[Questions à...] Le Digital Omnibus, une menace pour le RGPD ? Questions à Paul Letartre, Avocat, CMS Francis Lefebvre

Mots clés : Digital Omnibus • RGPD • numérique • données personnelles • intelligence artificielle

Publié le 19 novembre 2025, le Digital Omnibus vise à simplifier plusieurs Règlements européens afin d’assouplir certaines règles du RGPD et de faciliter l’entraînement des IA sur des ensembles de données personnelles. Dans un avis conjoint adopté le 11 février 2026, le comité européen de la protection des données (CEPD) et le contrôleur européen des données (EDPS) ont donné leur position (nuancée) sur les adaptations prévues. Lexbase a interrogé sur cette question Paul Letartre, Avocat, CMS Francis Lefebvre*.

Lexbase : Pouvez-vous nous rappeler en quoi consiste le Digital Omnibus ?

Paul Letartre : Le « Digital Omnibus » ou « Omnibus numérique » est une proposition de règlement de la Commission européenne publiée le 19 novembre 2025 visant à simplifier le cadre législatif numérique de l'Union européenne.

Cette initiative fait partie du septième paquet de la Commission, et s'inscrit dans sa stratégie intitulée « Une Europe plus simple et plus rapide », dont l'objectif est d'alléger la charge réglementaire pesant sur les citoyens, les entreprises et les administrations, tout en maintenant des normes strictes de protection des droits fondamentaux.  L’objectif est de réduire le nombre d’actes législatifs, de rationaliser les règles et d’harmoniser les dispositions.

La Commission s'est fixé pour objectif de réduire d'au moins 25 % la charge administrative et d'au moins 35 % celle pesant sur les PME d'ici à la fin de 2029 et ses premières estimations prévoient des économies dépassant les cinq milliards d'euros sur trois ans.

Le Digital Omnibus impacte les principaux textes encadrant les activités numériques dont le RGPD (Règlement (UE) n° 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données N° Lexbase : L0189K8I), la Directive e-privacy (Directive n° 2002/58 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques N° Lexbase : L6515A43), la Directive « NIS 2 » (Directive (UE) n° 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union N° Lexbase : L3158MG3) ou encore la Directive sur la résilience des entités critiques (REC) (Directive (UE) n° 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022, sur la résilience des entités critiques N° Lexbase : L3160MG7).

Ce texte vient également abroger des réglementations relatives aux plateformes, qui sont considérées comme obsolètes car remplacées par des règlements plus récents. Par exemple, le Règlement (UE) n° 2018/1807 sur le libre flux des données à caractère non personnel est abrogé et seule l'interdiction d'imposer la localisation des données non personnelles est conservée et transférée au sein du Data Act.

Lexbase : D'éventuelles menaces sur le RGPD vous semblent-elles crédibles ?

Paul Letartre : Le terme « menace » apparaît trop fort dans le cadre des propositions du Digital Omnibus sur le RGPD. Le texte est susceptible d’impacter le champ d’application du RGPD mais ne menace pas son existence, ni ses principes. La volonté de la Commission, clairement explicitée dans son exposé des motifs est de remédier aux problématiques rencontrées par les petites entreprises et associations « qui procèdent à un petit nombre d’opérations de traitement à faible intensité de données, souvent à faible risque ».

L’idée n’est donc pas de détricoter le RGPD mais d’éviter qu’il ne constitue une contrainte trop lourde pour des acteurs n’ayant que peu d’impact sur les droits et libertés des personnes.

D’ailleurs, le 10 février 2026, le Comité européen de la protection des données (CEPD ou EDPB) et le Contrôleur européen de la protection des données (EDPS) ont adopté un avis conjoint sur les propositions relatives au RGPD que contient le Digital Omnibus, et leurs conclusions sont plutôt favorables.

Précision de la définition de données à caractère personnel.

Le Digital Omnibus prévoit de préciser la définition des données à caractère personnel en cas de pseudonymisation. Cette proposition reprend la position de la CJUE [1] et prévoit qu’une information ne devrait pas être considérée comme une donnée à caractère personnel si l’entité qui la détient ne dispose pas de moyens raisonnablement susceptibles de lui permettre d’identifier la personne concernée.

Dans leur avis, le CEPD et l’EDPS s’opposent fermement à cette modification qui, selon eux, réduirait significativement la protection accordée aux données et créerait le risque que des responsables de traitement externalisent artificiellement certaines activités afin d’éviter de se voir appliquer le RGPD.

Cependant, cette modification pourrait apporter une souplesse pour certains traitements portant sur des données considérées comme non personnelles en application de cette nouvelle définition. Alternativement, et pour satisfaire aux positions des comités européens, il pourrait être envisagé que la nouvelle définition ne s’applique qu’à des structures de taille réduite afin d’aller dans le sens de l’objectif de la Commission.

Clarification de la notion de droit d’accès.

Une deuxième proposition, très attendue par les responsables de traitement, prévoit que lorsque le droit d’accès est exercé de manière abusive à des fins autres que la protection des données personnelles, le responsable de traitement pourra refuser de donner suite à la demande ou facturer des frais raisonnables. Les conditions permettant de démontrer qu’une demande d’accès est excessive seraient également précisées.

Le CEPD et l’EDPS sont en accord avec la philosophie de cette proposition mais émettent tout de même quelques réserves concernant notamment l’insertion de la mention de « motifs raisonnables » pour considérer une demande comme excessive. Ils insistent sur le fait que le refus de la demande devrait être correctement documenté par le responsable de traitement.

Cette possibilité de refus devrait limiter les demandes de droit d’accès exercées par d’anciens salariés dans le but d’obtenir des informations dans le cadre d’un contentieux les opposant à leur employeur.

Bien que les contours de ce droit essentiel du RGPD aient déjà été clarifiés par le CEPD, les nouvelles précisions seront bienvenues tant ce droit semble régulièrement exercé à des fins étrangères à sa finalité première. Cela permettrait d’alléger les obligations des responsables de traitement qui peuvent se retrouver dans des situations délicates face à certaines demandes de droit d’accès.

Suppression de l’obligation d’information dans certaines situations.

L’obligation d’information prévue à l’article 13 du RGPD pourrait être supprimée si le responsable de traitement peut raisonnablement supposer que la personne concernée dispose déjà de l’information en cause.

Cela s’appliquerait notamment aux données collectées dans le cadre d’une relation claire et circonscrite, et d’une activité qui n’est pas fondée sur la donnée (non data-intensive). Une activité non « data-intensive » est une activité collectant une faible quantité de données ; sont exclus de ces activités, les traitements relatifs à l’emploi par exemple.

Les deux comités européens soutiennent cette modification permettant de déroger à l'obligation d'information lorsque la personne concernée est déjà informée. Cependant, ils recommandent :

• de clarifier les concepts d’ « activité non fondée sur la donnée (non data-intensive) » et de « relation claire et circonscrite ». En effet, à ce stade, il est difficile de classifier les activités non « data-intensive » et les comités suggèrent que l’analyse puisse reposer sur des éléments objectifs ;
• de maintenir l’obligation pour le responsable du traitement de fournir toutes les informations de l'article 13 du RGPD sur demande de la personne concernée, et d’ informer celle-ci de cette possibilité.

En pratique, cela signifie que le responsable de traitement devra être prêt à répondre à une telle demande, sans pour autant fournir une copie des données personnelles comme dans le cadre d’une demande d’accès.

Ainsi, sans porter atteinte aux droits des personnes, cette suppression permettrait d’alléger considérablement les obligations d’information pour les plus petites entreprises ou encore les entreprises ne traitant que peu de données personnelles.

Il est précisé que cette dispense d’information ne s’appliquerait pas lorsque les données sont transmises à d’autres destinataires, transférées vers un pays tiers, utilisées pour effectuer une prise de décision automatisée ou si le traitement est susceptible d’entraîner un risque élevé pour les droits des personnes concernées.

Évolution des règles en matière de violation de données.

Enfin, pour ce qui est de l’allègement des règles en matière de notification des violations de données, le CEPD et l’EDPS sont en accord avec le Digital Omnibus.

Le projet de règlement prévoit deux choses en la matière :  

• la notification ne serait requise que si la violation présente un risque élevé pour les droits de la personne concernée ;
• le délai de notification passerait de 72 à 96 heures.

En pratique, ces modifications auront un vrai impact pour les responsables de traitement, car les violations de données sont source de stress notamment pour ce qui est de la notification aux autorités de contrôle. Ainsi, une réduction du nombre de violations à notifier et l’allongement des délais de notification seront les bienvenus.

De plus, ces allégements ne suppriment pas les obligations générales du responsable de traitement dans le cadre d’une violation de données, à savoir :

• analyser le risque pour les droits de la personne concernée afin de déterminer si une notification auprès de l’autorité de contrôle est nécessaire ;
• documenter en interne toutes les violations de données (Article 33 (5) du RGPD) ;
• mettre en place des mesures afin de limiter les conséquences des violations de données (Article 32 du RGPD).

Toujours en matière de violation de données, le CEPD et l’EDPS approuvent le modèle commun pour les notifications de violations de données, harmonisant ainsi les procédures au niveau européen. Le modèle européen unique simplifierait la procédure actuelle de notification qui exige des mentions différentes selon les textes applicables. Ainsi, en passant en revue les principales modifications du RGPD proposées par le Digital Omnibus, celles-ci n’apparaissent pas comme une menace mais plutôt comme une mise à niveau de celui-ci après presque huit ans d’application.

Lexbase : Qu'est-il prévu concernant le sujet de l'intelligence artificielle ?

Paul Letartre : Le Digital Omnibus modifie le RGPD en rapport avec l’intelligence artificielle (IA) mais les principales dispositions relatives à celle-ci figurent dans une proposition de règlement distincte  (Le Digital Omnibus sur l’IA).

1. Les modifications relatives à l’IA au sein du Digital Omnibus

La première proposition relative à l’IA consisterait à ajouter un article 88 quater au RGPD, prévoyant que le traitement des données à caractère personnel dans le contexte du développement et de l’exploitation d’un système d'IA peut être effectué dans un intérêt légitime au sens de l'article 6 du RGPD.

Ce nouvel article aménage des droits spécifiques visant notamment à « garantir une transparence renforcée aux personnes concernées et à leur donner le droit inconditionnel de s’opposer au traitement de leurs données à caractère personnel ».

Cette possibilité de se fonder sur l’intérêt légitime avait été déjà été confirmée par le CEPD dans l’un de ses avis [2].

De plus, le responsable de traitement resterait tenu de réaliser une analyse d’intérêt légitime afin d’évaluer si cette base légale est bien appropriée à la mise en œuvre de son traitement.

La seconde proposition introduit une nouvelle exception à l’interdiction de traiter des données personnelles sensibles, prévue à l’article 9 du RGPD, spécifiquement dans l’hypothèse où ces données seraient utilisées pour développer et exploiter un système d'IA. Cette exception s’appuie sur l’idée que pour entraîner un système d’IA, il faut utiliser des données en grand nombre et que, dans certains jeux de données, peuvent être présentes des données sensibles. Exclure tous les jeux de données qui en contiennent serait une entrave au développement de l’IA, mais il faut pouvoir les isoler pour éviter leur traitement.

Cette exception est ainsi très circonscrite. Elle ne s’applique que lorsque des données sensibles sont présentes à titre « résiduel » (ou « accessoire et résiduel » si la recommandation du CEPD et de l’EDPS est retenue). Le responsable de traitement devra alors mettre en œuvre des mesures organisationnelles et techniques pour les supprimer ou bloquer leur exploitation, et les identifier par la suite pour qu’elles soient exclues ou détruites le plus souvent possible.

2. Le Digital Omnibus sur l’IA

Parmi les principales mesures figurent le report de l'entrée en application de certaines règles relatives aux systèmes d'IA à haut risque jusqu'à la publication de normes harmonisées, l'extension des simplifications réglementaires à certaines catégories de PME, la centralisation de la surveillance de certains systèmes d'IA auprès du Bureau de l'IA de la Commission, ainsi que la suppression de la prescription d’un plan harmonisé de surveillance après commercialisation.

Lexbase : Plus généralement, comment lier protection des données personnelles et préservation des capacités de croissance et d'innovation des entreprises européennes ?

Paul Letartre : La protection des données personnelles est essentielle afin de préserver les droits et libertés des personnes et le RGPD est devenu un standard et un modèle pour beaucoup de pays.

Il ressort des études économiques que « la réglementation pèse proportionnellement plus sur les petits acteurs et constitue, si l’on veut, un avantage concurrentiel pour les plus gros »[3].  D’un point de vue pratique, ce sont souvent les petites et moyennes entreprises qui semblent en difficulté quand il s’agit de se mettre en conformité avec le RGPD.

À cet égard, on relèvera qu’en application d’une autre proposition de règlement, dite « Omnibus IV », les organisations de moins de 750 employés (au lieu de 250 aujourd’hui) seraient exemptées de l’obligation de tenir un registre des activités de traitement, sauf si les traitements qu’elles effectuent (1) sont susceptibles de porter atteinte aux droits et libertés des personnes concernées, (2) ne sont pas occasionnels et (3) portent sur des données sensibles.

Plus récemment, l’une des pistes avancées, qui est d’ailleurs mise en avant dans le Digital Omnibus, est de libérer les petites et moyennes entreprises de certaines obligations issues du RGPD notamment lorsque leur activité n’est pas fondée sur des traitements de données personnelles. Il est nécessaire que l’approche par le risque du RGPD soit interprétée plus souplement par les autorités de protection des données afin de ne pas contraindre trop fortement la croissance des entreprises.

Également, exclure les données pseudonymisées de la définition des données personnelles (si cette mesure est maintenue contre l’avis des régulateurs des données) devrait encourager les responsables de traitement à pseudonymiser les données afin qu’elles soient plus facilement utilisables pour leurs destinataires. La pseudonymisation, qui est actuellement considérée par le RGPD comme une mesure de sécurité (article 32), permettrait une exploitation plus facile de la donnée pour les entreprises européennes dans la mesure où les obligations du RGPD n’auraient pas vocation à s’appliquer.

La donnée est un vecteur majeur de croissance pour les entreprises et les simplifications apportées par le Digital Omnibus semblent être des pas dans la bonne direction : celle de permettre aux entreprises européennes de se développer sans avoir à faire face à des contraintes trop importantes, mais sans transiger sur la préservation des droits et libertés des individus.

© Reproduction interdite, sauf autorisation écrite préalable