Digital Omnibus : de nouvelles règles pour la confidentialité et la conformité

European Union flag waving against blue sky - Digital Omnibus Regulation proposal updates to GDPR, ePrivacy, and EU data protection laws

📣 Dernières mises à jour

9 mars 2026 – La Commission présente son plan de simplification du Digital Omnibus (cliquer pour développer)

La Commission européenne a indiqué que le Digital Omnibus proposé vise à simplifier le cadre réglementaire numérique de l’UE et à réduire d’au moins 5 milliards d’euros les coûts administratifs pour les entreprises, en particulier les PME. La proposition s’attache à améliorer la clarté juridique autour des règles relatives aux données et à la réglementation de l’IA, à rationaliser le signalement des incidents de cybersécurité et à ajuster les calendriers pour certaines parties de l’AI Act, notamment les systèmes à haut risque. La Commission a également confirmé qu’elle examine le cadre numérique global dans le cadre d’un Digital Fitness Check, qui pourrait déboucher sur d’autres mesures de simplification. En savoir plus →

5 décembre 2025 – Les autorités européennes de protection des données remettent en question un changement clé de la proposition (cliquer pour développer)

Le Comité européen de la protection des données (CEPD), la principale autorité européenne de protection des données, a examiné la proposition du Digital Omnibus et a exprimé des préoccupations quant à la redéfinition de la notion de « données personnelles ». La proposition restreindrait cette définition en se concentrant sur la capacité du responsable du traitement ou du destinataire à identifier une personne, et non sur celle d’un tiers. Le CEPD estime que cette approche pourrait aller trop loin et contredire des arrêts récents. Une discussion avec les parties prenantes est prévue le 12 décembre 2025 pour approfondir ce point (document de discussion). L’enjeu est de taille : lorsque le CEPD soulève une préoccupation, celle-ci peut influer sur la forme finale de la loi. La définition des données personnelles étant fondamentale pour les règles relatives à la vie privée, cette partie de la proposition pourrait être révisée. En savoir plus →

La Commission européenne a publié sa proposition de règlement Digital Omnibus le 19 novembre 2025. Pour toute personne travaillant dans le domaine de la conformité numérique, ce texte mérite attention.

La proposition vise à simplifier et à moderniser le cadre réglementaire européen en modifiant plusieurs textes clés, notamment le RGPD, la directive ePrivacy, le Data Act, NIS2, eIDAS, DORA et CER.

Le texte évoluera au fil du processus législatif européen. La trajectoire est prometteuse, et nous nous engageons à vous aider à comprendre ce qui vous attend.

💡 Avant d’entrer dans le détail, voici ce qu’il faut garder à l’esprit : il s’agit d’une proposition, pas d’une loi. Le texte est à un stade précoce et peut évoluer substantiellement au cours du processus législatif européen. Les principes et obligations qui y sont décrits ne sont ni en vigueur ni opposables. Tant que le règlement n’aura pas été formellement adopté, le cadre juridique existant (notamment le RGPD et les autres lois applicables) continue de régir les activités de traitement des données.

📊 Voir la chronologie : de la proposition à la loi (cliquer pour développer)

EU legislative process timeline showing Digital Omnibus Regulation proposal stages from Commission proposal to entry into force

Le consentement aux cookies se modernise

La proposition intègre la règle ePrivacy relative aux cookies dans le RGPD, sous la forme d’un nouvel article 88a. Le consentement reste la règle générale pour le stockage ou la lecture d’informations sur les appareils, mais avec des mises à jour importantes.

Voici ce qui change :

Exceptions hors consentement ajoutées : Une liste fermée couvre désormais la transmission, les cookies strictement nécessaires, la mesure d’audience agrégée en première partie pour vos propres services, et la sécurité du service ou de l’appareil.
Acceptation et refus en un clic requis : Les bandeaux cookies doivent proposer les deux options avec une accessibilité équivalente.
Période de silence de six mois : Les sites ne peuvent pas continuer à solliciter les utilisateurs après un refus de consentement pendant au moins six mois, sauf modification pertinente de vos activités de traitement.

Ce qui ne change pas :

Le consentement reste central : Vous aurez toujours besoin d’un consentement pour la publicité, le profilage, le suivi intersites et l’analyse par des tiers. La proposition n’affaiblit pas ces exigences.

Signaux de préférence lisibles par machine

L’article 88b introduit une nouveauté : les signaux de préférence lisibles par machine. Pensez aux paramètres du navigateur qui transmettent automatiquement un consentement ou une objection. Les responsables du traitement devront respecter ces signaux, et les éditeurs de navigateurs devront progressivement les prendre en charge.

Cela pourrait transformer en profondeur la manière dont le consentement circule sur le web, en déplaçant certains choix en amont, au niveau du navigateur, tout en maintenant le contrôle de l’utilisateur.

🍪 Moins de bandeaux cookies à l’avenir ?

Voici ce qui changerait : si les utilisateurs configurent leurs préférences de confidentialité au niveau du navigateur ou du système d’exploitation (par exemple « refuser tout suivi » ou « essentiels uniquement »), les sites liraient et respecteraient automatiquement ce choix. Aucun bandeau ne serait alors nécessaire.

Dans les faits ? La plupart des utilisateurs n’adopteront pas ces paramètres immédiatement, les bandeaux cookies resteront donc la norme pour l’avenir prévisible. Mais à mesure que davantage de visiteurs définiront des préférences au niveau du navigateur, ils verront moins de bandeaux lors de leur navigation.

En coulisses, vous aurez toujours besoin de systèmes de gestion du consentement comme iubenda pour gérer correctement les choix des utilisateurs. Le système sera simplement plus intelligent pour déterminer quand afficher un bandeau et quand lire un signal de préférence existant.

⚠️ Exception pour les fournisseurs de services médias

Tout le monde n’est pas tenu de respecter ces signaux. La proposition exempte explicitement les fournisseurs de services médias de l’obligation de respecter les signaux de préférence lisibles par machine.

Pourquoi ? La Commission fait valoir que les organisations médiatiques dépendent des recettes publicitaires pour leur viabilité financière et que des médias indépendants sont indispensables au pluralisme et au débat démocratique. Cela constitue un objectif d’intérêt public.

En pratique, les sites médias pourront demander un consentement même si l’utilisateur a défini une préférence globale de « refus du suivi ». Cette exception ne s’applique pas aux autres sites web, applications ou fournisseurs de services en ligne.

Modifications notables du RGPD

La proposition apporte plusieurs changements concrets au RGPD :

Données personnelles et pseudonymisation

La définition des données personnelles est restreinte. La question centrale devient celle de savoir si le responsable du traitement ou le destinataire dispose des moyens pour identifier « raisonnablement » une personne. Le simple fait qu’un tiers puisse identifier cette personne ne suffit pas à qualifier automatiquement les données de personnelles pour tous.

Ce que cela signifie : La Commission, en collaboration avec le Comité européen de la protection des données (CEPD), pourra adopter des critères permettant de déterminer quand des données pseudonymisées ne constituent plus des données personnelles pour certaines entités.

Le droit d’accès bénéficie de protections contre les abus

L’article 12 est modifié afin de permettre aux responsables du traitement de refuser des demandes d’accès ou d’exiger une redevance raisonnable lorsque ces demandes sont manifestement abusives. Cela couvre des situations telles que :

Campagnes de harcèlement
Demandes d’indemnisation spéculatives
Schémas du type « Payez-moi et je retire la demande »

La charge de la preuve incombe au responsable du traitement.

Exceptions à la transparence pour les situations à faible risque

Pour les situations à faible risque et sans ambiguïté (comme les artisans locaux ou les petites associations), les responsables du traitement peuvent s’appuyer sur une exception élargie lorsqu’il existe des motifs raisonnables de supposer que les personnes disposent déjà des informations nécessaires.

Harmonisation des AIPD et des notifications de violation

Le CEPD doit proposer des listes européennes harmonisées de traitements nécessitant ou non une analyse d’impact relative à la protection des données (AIPD), ainsi qu’un modèle et une méthodologie communs. Le même principe s’applique aux notifications de violations de données à haut risque : un modèle standard et des critères que la Commission transformera en actes d’exécution.

Pourquoi c’est important : Cette harmonisation pourrait réduire la complexité de la conformité, notamment pour les organisations opérant dans plusieurs États membres de l’UE.

IA et données personnelles

Les considérants de la proposition précisent que l’utilisation de données personnelles pour entraîner, tester et valider des systèmes d’IA peut s’appuyer sur l’intérêt légitime au titre de l’article 6, paragraphe 1, point f). La condition : un test de mise en balance strict et des garanties appropriées doivent être en place.

Les garanties requises comprennent :

Transparence sur l’utilisation à des fins d’entraînement de l’IA
Droit d’opposition inconditionnel
Techniques préservant la vie privée
Protections supplémentaires selon le niveau de risque

Une dérogation étroite est prévue pour les données de catégorie particulière présentes de manière incidente dans les ensembles de données d’entraînement de l’IA, lorsque leur suppression serait disproportionnée. Dans ce cas, les données doivent être solidement protégées et ne pas être utilisées pour inférer ou divulguer des informations sensibles. Les fondements habituels de l’article 9, paragraphe 2, s’appliquent toujours lorsque le traitement de données de catégorie particulière est effectivement nécessaire.

Autres modifications à noter

Guichet unique européen pour le signalement des incidents

Un guichet unique européen est créé pour le signalement des incidents de cybersécurité et des violations de données personnelles. Les responsables du traitement assujettis au RGPD l’utiliseront pour les notifications de violations, supprimant ainsi les déclarations redondantes au titre de NIS2, du RGPD, d’eIDAS, de DORA et de CER.

L’avantage : Cette centralisation répond à une vraie difficulté pour les organisations jonglant avec de multiples obligations de signalement.

Ajustements apportés au Data Act

Le Data Act fait l’objet de plusieurs mises à jour :

Renforcement des garanties pour les secrets d’affaires
Le partage de données entre entreprises et gouvernements (B2G) est limité aux urgences publiques
Régime allégé pour certains contrats cloud
La directive Open Data et le Data Governance Act intégrés dans le règlement

Le règlement Plateforme-à-Entreprise (P2B) est abrogé, car largement supplanté par des règles plus récentes applicables aux plateformes.

Ce que cela signifie pour votre activité

Cette proposition indique la direction que prend la réglementation européenne sur la vie privée, et c’est un avenir que nous accueillons favorablement.

Un meilleur contrôle pour les utilisateurs. Des exigences allégées. Une harmonisation qui apporte de vraies réponses. Ce ne sont pas seulement des objectifs politiques ; c’est le fondement de ce que nous construisons chez iubenda depuis le début.

« Le Digital Omnibus n’est pas encore une loi. Et tant qu’il ne l’est pas, la conformité au RGPD et à ePrivacy reste exactement telle que vous la connaissez. Ce qui ne changera pas non plus, même dans le futur régime, c’est la nécessité d’une couche opérationnelle robuste traduisant les exigences légales en application technique. C’est toujours le rôle de votre CMP. Les signaux globaux et l’automatisation ne remplacent pas les CMP ; ils les rendent indispensables, car il faut toujours faire le lien entre des droits abstraits et du code concret. »

Giulia Stancampiano, Product Legal Manager Privacy, iubenda

Nous nous engageons à jouer un rôle actif dans l’élaboration de cette proposition, en veillant à ce qu’elle soit applicable en pratique, tant pour les entreprises que pour leurs clients.

Le processus législatif prend du temps, mais nous serons à vos côtés à chaque étape, en transformant les évolutions réglementaires en orientations claires et concrètes.

Questions fréquentes

Qu’est-ce que le règlement Digital Omnibus ?

Le Digital Omnibus est une proposition de la Commission européenne qui modifie et harmonise plusieurs lois numériques de l’UE, notamment le RGPD et la directive ePrivacy, afin de réduire la complexité, d’améliorer la cohérence et de moderniser des dispositions obsolètes.

Le règlement Digital Omnibus est-il en vigueur ?

Non. Le Digital Omnibus est encore une proposition à un stade précoce du processus législatif européen. Il pourra être substantiellement modifié avant son adoption. Jusqu’à son entrée en vigueur, les réglementations existantes comme le RGPD continuent de s’appliquer.

Quand le Digital Omnibus deviendra-t-il une loi ?

Aucun calendrier fixe n’est établi. Les procédures législatives européennes prennent généralement 12 à 30 mois. Une fois adopté, le règlement entre en vigueur 20 jours après sa publication. Ses nouvelles obligations s’appliquent progressivement (par exemple, 6 mois pour les nouvelles règles relatives aux cookies, 24 mois pour les signaux de préférence lisibles par machine).

Le Digital Omnibus remplace-t-il le RGPD ?

Non. Le Digital Omnibus modifie et actualise le RGPD sans le remplacer. Il propose des changements à des articles spécifiques, comme les règles relatives au consentement aux cookies et les procédures de notification des violations de données.

Quelles modifications le Digital Omnibus propose-t-il concernant le consentement aux cookies ?

La proposition imposerait des options d’acceptation et de refus en un clic, interdirait de redemander le consentement pendant au moins six mois après un refus, et introduirait des signaux de préférence lisibles par machine. Elle intègre également les règles relatives aux cookies dans le RGPD (nouvel article 88a) et précise les finalités limitées pouvant s’appuyer sur des exceptions au consentement, telles que la mesure d’audience agrégée en première partie et la sécurité.

Aurai-je encore besoin d’un bandeau cookies avec le Digital Omnibus ?

Oui. Les systèmes de gestion du consentement restent indispensables pour gérer les choix des utilisateurs, conserver la preuve du consentement et appliquer correctement les préférences. Ce qui changerait, c’est que certains utilisateurs ayant configuré des préférences au niveau du navigateur ne verraient plus de bandeau, le système lisant leur préférence existante. Toutefois, les fournisseurs de services médias pourraient toujours demander un consentement même en présence d’un signal global de « refus ».

Comment le Digital Omnibus affecte-t-il l’IA et les données personnelles ?

La proposition précise que l’utilisation de données personnelles pour entraîner des systèmes d’IA peut s’appuyer sur l’intérêt légitime au titre de l’article 6, paragraphe 1, point f), sous réserve de garanties strictes : transparence, droit d’opposition inconditionnel et techniques préservant la vie privée. Elle crée un nouvel article 88c du RGPD.

Dois-je faire quelque chose dès maintenant ?

Aucune action immédiate n’est requise. Vos obligations de conformité au titre du RGPD et des autres lois en vigueur demeurent inchangées. Nous vous recommandons de suivre l’évolution de la proposition — nous vous tiendrons informés de tout développement susceptible d’affecter votre travail de conformité.