Digital Omnibus : la simplification des textes numériques européens suscite des réactions contrastées
La Commission européenne a présenté le 19 novembre 2025 deux projets de "Digital Omnibus", un ensemble de mesures visant à "simplifier" plusieurs règlements numériques, dont le RGPD et l'AI Act. Salué par la France et l'Allemagne, le projet suscite de vives inquiétudes chez les défenseurs de la vie privée. La négociation au sein des instances européennes s'annonce serrée.
© European Union, 2025/ Henna Virkkunen
Publié le 19 novembre 2025, le Digital Omnibus se compose en réalité de deux propositions législatives distinctes : un Digital Omnibus qui modifie le RGPD, la directive ePrivacy, la directive NIS2 et prévoit l'intégration du Digital Governance Act au sein du Data Act ; et un Digital Omnibus dédié aux ajustements du règlement sur l'intelligence artificielle. La Commission estime que ces simplifications pourraient générer jusqu'à 5 milliards d'euros d'économies dont un milliard pour les seules administrations d'ici 2029.
Entraînement des IA sur des données pseudonymisées
Plusieurs modifications concernent le champ d'application du RGPD. Le projet introduit un "intérêt légitime" permettant d'entraîner des systèmes d'IA sur des données personnelles pseudonymisées, sans consentement préalable, à condition que des garanties appropriées soient mises en place.
Par ailleurs, une information ne serait pas considérée comme une "donnée à caractère personnel" pour une organisation ne disposant pas de "moyens raisonnables" pour identifier une personne. Ainsi, une entreprise recevant des données pseudonymisées d'un tiers pourrait les traiter si elle ne possède pas les moyens de réidentifier les personnes. La Commission présente cette mesure comme une codification de la jurisprudence récente de la CJUE sur les données pseudonymisées.
Allègement sur les données sensibles
La définition des données sensibles serait par ailleurs restreinte aux seules données révélant "directement" une caractéristique protégée, excluant potentiellement les données inférées par profilage ou croisement.
Le droit d'accès aux données personnelles serait limité aux seules "finalités de protection des données" (refus, rectification…), ce qui pourrait empêcher son utilisation dans le cadre de litiges ou d'enquêtes journalistiques.
Enfin, les règles sur les cookies seraient intégrées au RGPD et pourraient être gérées au niveau du navigateur via un "signal de confidentialité".
Point unique pour les signalements d'incidents
Sur le plan structurel, le projet prévoit de fusionner les obligations Data Governance Act dans le Data Act. Un point d'entrée "unique" serait créé pour le signalement des incidents de cybersécurité et des violations de données, regroupant les obligations actuellement dispersées (RGPD, la directive NIS2, règlement Dora, directive CER).
Le projet prévoit enfin un report de l'entrée en vigueur des obligations de l'AI Act pour les systèmes à haut risque, le temps d'établir les standards techniques nécessaires.
L'Élysée et Berlin satisfaits
La France et l'Allemagne ont salué cette initiative dans une déclaration conjointe des deux exécutifs. Les deux pays estiment que l'environnement réglementaire actuel génère des "coûts disproportionnés et une insécurité juridique qui portent atteinte à la capacité de croissance et d'innovation des entreprises européennes". Les représentants de la tech européenne leur ont emboîté le pas.
Un recul pour les associations
Les organisations de défense des droits numériques craignent de leur côté un affaiblissement des garde-fous mis en place par l'Europe face aux géants du numérique. L'association autrichienne Noyb qualifie le texte de "plus grande attaque contre les droits numériques des Européens depuis des années" sans apporter d'avantages tangibles aux PME européennes. L'ancien commissaire européen Thierry Breton a appelé de son côté à "résister fermement aux tentatives de détricotage des grandes lois numériques européennes". L'association EDRi dénonce un processus "accéléré" mené sans étude d'impact approfondie, certaines directions de la Commission n'ayant disposé que de cinq jours ouvrés pour examiner ce texte de plus de 180 pages. Plusieurs experts estiment que la nouvelle définition des données sensibles pourrait contredire la jurisprudence de la Cour de justice de l'UE.
Vifs débats en perspective
Le projet doit maintenant être débattu par le Parlement et le Conseil européens, où les discussions s'annoncent tendues. Les groupes Socialistes & Démocrates, Renew Europe et Les Verts ont d'ores et déjà exprimé leurs "importantes préoccupations". La discussion devrait avoir lieu au premier trimestre 2026. En parallèle, la consultation publique destinée à évaluer l'ensemble du cadre réglementaire numérique européen (Digital Fitness Check) reste ouverte jusqu'au 11 mars 2026.
