultanée du RGPD et de l’IA Act. Le projet de règlement « Digital Omnibus » doit encore être soumis au Parlement européen et au Conseil européen avant de parvenir à sa mouture définitive.