Les apports et enjeux du projet OMNIBUS "Digital": une évolution stratégique du droit numérique européen

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Harry Seror

Auteur Article

date de publication

03/12/2025

Le projet Omnibus de la Commission européenne, présenté le 19 novembre 2025, propose des modifications ciblées du RGPD, de l'AI Act et du Data Act pour simplifier la conformité et renforcer la compétitivité européenne. Analyse détaillée des enjeux juridiques et pratiques pour les entreprises.

Le 19 novembre 2025, la Commission européenne a présenté son paquet législatif de simplification des législations numériques (projet Omnibus "Digital"). Cette initiative marque une étape décisive dans la rationalisation du cadre juridique européen en matière de données personnelles, d’intelligence artificielle et de cybersécurité.

L’objectif est clair : simplifier, clarifier et harmoniser un corpus devenu dense et fragmenté, tout en renforçant la compétitivité européenne face aux acteurs américains et chinois. Cette démarche fait suite aux constats du rapport Draghi (2024) concernant les charges administratives et les chevauchements réglementaires qui freinent l’innovation.

1. Redéfinition du RGPD : clarifications conceptuelles et nouveaux équilibres pour l’IA

1.1. Vers une définition subjective des données personnelles

L'une des modifications les plus fondamentales concerne la définition même des données personnelles. Le projet introduit une approche qualifiée de « subjective », selon laquelle les informations qui ne permettent pas à une entité donnée d'identifier une personne physique avec des moyens raisonnablement susceptibles d'être utilisés ne sont pas considérées comme personnelles pour cette entité – même si d'autres acteurs disposent de tels moyens.

Cette modification représente une inflexion jurisprudentielle majeure. Elle s'appuie sur l’arrêt récent de la CJUE du 4 septembre 2025 (C-413/23 P), qui précise que les données pseudonymisées ne doivent pas automatiquement être considérées comme personnelles pour tous les acteurs.

Cependant, elle pose de nouvelles questions : notamment sur la définition opérationnelle des « moyens raisonnablement susceptibles d'être utilisés » – un concept qui demeurera contesté et nécessitera des clarifications ultérieures par la jurisprudence.

Cette approche pourrait réduire le champ d'application du RGPD pour certaines entités dans le traitement des données pseudonymisées ou dans les contextes B2B. Cependant, elle pourrait aussi créer une fragmentation de facto des obligations en fonction des capacités techniques de chaque acteur.

1.2. Entraînement des systèmes d’IA fondé sur l’intérêt légitime

Le projet clarifie que le traitement de données personnelles pour l'entraînement des systèmes d'IA peut, le cas échéant, reposer sur l'intérêt légitime du responsable du traitement, sauf lorsque d'autres législations nationales ou de l'Union exigent explicitement le consentement.

Cette disposition s'accompagne de sauvegardes substantielles : les responsables doivent mettre en œuvre des mesures appropriées de minimisation des données, garantir une sécurité renforcée, et maintenir un droit d'opposition inconditionnel pour les personnes concernées. Les exemples non contraignants mentionnés dans le projet incluent la pseudonymisation, les sauvegardes techniques, et les mesures d'accès restrictif.

1.3. Traitement résiduel des données sensibles

Une nouvelle exception à l'article 9 du RGPD autorise le traitement de catégories spéciales de données– notamment les données de santé, d'orientation sexuelle, ou de convictions philosophiques – dans le contexte du développement et de l'exploitation des systèmes d'IA, à condition que des mesures techniques et organisationnelles aient été mises en œuvre pour éviter leur collecte.

Lorsque de telles données sont malgré tout identifiées, elles doivent être supprimées. Si la suppression impose un effort disproportionné, le responsable doit les protéger efficacement contre toute utilisation dans les outputs ou divulgation à des tiers.

1.4. Première exception RGPD dédiée aux données biométriques

Une nouvelle exception à l'article 9 du RGPD autorise l’usage de données biométriques lorsque :

  • le traitement est nécessaire à la vérification de l’identité, et
  • les données restent sous le contrôle exclusif de l’utilisateur (ex. : déverrouillage local sur smartphone).

Cette disposition anticipe et facilite l'adoption de solutions de vérification d'identité sur appareil – par exemple la reconnaissance faciale locale sur un smartphone, où les données biométriques brutes restent chiffrées et sous contrôle utilisateur, sans être transmises à des tiers.

1.5. Introduction d'une nouvelle limitation aux demandes de droit d'accès

Le projet introduit une modification importante du régime des refus d'exercice de droits. Actuellement, l'article 12(5) du RGPD limite les refus aux demandes infondées ou excessives.

Le projet ajoute un troisième motif : le responsable peut refuser une demande lorsqu'elle est effectuée à des fins autres que la protection des données de la personne concernée.

Un ancien salarié demandant ses données dans le contexte d'un contentieux contre son employeur pourrait potentiellement se voir opposer un refus fondé sur ce nouveau motif.

1.6. Simplification des notifications de violations de données

Deux modifications substantielles affectent le régime des violations de données :

  1. Allongement du délai : le délai de notification passe de 72 à 96 heures à compter de la prise de connaissance du caractère personnel d'une violation
  2. Relèvement du seuil : seules les violations présentant un « risque élevé » pour les droits des personnes doivent être notifiées aux autorités de protection des données (alignement avec l'obligation de communication aux personnes concernées)

Cette modification s'accompagne de la création d'un point d'entrée unique (SEP) pour les notifications, géré par ENISA, qui achemine automatiquement les rapports vers les autorités compétentes dans chaque régime applicable.

2. Cookies et consentement : vers une simplification des échanges d'information

Le projet vise à transférer les règles actuelles sur les cookies – historiquement régies par la directive ePrivacy de 2002 – vers le cadre du RGPD.

Le projet crée de nouvelles exemptions au consentement pour plusieurs catégories de cookies :

  1. Cookies de mesure d'audience agrégée : cookies utilisés à titre exclusivement statistique, sans permettre l'identification des utilisateurs ou le suivi comportemental
  2. Cookies de sécurité : cookies à finalités de sécurité (détection de fraude, protection contre les attaques)
  3. Cookies de transmission des communications sur un réseau de communications électroniques
  4. Cookies strictement nécessaires à la fourniture du service explicitement demandé par l'utilisateur

Par ailleurs, lorsqu'une personne a refusé son consentement, aucune nouvelle demande de consentement pour la même finalité ne peut être adressée pendant au moins 6 mois. Cette disposition vise à empêcher les pratiques d'usure consistant à solliciter le consentement répétitivement jusqu'à obtenir un accord.

3. IA Act : report des échéances et allègements pour les acteurs de taille moyenne

3.1. Report des échéances

Le projet Omnibus "Digital" sur l'IA prévoit que l'entrée en application des obligations pour systèmes d'IA à haut risque est désormais liée à la disponibilité des mesures de soutien à la conformité, telles que les standards harmonisés et des directives de mise en œuvre.

La Commission devra confirmer cette disponibilité par décision, déclenchant alors une période de transition de 6 mois pour les systèmes Annexe III (la reconnaissance biométrique à distance, la catégorisation biométrique (inférence d'état physique, mental, psychique ou comportemental), la reconnaissance émotionnelle, et les systèmes destinés à la notation sociale par les autorités publiques) ou 12 mois pour les systèmes Annexe I (systèmes d'IA intégrés dans des produits régis par une législation sectorielle harmonisée de l'Union)

En l'absence de décision, des dates butoirs absolues s'appliquent : 2 décembre 2027 pour les systèmes Annexe III et 2 août 2028 pour les systèmes Annexe I.

3.2. Extension des avantages PME aux « small mid-caps »

Le projet introduit une nouvelle catégorie de bénéficiaires – les petites entreprises de taille intermédiaire (small mid-cap enterprises, SMC) – auxquelles sont étendues les mesures de soutien initialement réservées aux seules PME.

Cette extension concerne notamment la possibilité de fournir la documentation technique de manière simplifiée (article 11 de l'IA Act), l'obligation pour la Commission d'établir un formulaire adapté aux besoins des SMC, ainsi que le système de gestion de la qualité proportionné à la taille de l'organisation (article 17 de l'IA Act).

Par ailleurs, l'article 63 de l'IA Act, qui permettait aux seules microentreprises de se conformer de manière simplifiée à certains éléments du système de gestion de la qualité, est désormais élargi à l'ensemble des PME, y compris les startups.

S'agissant des sanctions, l'article 99 de l'IA Act est modifié pour étendre aux SMC le plafonnement favorable des amendes administratives au montant le plus bas entre le pourcentage du chiffre d'affaires et les montants absolus prévus. Ces mesures s'inscrivent dans l'objectif affiché de faciliter la transition des entreprises en croissance, évitant ainsi une rupture brutale des obligations réglementaires lors du passage du statut de PME à celui d'entreprise de taille intermédiaire.

3.3. Détection et correction des biais pour tous les systèmes d'IA

Le projet autorise le traitement de données de catégories spéciales à titre exceptionnel pour détecter et corriger les biais – non seulement dans les systèmes d'IA à haut risque (comme le prévoyait déjà l'AI Act), mais dans tous les systèmes d'IA et modèles d'IA.

Cette disposition répond aux préoccupations en matière de discrimination algorithmique dans des applications moins strictement régulées. Elle nécessite :

  • L'absence d'alternatives (données synthétiques ou anonymisées)
  • Des mesures techniques et organisationnelles robustes (pseudonymisation, contrôle d'accès strict, suppression)
  • Une documentation du processus

Les entreprises développant des systèmes d'IA généralistes pourront traiter des données sensibles temporairement pour tester et corriger les biais sans solliciter le consentement explicite.

4. Data Act : consolidation législative et renforcement de la souveraineté

Le projet procède à une consolidation législative majeure en abrogeant le Free Flow of Non-Personal Data Regulation (2018), le Data Governance Act (2022) et l'Open Data Directive (2019), dont les dispositions pertinentes sont intégrées au Data Act, créant ainsi un cadre unifié pour l'économie des données.

Cette consolidation vise à éliminer les contradictions et incohérences entre ces régimes et réduire la charge de conformité par unification des définitions et principes.

***

Le projet Digital Omnibus entre maintenant dans la phase législative formelle : les propositions seront soumises au Parlement européen et au Conseil pour adoption. Ces propositions constituent une première étape de la stratégie de simplification de la Commission visant à rendre le cadre réglementaire numérique européen plus efficace.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Nous contacter

harry@seror.fr - 06.83.79.73.23

Message sent! Thank you. We will contact us as soon as possible.

An error has occurred somewhere and it is not possible to submit the form. Please try again later or contact us via email.

Accueil

Protection des données personnelles

DPO externalisé

IA

Tech

Cybersécurité & gestion de crise

Avocat fondateur

Blog

Contact

email

Téléphone

linkedin

mentions légales

Politique de confidentialité

prendre rendez vous

envoyer un mail

Ourama - site internet pour avocat