La Commission européenne a présenté le 19 novembre 2025 un paquet législatif dit Digital Omnibus, visant à simplifier le droit numérique européen — y compris le Règlement Général sur la Protection des Données, ou RGPD — afin d’éclaircir certaines règles et de favoriser l’innovation. 

Les principales modifications envisagées sont les suivantes :

Définition des données personnelles. Pour un acteur donné, des données pseudonymisées ne seraient plus automatiquement “personnelles” si cet acteur ne dispose pas de moyens raisonnablement susceptibles d’identifier la personne concernée. Autrement dit, la qualification de “donnée personnelle” deviendrait dépendante de la capacité d’identification réelle du destinataire. De nombreux traitements pourraient ainsi entièrement sortir du champ du RGPD.

Traitement de données sensibles par l’Intelligence Artificielle. Dans le cadre du développement ou de l’exploitation d’un système d’intelligence artificielle, le Digital Omnibus prévoit une dérogation — sous conditions — à l’interdiction générale de traitement des “catégories particulières” de données (comme les données de santé, biométriques, etc.). Cette possibilité s’accompagne de garanties (mesures techniques et organisationnelles, minimisation, suppression des données sensibles identifiées, sauf si la suppression est disproportionnée). De plus, le paquet explicite que la base légale de l’“intérêt légitime” peut être utilisé pour justifier certains traitements de données personnelles liés à l’IA.

Allègement des obligations d’information. Le projet introduit également la possibilité, pour certaines activités peu intrusives ou non intensives en données, de dispenser le responsable du traitement d’une obligation d’information, dès lors qu’il existe des motifs raisonnables pour penser que la personne concernée est déjà informée.

Cookies et consentement. Le Digital Omnibus entend intégrer dans le RGPD certaines règles de la directive e-Privacy : les règles relatives aux cookies et technologies similaires seraient modernisées, avec des exceptions pour certains usages (analyses statistiques, sécurité, audience propre) et la possibilité de recourir à des préférences unifiées, paramétrées dans le navigateur internet plutôt que sur chaque site. L’objectif affiché est de simplifier le recueil du consentement et de limiter l’irritation causée par le bombardement constant de bannières cookies.

Notification des incidents. Le projet prévoit un guichet unique au niveau européen pour la notification des incidents, obligatoire selon plusieurs textes (directive NIS 2, RGPD, etc.), une harmonisation des procédures, et un relèvement du seuil déclenchant l’obligation de notification — seuls les incidents à “risque élevé” devant être signalés, dans un délai étendu.

Dans l’ensemble, l’objectif de simplification et de compétitivité économique est affiché : les entreprises pourraient voir certaines obligations de conformité allégées — notamment en matière d’information des personnes, de cookies, et d’utilisation de données pseudonymisées — ce qui simplifierait les processus internes. Toutefois, la réduction de la portée du concept de “donnée personnelle” pourrait, pour certains acteurs, limiter l’application du RGPD et affaiblir la protection des personnes concernées, notamment en matière de droits d’accès, rectification ou suppression.

Les simplifications en matière de réglementation de l’usage de l’IA visent également à faciliter l’innovation tout en respectant un encadrement. Mais cette ouverture pose un défi d’équilibre et soulève des enjeux sérieux en matière de respect des libertés fondamentales, compte tenu des risques liés aux biais, à la discrimination et à la ré-identification. Cette ouverture doit être appréhendée conjointement avec les obligations du Règlement sur l’Intelligence artificielle. 

En l’état, le Digital Omnibus semble marquer un tournant important dans l’évolution du droit de la donnée en Europe — mais le texte sera probablement amené à évoluer avant son entrée en vigueur. Il doit désormais être examiné par le Parlement européen et le Conseil de l’Union européenne.

Le département Contrats informatiques, données & conformité peut vous accompagne dans la gestion de votre conformité en matière de données personnelles.

Pour toute question, n’hésitez pas à nous contacter.