Le 19 novembre 2025, la Commission européenne a présenté la proposition de règlement Digital Omnibus, une réforme destinée à ajuster certains mécanismes du RGPD.
Objectif affiché : simplifier, clarifier, et adapter le cadre juridique aux usages numériques contemporains, notamment à l’intelligence artificielle (IA).
Ci-dessous, une synthèse des évolutions envisagées.
🔍 1. Clarification du périmètre des données personnelles
La Commission relève que certaines obligations du RGPD sont disproportionnées lorsqu’elles s’appliquent à des informations ne permettant pas d’identifier une personne, même indirectement.
Le Digital Omnibus propose donc de mieux distinguer :
- les données véritablement personnelles ;
- les données « non pertinentes pour identifier une personne », utilisées notamment dans l’entraînement de modèles d’IA.
Cette clarification vise à réduire les obligations inutiles, sans remettre en cause le principe fondamental de protection des personnes physiques.
🔍 2. Ajustement du régime applicable aux données sensibles
Le RGPD interdit en principe le traitement des données dites « sensibles » (origine raciale, opinions politiques, santé, biométrie, etc.) sauf exceptions strictes.
Le Digital Omnibus prévoit :
- la possibilité encadrée d’utiliser certaines données biométriques à des fins de vérification d’identité ;
- un usage exceptionnel et limité de données sensibles pour l’entraînement de modèles d’IA, avec un droit d’opposition garanti aux personnes concernées.
Ces évolutions ne suppriment pas la protection existante : elles introduisent de nouvelles dérogations contrôlées, dans un objectif d’innovation responsable.
🔍 3. Évolution de l’exercice des droits
La Commission constate des usages abusifs des demandes d’accès ou d’effacement (« requests flooding »).
Le texte permettrait aux responsables de traitement de rejeter les demandes manifestement répétitives ou excessives, sous réserve d’une justification claire.
L’objectif est de protéger les droits des personnes sans paralyser les organisations.
🔍 4. Cybersécurité : réorientation institutionnelle
Le Digital Omnibus introduit deux modifications marquantes :
- Le délai de notification des violations de données passerait de 72 à 96 heures, afin d’améliorer la qualité et la fiabilité des signalements.
- La compétence de réception de ces notifications serait transférée de l’autorité de protection des données à une autorité de cybersécurité (en France : l’ANSSI).
Cette évolution reflète le rapprochement croissant entre protection des données et sécurité des systèmes d’information.
🔍 5. Vers la fin des bannières cookies
Le Digital Omnibus propose de remplacer le système d’opt-in actuel par un mécanisme centralisé au niveau du navigateur, respectant les signaux de préférence automatiques envoyés par l’utilisateur.
Ce changement vise à :
- réduire la surcharge des bannières cookie ;
- redonner du contrôle à l’utilisateur via les réglages du navigateur.
🔍 6. Renforcement de l’harmonisation européenne
Le rôle de l’European Data Protection Board (EDPB) serait renforcé afin de garantir une application uniforme des règles au sein de l’Union.
Cette consolidation répond à une demande récurrente des entreprises multinationales confrontées à des interprétations divergentes des autorités nationales.
🧭 Le Digital Omnibus marque une tentative d’équilibre entre :
- protection des droits fondamentaux, pilier du modèle européen ;
- compétitivité et innovation, notamment pour l’intelligence artificielle.
Mais plusieurs questions demeurent ouvertes :
- Quelle sera la portée réelle de ces assouplissements une fois négociés au Parlement européen et au Conseil ?
- L’Europe parviendra-t-elle à établir une « troisième voie » numérique entre les modèles américain et chinois ?
