Projet Digital Omnibus : une simplification en demi-teinte

La Commission européenne a présenté, ce 19 novembre 2025, son projet Digital Omnibus ayant vocation à simplifier sa législation en matière de données, cybersécurité et intelligence artificielle.

Initialement présenté comme une simplification au bénéfice des petites et moyennes entreprises, on entendait ici ou là que ce projet entraînerait la suppression d’obligations essentielles et lourdes pour les PME, notamment la tenue du registre des activités de traitement.  

Mais à la lecture du texte, un constat s’impose : la simplification promise n’apparaît pas vraiment, tandis que les modifications proposées pourraient être sources de complexités nouvelles pour les responsables de traitement.

À travers son projet de simplification du RGPD, la Commission européenne place au cœur du débat différents sujets, dont neuf sont repris et développés dans son document de travail :  

  • une refonte de la définition de donnée personnelle, qui serait conditionnée à l’existence de moyens raisonnables d’identification ;  

  • la clarification des notions d’anonymisation et pseudonymisation, via la publication d’actes d’exécution sur les moyens et critères d’établissement du caractère personnel de données pseudonymes ;

  • les traitements ultérieurs de données personnelles à des fins de recherche scientifique, qui pourront être considérés d’office comme compatibles avec la finalité initiale poursuivie ;  

  • la validation de possibilités de traitement de données à des fins de développement et d’exploitation de l’intelligence artificielle (IA), par une extension de la base légale de l’intérêt légitime et la création d’une dérogation à l’interdiction de traitement des données sensibles ;  

  • la précision des limites de l’exercice du droit d’accès, en qualifiant toute demande réalisée dans un but autre que la protection des données d’abusive ;

 

  • les contours de l’obligation d’information pesant sur les responsables de traitement, en réécrivant les dérogations à l’obligation d’information au moment de la collecte des données ;  

  • les règles en matière de prise de décision automatisée, avec la disparition du droit des personnes concernées de ne pas faire l’objet d’une telle décision ;  

  • la mise en place d’un seuil uniforme de notification des violations de données aux autorités compétentes et aux personnes concernées, en conditionnant la notification de toute violation à l’existence d’un risque élevé pour les droits et libertés des personnes ; et  

  • la précision de la notion de risque élevé et de l’opportunité de réaliser ou non des analyses d’impact sur la protection des données (AIPD), par la publication d’un modèle, d’une méthode et d’une liste des traitements pour lesquels une AIPD est requise ou non.  

  • Données personnelles et pseudonymisation. Le Digital Omnibus précise les notions de « données personnelles » et de « personne identifiable », qu’il conditionne aux moyens raisonnables susceptibles d’être utilisés pour rendre identifiable directement ou indirectement une personne physique.

Cet ajout, s’inscrit dans la lignée de la décision de la CJUE, CEDP c. CRU, du 4 septembre 2025 qui place les moyens de réidentification au cœur de la notion de pseudonymisation (voir nos articles Anonymisation vs Pseudonymisation quel est le véritable statut des données codées ? et Pseudonymisation : un levier juridique sous conditions), et introduit un élément subjectif dans la qualification des données personnelles.  

Cette modification entraînerait une application asymétrique du texte face aux données pseudonymisées qui seront considérées comme personnelles ou anonymes selon les situations et les moyens de réidentification à disposition des entités, et mettrait à la charge des acteurs un travail supplémentaire de détermination de l’application du RGPD via des analyses au cas par cas.  

Toutefois, les responsables de traitement seraient a priori accompagnés dans cette analyse, via l’adoption future par la Commission européenne d’actes d’exécution précisant les moyens et critères pour déterminer si les données issues de la pseudonymisation constituent, ou non, des données personnelles.  

  • Transparence et obligation d’information. La Commission européenne prévoit que l’obligation d’information au moment de la collecte ne s’applique pas lorsque les données ont été collectées dans le cadre d’une relation claire et circonscrite entre la personne concernée et le responsable de traitement, pour une activité de traitement non intensive, et lorsqu’il existe des motifs raisonnables de penser que la personne concernée dispose déjà des informations.  

Le Digital Omnibus crée également un nouvel article destiné aux traitements réalisés à des fins de recherches scientifiques, et prévoit une dérogation à l’obligation d’information dès lors que sa mise en œuvre s’avèrerait impossible, impliquerait un effort disproportionné, ou rendrait impossible ou compromettrait gravement la réalisation des objectifs du traitement.  

S’agissant de la recherche scientifique, le Digital Omnibus va d’ailleurs plus loin en intégrant une définition du terme, et en considérant comme compatible avec la finalité initiale les traitements ultérieurs à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques.  

  • Droit d’accès. Le Digital Omnibus modifie également les contours du droit d’accès, en qualifiant d’abusives les demandes d’accès réalisées dans un but autre que celui de la protection des données.

Ces propositions de modification font directement écho aux débats sur l’étendue du droit d’accès, et sur sa conciliation avec la constitution de preuves avant tout procès (voir nos articles Données personnelles et preuve en droit du travail : la Cour de cassation affine sa position et Droit d’accès des salariés : levier ou dérive ?), mais aussi, et surtout, aux demandes réalisées dans le seul but d’obtenir le versement de dommages-intérêts sous la menace d’une action judiciaire.

Ainsi, les responsables de traitement disposeraient d’une plus grande marge de manœuvre pour refuser de faire droit aux demandes d’accès, et ce malgré l’inquiétude de certains acteurs qui dénoncent des restrictions au détriment des personnes concernées pour qui le droit d’accès est le reflet d’une mise à égalité en matière de détention d’informations.  

  • Disparition du droit de ne pas faire l’objet d’une décision automatisée. Le Digital Omnibus ne fait plus que viser explicitement les cas dans lesquels une décision peut être fondée uniquement sur un traitement automatisé (nécessaire à l’exécution d’un contrat, autorisé par une législation appropriée, fondé sur le consentement de la personne concernée).  

  • Intelligence artificielle. Parmi les modifications majeures proposées, le Digital Omnibus ouvre les portes du RGPD à l’IA :  

  • en introduisant parmi les dérogations à l’interdiction de traiter des données sensibles, les traitements réalisés à des fins de développement et d’exploitation d’un système ou d’un modèle d’IA ; et  

  • en étendant la base légale de l’intérêt légitime aux traitements de données personnelles nécessaires aux intérêts du responsable de traitement dans le cadre du développement et de l’exploitation d’un système ou d’un modèle d’IA.  

Les acteurs du marché bénéficieraient d’une possibilité élargie de traiter les données personnelles de leurs clients, utilisateurs, employés, et autres tiers, pour développer et améliorer leurs systèmes et modèles d’IA, à condition de satisfaire à l’exigence de proportionnalité du traitement.  

  • Données sensibles. Le Digital Omnibus créé également une dérogation à l’interdiction de traiter les données biométriques lorsque leur traitement est nécessaire pour confirmer l’identité d’une personne concernée et que ces données ou les moyens nécessaires à la vérification sont sous le contrôle exclusif de la personne concernée.  

  • Cookies : plus besoin de consentement lorsque le traitement est nécessaire pour permettre la transmission de communications électroniques, fournir un service explicitement demandé par la personne concernée, créer des données agrégées d’audience sur l’usage d’un service en ligne, ou maintenir et restaurer la sécurité d’un service.  

  • Violation de données. Le Digital Omnibus augmente le délai de notification auprès des autorités compétentes à 96 heures, au lieu de 72h actuellement, et annonce la publication par la Commission européenne, dans les 9 mois d’entrée en vigueur du Digital Omnibus, d’une liste des circonstances permettant de caractériser une violation comme présentant un risque élevé pour les droits et libertés des personnes.  

  • AIPD. De la même manière, la Commission européenne s’engage à, publier une liste des activités de traitements pour lesquelles une AIPD est requise, ou non, ainsi qu’un modèle et une méthodologie commune pour conduire ces analyses.  

Ainsi les grands principes de protection des données personnelles demeurent et le texte n’apporterait que des précisions, pour certaines déjà actées par la CJUE, ou des exceptions qui entraîneront des analyses supplémentaires pour les responsables de traitement et les sous-traitants.  

Au final, l’apport majeur de cette proposition est de faire un pas clair en faveur des acteurs de l’IA pour développer et exploiter leurs systèmes et modèles d’intelligence artificielle en s'affranchissant des contraintes liées à la règlementation liée aux données personnelles.

Simple proposition, le Digital Omnibus doit encore être adopté par le Parlement européen et le Conseil de l’Union européenne avant toute entrée en vigueur, et est actuellement soumis à consultation publique jusqu’au 11 mars 2026.

Pour toute question ou besoin d’accompagnement, n’hésitez pas à contacter notre équipe IT/Data !  

Jeannie Mongouachon, avocate associée et Juliette Lobstein, avocate collaboratrice chez Squair

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
1er décembre 2025
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité