Digital Omnibus : simplification ou affaiblissement du RGPD ?

Sommaire

La Commission européenne s’apprête à présenter le Digital Omnibus, un ensemble de modifications transversales visant plusieurs piliers du cadre numérique européen : RGPD, Data Act, DGA, ePrivacy et AI Act.
Le discours officiel est clair : réduire la charge administrative (25 % pour les entreprises, 35 % pour les PME) et améliorer la cohérence entre des réglementations devenues difficiles à articuler.

Mais pour les autorités de protection et les ONG spécialisées, ce paquet dépasse la simple “simplification”. Il touche à des équilibres fondamentaux du RGPD, avec des effets directs sur la gouvernance des données, la qualification des traitements, et les exigences applicables aux systèmes d’IA.

1. Une nouvelle base légale pour l’IA : un changement de nature du RGPD

Le projet introduit un nouvel article établissant que le développement, l’entraînement et l’exploitation de systèmes d’IA constituent un intérêt légitime du responsable du traitement.

Ce point est majeur pour trois raisons :

  1. Il rend légitime par défaut des traitements aujourd’hui débattus, notamment l’entraînement de modèles sur des jeux de données contenant des données personnelles.
  2. Il inverse la logique de proportionnalité : le DPO devra démontrer que le risque pour les personnes est supérieur à l’intérêt de développer un système d’IA — ce qui est plus difficile que démontrer l’absence d’intérêt légitime.
  3. Il ouvre la voie à l’utilisation de volumes massifs de données à grande échelle, y compris dans des environnements à fort risque (santé, RH, finance), là où les bases légales actuelles sont restrictives.

Pour les DPO, cela signifie réévaluer :

  • les analyses d’intérêt légitime (LIA),
  • les DPIA spécifiques aux traitements IA,
  • les politiques internes de réutilisation et de minimisation,
  • la documentation sur le versioning et le réentraînement des modèles.

2. Données sensibles : une redéfinition qui réduit la portée de l’article 9

Le projet limite la catégorie des données sensibles aux seules données qui révèlent directement une caractéristique protégée.

Conséquences directes :

  • Les données déduites ou profilées (habitudes, comportements, inférences probabilistes) sortiraient du champ de l’article 9.
  • Cela contredit la position constante de la CJUE et de plusieurs autorités (EDPB incluse), qui considèrent qu’une donnée qui permet de déduire une caractéristique sensible doit être protégée au même niveau.
  • Cette réduction de champ abaisse les exigences sur la base légale, l’information, la minimisation, et les mesures spécifiques de protection.

Impact opérationnel :

  • Les traitements RH, marketing comportemental, scoring et assurance pourraient se retrouver dans des zones “moins contraignantes”.
  • Les organisations devront néanmoins maintenir des mesures renforcées au-delà du minimum légal, pour limiter les risques éthiques et réputationnels.

3. Cookies et ePrivacy : un allégement qui modifie l’économie du consentement

Le Digital Omnibus propose deux évolutions structurantes :

  1. Élargissement des exemptions de consentement (cookies de mesure, sécurité, fonctionnalité augmentée).
  2. Introduction d’un mécanisme de préférences automatisées, transmissibles entre sites et interprétables par les navigateurs.

Ceci peut :

  • réduire la dépendance aux bannières,
  • transférer une partie de la gestion du consentement vers les navigateurs,
  • créer un système hybride entre opt-in et opt-out selon les cas d’usage.

Les DPO devront anticiper :

  • une refonte des CMP,
  • l’adaptation des registres de consentement,
  • un risque d’hétérogénéité des interprétations nationales,
  • des tensions avec les modèles économiques basés sur la publicité ciblée.

4. AI Act : flexibilisation des obligations et risques de contournement

Le Digital Omnibus prévoit :

  • un délai de transition supplémentaire d’un an pour les systèmes à haut risque,
  • un allégement des procédures de classification, permettant à certains acteurs d’auto-reclassifier un système a priori à haut risque.

Cela affaiblit les garde-fous prévus par l’AI Act, en particulier :

  • la transparence,
  • la supervision tierce,
  • la responsabilité en cas de défaillance.

Les DPO devront intégrer ces nouvelles marges de manoeuvre dans leur cartographie des systèmes et leurs matrices de risque, sans perdre de vue l’objectif de conformité réelle.

5. Pour les DPO : une simplification apparente, une complexité accrue

Le Digital Omnibus crée une situation paradoxale :

  • D’un côté, des obligations réduites, plus de flexibilité, des bases légales élargies.
  • De l’autre, une architecture réglementaire plus instable, avec :
    • des dispositions ajoutées dans le RGPD sans réécriture globale,
    • des lignes européennes moins claires,
    • des risques accrus de divergences nationales,
    • la nécessité de réinterpréter plusieurs notions stabilisées depuis 2018.

Le DPO devra ajuster sa veille, revoir ses processus internes, actualiser ses analyses, et former les équipes aux nouvelles marges de manoeuvre… sans que celles-ci deviennent des zones d’ombre.

Conclusion : une simplification politique, un défi technique

Le Digital Omnibus marque un tournant : pour la première fois depuis 2018, le RGPD pourrait être modifié dans sa philosophie, pas seulement dans sa mise en œuvre.

L’Europe veut accélérer sur l’IA et réduire les frictions réglementaires.
Mais cette accélération repose en partie sur un affaiblissement mécanique de la protection des données.

Pour les DPO, la priorité sera simple :
garder un niveau de protection constant dans un cadre juridique qui, lui, pourrait se relâcher.

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Articles et actualités RGPD

Sécurité de l’IA en 2026 : entre souveraineté nationale et alertes mondiales

Sécurité de l’IA en 2026 : entre souveraineté nationale et alertes mondiales

L’INESIA dévoile sa feuille de route, le rapport Bengio sonne l’alarme. Ce que ces deux événements signifient concrètement pour les entreprises françaises.En savoir plus

Digital Omnibus : la position du CEPD (EDPB) et de l’EDPS, point par point

Digital Omnibus : la position du CEPD (EDPB) et de l’EDPS, point par point

Découvrez la position du CEPD (EDPB) et de l’EDPS sur le Digital Omnibus : points d’accord, lignes rouges (définition de donnée personnelle, pseudonymisation), et impacts concrets à anticiper pour les organisations.En savoir plus

Digital Omnibus : 151 M€ de lobbying pour "simplifier" (ou démanteler) le RGPD ?

Digital Omnibus : 151 M€ de lobbying pour "simplifier" (ou démanteler) le RGPD ?

Derrière la « simplification » portée par le Digital Omnibus, 151 M€ de lobbying US menacent le RGPD et l'AI Act. Décryptage d'une dérégulation sous influence.En savoir plus

Indice de Résilience Numérique (IRN) : état des lieux, méthode, portée et implications

Indice de Résilience Numérique (IRN) : état des lieux, méthode, portée et implications

Analyse complète de l’Indice de Résilience Numérique (IRN) : méthode, gouvernance, scoring et labellisation, avec un décryptage stratégique de son articulation avec NIS2, DORA, AI Act, Data Act et Cyber Resilience Act pour piloter la souveraineté et les dépendances numériques.En savoir plus

Afficher plus d'articles

Je souhaite réserver un appel !