Digital Omnibus : la position du CEPD (EDPB) et de l’EDPS, point par point

12/02/2026

Le Digital Omnibus est présenté par la Commission européenne comme un texte de simplification du cadre numérique : réduire la charge administrative, renforcer la compétitivité et clarifier certaines obligations. Mais, parce qu’il modifie des briques centrales du RGPD (champ d’application, pseudonymisation, droits, IA, incidents, AIPD, ePrivacy), il suscite une analyse serrée des autorités européennes de protection des données.

Le CEPD (EDPB) et l’EDPS ont publié un avis conjoint 2/2026. Leur message est globalement stable : oui à des simplifications utiles, non à une “simplification” qui affaiblirait la protection ou créerait de l’insécurité juridique.

CEPD et EDPS : de quoi parle-t-on ?

Le CEPD (EDPB) : garantir une application cohérente du RGPD

Le CEPD (en anglais EDPB – European Data Protection Board) réunit les autorités nationales (CNIL, etc.) et vise une application cohérente du RGPD au sein de l’EEE. Il adopte notamment des lignes directrices, rend des avis et peut adopter des décisions contraignantes (mécanisme de cohérence) dans certains cas transfrontaliers.

L’EDPS : l’autorité de contrôle des institutions, organes et agences de l’UE

L’EDPS (European Data Protection Supervisor) supervise le respect des règles de protection des données par les institutions et organes de l’Union, au regard notamment du Règlement (UE) 2018/1725 (souvent appelé “RGPD des institutions”). Il dispose de pouvoirs d’enquête (audits, investigations) et de pouvoirs correctifs (avertissements, injonctions, etc.).

Pourquoi un avis “conjoint” ?

Parce que le Digital Omnibus modifie, en parallèle, le RGPD, le cadre des institutions UE, la directive ePrivacy et une partie de l’“acquis data”. D’où une lecture commune CEPD-EDPS pour apprécier l’impact sur la protection des droits fondamentaux et la sécurité juridique.

Digital Omnibus : dates clés et objectifs

Dates clés récentes

• 19 novembre 2025 : proposition COM(2025) 837 (procédure législative ordinaire).
• 11 février 2026 : publication/communication autour de l’avis (page EDPB).
• 12 février 2026 : synthèse CNIL des messages clés.

Objectifs affichés (Commission)

Simplifier le cadre réglementaire numérique de l’UE, réduire la charge administrative, harmoniser certaines obligations et soutenir la compétitivité.

Pourquoi c’est sensible

Le texte ne se limite pas à des “ajustements” : il touche à des éléments structurants (définition de donnée personnelle, pseudonymisation, transparence, droits, décisions automatisées, incidents, AIPD, ePrivacy/cookies). C’est exactement ce que relève l’avis conjoint.

La position CEPD/EDPS sur les mesures du Digital Omnibus

L’avis conjoint distingue trois familles de modifications :

1. celles qui posent des préoccupations importantes,
2. celles qui vont “dans la bonne direction”,
3. celles qui nécessitent des ajustements.

1) Changements suscitant des préoccupations importantes

Définition de “donnée à caractère personnel” : une ligne rouge

Le CEPD et l’EDPS demandent expressément aux colégislateurs de ne pas adopter les modifications proposées à la définition. Selon eux, elles vont au-delà d’une modification technique, ne reflètent pas fidèlement la jurisprudence CJUE, et aboutiraient à une restriction significative de la notion de donnée personnelle (avec un impact direct sur le niveau de protection).

Pseudonymisation : refus qu’un acte d’exécution “déclasse” des données hors RGPD

Le CEPD et l’EDPS estiment que la Commission ne devrait pas pouvoir décider, par acte d’exécution, de ce qui ne constituerait plus une donnée personnelle après pseudonymisation, car cela affecte directement le champ d’application du droit de l’UE en matière de protection des données.

2) Des pas dans la bonne direction (points plutôt soutenus)

Violations de données : seuil et délai de notification

Le CEPD et l’EDPS sont favorables :

• à l’augmentation du seuil de risque déclenchant l’obligation de notification à l’autorité ;
• et à la prolongation du délai de notification, considérant que cela peut réduire sensiblement la charge administrative sans diminuer la protection.

Modèles et listes communs (violations & AIPD)

Ils jugent “positifs” des modèles/listes communs pour les violations et les AIPD, en logique d’harmonisation et de simplification. (Dans le texte de la proposition, le rôle du CEPD dans la préparation est explicitement mentionné.)

Biométrie : dérogation ciblée pour l’authentification sous contrôle exclusif de la personne

Le CEPD et l’EDPS se félicitent de l’introduction d’une dérogation permettant le traitement de catégories particulières de données à des fins d’authentification biométrique lorsque les moyens de vérification sont sous le contrôle exclusif de la personne.

Recherche scientifique : harmonisation bienvenue

Ils soutiennent l’harmonisation de la notion de “recherche scientifique” et certains ajustements connexes, car cela renforce la sécurité juridique et l’harmonisation.

3) Changements nécessitant des ajustements (approche “oui, mais…”)

IA & intérêt légitime : pas opposés, mais jugent une disposition “spécifique” inutile

Le CEPD et l’EDPS rappellent que l’intérêt légitime peut déjà être utilisé dans certains cas en contexte IA, et n’estiment pas nécessaire d’ajouter une disposition spécifique dans le RGPD sur ce point.

IA & données sensibles : accord sur l’objectif, mais cadrage à renforcer

Ils se félicitent de l’objectif visant une dérogation encadrée couvrant le traitement accidentel et résiduel de données sensibles dans le développement/l’exploitation de systèmes ou modèles d’IA, tout en demandant :

• une clarification du champ,
• et le maintien de garanties sur tout le cycle de vie.

Droit d’accès & “abus”

Ils partagent l’objectif de clarté juridique pour les responsables de traitement face aux abus, mais considèrent que le fait d’exercer un droit d’accès à d’autres fins que la protection des données ne doit pas être un critère déterminant de l’abus.

Transparence : simplifier, oui — sous réserve de sécurité juridique et d’effectivité

Ils se disent favorables à une simplification des obligations d’information (notamment pour les PME), mais demandent des clarifications pour garantir la sécurité juridique et permettre aux personnes d’obtenir une information pertinente quand nécessaire.

Décisions automatisées (art. 22) : clarifications indispensables

Le CEPD et l’EDPS demandent que les modifications sur la décision automatisée soient clarifiées pour être “significatives et juridiquement saines”.

4) Directive ePrivacy : cookie fatigue et solutions techniques (soutien marqué)

Le CEPD et l’EDPS soutiennent fortement l’objectif de réduire la fatigue au consentement et la prolifération des bannières, notamment via des indications automatisées et lisibles par machine des choix des personnes. Ils accueillent aussi favorablement certaines dérogations limitées au principe d’interdiction d’accès/stockage sur terminal, et se félicitent que le contrôle soit confié aux autorités de protection des données.

5) “Acquis data” : intégrations et réutilisation (soutien, avec garde-fous)

Le CEPD et l’EDPS soutiennent l’intégration/simplification de l’acquis en matière de données, tout en recommandant notamment :

• de maintenir la clarté sur l’absence d’obligation automatique d’autoriser la réutilisation par les organismes publics (et l’absence de base juridique “par défaut”) ;
• en cas d’urgence publique, de privilégier le partage sous forme pseudonymisée lorsque l’anonymisation est insuffisante ;
• de préserver des garanties de transparence et de supervision pour les services d’intermédiation et l’altruisme des données.

Ce que les organisations doivent anticiper

Même si le texte est encore en discussion, l’avis conjoint permet d’identifier des zones de vigilance très opérationnelles.

1) Un “risque de bascule” : la définition de donnée personnelle

Si ce point évoluait, l’impact serait systémique (qualification, champ des obligations, registres, AIPD, gouvernance). Or c’est précisément un point sur lequel le CEPD et l’EDPS demandent de ne pas légiférer dans le sens proposé.

2) Pseudonymisation : prudence sur tout raisonnement “hors RGPD”

La contestation de l’idée qu’un acte d’exécution puisse requalifier des données pseudonymisées comme “non personnelles” invite à ne pas bâtir de stratégie conformité sur une “sortie du RGPD” via pseudonymisation.

3) IA : une tendance à l’encadrement pragmatique (mais exigeant)

Deux effets possibles à surveiller :

• la clarification (ou non) autour de l’intérêt légitime en contexte IA ;
• l’encadrement du traitement résiduel de données sensibles, avec des exigences de garanties sur tout le cycle de vie.

4) Incidents et AIPD : standardisation et seuils

Si la réforme avance, il faudra anticiper des ajustements dans les procédures internes (seuil, délai, formats) et possiblement un mouvement de standardisation via modèles/listes communs.

5) Cookies/ePrivacy : évolution technique probable des mécanismes de choix

Si les “signaux” lisibles par machine progressent, cela peut entraîner des impacts concrets (CMP, preuve, paramétrages, documentation, articulation cookies/traceurs).

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus