Digital Omnibus : simplification ou affaiblissement du RGPD ?

Sommaire

La Commission européenne s’apprête à présenter le Digital Omnibus, un ensemble de modifications transversales visant plusieurs piliers du cadre numérique européen : RGPD, Data Act, DGA, ePrivacy et AI Act.
Le discours officiel est clair : réduire la charge administrative (25 % pour les entreprises, 35 % pour les PME) et améliorer la cohérence entre des réglementations devenues difficiles à articuler.

Mais pour les autorités de protection et les ONG spécialisées, ce paquet dépasse la simple “simplification”. Il touche à des équilibres fondamentaux du RGPD, avec des effets directs sur la gouvernance des données, la qualification des traitements, et les exigences applicables aux systèmes d’IA.

1. Une nouvelle base légale pour l’IA : un changement de nature du RGPD

Le projet introduit un nouvel article établissant que le développement, l’entraînement et l’exploitation de systèmes d’IA constituent un intérêt légitime du responsable du traitement.

Ce point est majeur pour trois raisons :

  1. Il rend légitime par défaut des traitements aujourd’hui débattus, notamment l’entraînement de modèles sur des jeux de données contenant des données personnelles.
  2. Il inverse la logique de proportionnalité : le DPO devra démontrer que le risque pour les personnes est supérieur à l’intérêt de développer un système d’IA — ce qui est plus difficile que démontrer l’absence d’intérêt légitime.
  3. Il ouvre la voie à l’utilisation de volumes massifs de données à grande échelle, y compris dans des environnements à fort risque (santé, RH, finance), là où les bases légales actuelles sont restrictives.

Pour les DPO, cela signifie réévaluer :

  • les analyses d’intérêt légitime (LIA),
  • les DPIA spécifiques aux traitements IA,
  • les politiques internes de réutilisation et de minimisation,
  • la documentation sur le versioning et le réentraînement des modèles.

2. Données sensibles : une redéfinition qui réduit la portée de l’article 9

Le projet limite la catégorie des données sensibles aux seules données qui révèlent directement une caractéristique protégée.

Conséquences directes :

  • Les données déduites ou profilées (habitudes, comportements, inférences probabilistes) sortiraient du champ de l’article 9.
  • Cela contredit la position constante de la CJUE et de plusieurs autorités (EDPB incluse), qui considèrent qu’une donnée qui permet de déduire une caractéristique sensible doit être protégée au même niveau.
  • Cette réduction de champ abaisse les exigences sur la base légale, l’information, la minimisation, et les mesures spécifiques de protection.

Impact opérationnel :

  • Les traitements RH, marketing comportemental, scoring et assurance pourraient se retrouver dans des zones “moins contraignantes”.
  • Les organisations devront néanmoins maintenir des mesures renforcées au-delà du minimum légal, pour limiter les risques éthiques et réputationnels.

3. Cookies et ePrivacy : un allégement qui modifie l’économie du consentement

Le Digital Omnibus propose deux évolutions structurantes :

  1. Élargissement des exemptions de consentement (cookies de mesure, sécurité, fonctionnalité augmentée).
  2. Introduction d’un mécanisme de préférences automatisées, transmissibles entre sites et interprétables par les navigateurs.

Ceci peut :

  • réduire la dépendance aux bannières,
  • transférer une partie de la gestion du consentement vers les navigateurs,
  • créer un système hybride entre opt-in et opt-out selon les cas d’usage.

Les DPO devront anticiper :

  • une refonte des CMP,
  • l’adaptation des registres de consentement,
  • un risque d’hétérogénéité des interprétations nationales,
  • des tensions avec les modèles économiques basés sur la publicité ciblée.

4. AI Act : flexibilisation des obligations et risques de contournement

Le Digital Omnibus prévoit :

  • un délai de transition supplémentaire d’un an pour les systèmes à haut risque,
  • un allégement des procédures de classification, permettant à certains acteurs d’auto-reclassifier un système a priori à haut risque.

Cela affaiblit les garde-fous prévus par l’AI Act, en particulier :

  • la transparence,
  • la supervision tierce,
  • la responsabilité en cas de défaillance.

Les DPO devront intégrer ces nouvelles marges de manoeuvre dans leur cartographie des systèmes et leurs matrices de risque, sans perdre de vue l’objectif de conformité réelle.

5. Pour les DPO : une simplification apparente, une complexité accrue

Le Digital Omnibus crée une situation paradoxale :

  • D’un côté, des obligations réduites, plus de flexibilité, des bases légales élargies.
  • De l’autre, une architecture réglementaire plus instable, avec :
    • des dispositions ajoutées dans le RGPD sans réécriture globale,
    • des lignes européennes moins claires,
    • des risques accrus de divergences nationales,
    • la nécessité de réinterpréter plusieurs notions stabilisées depuis 2018.

Le DPO devra ajuster sa veille, revoir ses processus internes, actualiser ses analyses, et former les équipes aux nouvelles marges de manoeuvre… sans que celles-ci deviennent des zones d’ombre.

Conclusion : une simplification politique, un défi technique

Le Digital Omnibus marque un tournant : pour la première fois depuis 2018, le RGPD pourrait être modifié dans sa philosophie, pas seulement dans sa mise en œuvre.

L’Europe veut accélérer sur l’IA et réduire les frictions réglementaires.
Mais cette accélération repose en partie sur un affaiblissement mécanique de la protection des données.

Pour les DPO, la priorité sera simple :
garder un niveau de protection constant dans un cadre juridique qui, lui, pourrait se relâcher.

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Articles et actualités RGPD

Digital Omnibus : simplification ou affaiblissement du RGPD ?

Digital Omnibus : simplification ou affaiblissement du RGPD ?

Le Digital Omnibus pourrait modifier en profondeur le RGPD et la gestion des données personnelles. Découvrez les enjeux clés pour la conformité, les DPO et les organisations.En savoir plus

Géolocalisation des véhicules professionnels : cadre légal, limites et risques pour l’entreprise (RGPD & droit du travail)

Géolocalisation des véhicules professionnels : cadre légal, limites et risques pour l’entreprise (RGPD & droit du travail)

Découvrez ce que dit réellement la loi sur la géolocalisation des salariés : usages autorisés, limites fixées par le RGPD et le Code du travail, et risques pour l’employeur en cas d’abus.En savoir plus

RGPD et décès : comment les organismes doivent-ils gérer les données des défunts ?

RGPD et décès : comment les organismes doivent-ils gérer les données des défunts ?

Le RGPD ne protège que les vivants, mais la loi française prévoit un cadre pour les données post-mortem. Responsables de traitement : comment informer, anticiper et gérer les données d’une personne décédée ?En savoir plus

CNIL, RGPD et publicité ciblée : faut-il repenser le modèle économique du web ?

CNIL, RGPD et publicité ciblée : faut-il repenser le modèle économique du web ?

Entre gratuité des services et protection des données personnelles, de plus en plus d’internautes se demandent s’ils doivent payer pour éviter la publicité ciblée. Que révèle la dernière étude de la CNIL ? Quelles sont les vraies alternatives ?En savoir plus

Afficher plus d'articles

Je souhaite réserver un appel !