Envelope Phone
Retour à la liste des articles

Le Digital Omnibus : une proposition de réforme du droit européen du numérique

  • 9 décembre 2025

La Commission européenne a présenté, le 19 novembre 2025, deux propositions de règlements regroupées sous l’appellation de « Digital Omnibus ». L’une porte sur l’adaptation de l’acquis numérique existant – notamment le RGPD, l’ePrivacy, la gouvernance des données et la cybersécurité[1] – et l’autre vise l’encadrement spécifique de l’intelligence artificielle à travers le « Digital Omnibus on AI »[2].

L’objectif affiché est double : simplifier un cadre devenu très fragmenté et harmoniser les règles applicables aux données, aux traitements numériques et aux systèmes d’IA.

Ces textes marquent une évolution notable du droit de la protection des données et du droit de l’IA, avec des incidences directes sur les pratiques des responsables de traitement, des sous-traitants et des éditeurs de solutions numériques.

Le Digital Omnibus on the digital acquis

La proposition de texte prévoit des évolutions du RGPD, et notamment les suivantes.

  • La nouvelle définition de la donnée à caractère personnel

Le projet redéfinit la donnée personnelle en l’indexant sur la capacité réelle et raisonnablement mobilisable d’identification par le responsable de traitement. Une information ne serait qualifiée de donnée personnelle que si la ré-identification est techniquement et juridiquement accessible. Cette évolution s’inscrit dans la continuité de la jurisprudence récente de la Cour de justice de l’Union européenne (CJUE, 4 septembre 2025, aff. C-413/23[3]), qui recentre la notion de donnée personnelle sur la possibilité effective d’identification. Cette redéfinition pourrait exclure du champ du RGPD certaines données pseudonymisées dépourvues de risque raisonnable de ré-identification.

  • La définition de la notion de recherche

Le projet de règlement précise et harmonise la notion de « recherche scientifique » afin de sécuriser juridiquement l’utilisation de données personnelles à des fins de recherche, laquelle s’entend de toute activité de recherche contribuant à l’enrichissement des connaissances existantes ou à leur application innovante, notamment à travers le développement technologique et la démonstration. Elle doit poursuivre un objectif d’intérêt général et de progrès des connaissances, respecter les normes éthiques applicables, sans exclure pour autant l’existence d’une finalité commerciale[4].

Cette clarification est particulièrement attendue dans les secteurs de la santé, de la recherche biomédicale et de l’IA.

  • L’ajout d’exceptions portant sur le traitement de données sensibles

Le texte prévoit également deux nouvelles hypothèses autorisant le traitement de données à caractère personnel : 

(i) Le traitement de données biométriques est autorisé lorsqu’il est strictement nécessaire à la vérification de l’identité d’une personne ; 

(ii) Les traitements peuvent être mis en œuvre dans le cadre du développement et de l’exploitation d’un système d’IA ou d’un modèle d’IA, sous réserve des conditions prévues par l’AI Act. Le texte encadre néanmoins le traitement des données sensibles dans cette dernière hypothèse : le responsable de traitement doit mettre en place des mesures techniques et organisationnelles pour éviter la collecte et le traitement de données sensibles. Si, malgré ces mesures, de telles données sont identifiées dans les jeux de données ou dans le système d’IA, elles doivent être supprimées. Lorsque cette suppression exige des efforts disproportionnés, le responsable doit, à tout le moins, empêcher sans délai leur utilisation, leur divulgation ou leur mise à disposition à des tiers.

  • Le recours à la base légale de l’intérêt légitime

La proposition prévoit explicitement la possibilité de recourir à la base légale de l’intérêt légitime s’agissant du traitement portant sur le développement ou le fonctionnement d’un système ou d’un modèle d’IA. Ce fondement est exclu lorsqu’un texte impose le consentement, ou lorsque les droits et libertés de la personne – en particulier lorsqu’il s’agit d’un enfant – prévalent. Le traitement doit être strictement encadré par des garanties techniques et organisationnelles, fondées notamment sur la minimisation des données. La personne concernée bénéficie en outre d’un droit d’opposition inconditionnel.

Cet ajout suit les recommandations faites par la CNIL au sein de ses lignes directrices du 22 juillet 2025 sur le développement des systèmes d’IA. Après avoir constaté que le consentement étant souvent impossible à collecter en pratique, la CNIL a ainsi indiqué que les acteurs privés devraient analyser s’ils respectent les conditions pour se fonder sur l’intérêt légitime[5].

  • Les notifications de violations de données

Le texte prévoit une harmonisation renforcée des obligations de notification des violations de données personnelles. Par ailleurs, il apporte des changements importants sur les notifications de violations de données : (i) la notification devrait intervenir, le cas échéant, dans un délai de 96 heures, et non plus de 72 heures ; (ii) la notification serait limitée aux seules hypothèses où la violation entraînerait un risque élevé pour les personnes concernées (ce qui constitue donc un alignement du régime de la notification avec celui de l’information des personnes concernées pour ce dernier point).

  • Les modifications du droit à l’information et du droit d’accès 

L’obligation d’information peut être écartée lorsque les données sont collectées dans le cadre d’une relation claire et limitée, non fondée sur un traitement intensif de données, et qu’il existe des moyens sérieux de considérer que la personne dispose déjà des informations essentielles. Elle redevient toutefois obligatoire en cas de transmission à des tiers, de transfert hors UE, de décision automatisée ou de traitement produisant un risque élevé pour les droits et libertés des personnes concernées. En matière de recherche scientifique, l’information peut être écartée en cas d’impossibilité ou d’effort disproportionné, sous réserve de garanties appropriées.

Le droit d’accès fait également l’objet de changements : si le principe selon lequel les exercices de droits gratuits demeure, la proposition de la Commission européenne a intégré une limitation spécifique pour le droit d’accès. Les exceptions classiques en vertu desquelles le responsable de traitement peut appliquer des frais raisonnables en cas de demande manifestement fondée ou excessive sont complétées d’une possibilité pour le responsable de traitement de refuser de donner suite à la demande ou d’appliquer des frais raisonnables lorsque la personne concernée détourne les droits conférés par le RGPD à des fins étrangères à la protection des données.  

  • Les analyses d’impact sur la protection des données (AIPD)

Le Digital Omnibus marque une volonté de standardisation accrue au niveau européen. Dès lors, une proposition de liste de traitement pour lesquels une analyse d’impact doit être réalisée, à l’instar de ce que la Commission Nationale de l’Informatique et des Libertés (CNIL) a fourni en France[6], devrait être réalisée au niveau européen.

Au surplus, la proposition de Digital Omnibus prévoit également d’intégrer les dispositions relatives aux cookies et autres traceurs au sein du RGPD. 

Le Digital Omnibus on AI

  • Le report et l’ajustement de certaines obligations du AI Act

Le texte prévoit que l’application des obligations du chapitre III de l’AI Act pour les systèmes d’IA à haut risque soit liée à la disponibilité de normes harmonisées, de spécifications communes ou de lignes directrices de la Commission. Les exigences ne s’appliqueraient qu’après un délai de 6 mois (Annexe III) ou 12 mois (Annexe I) suivant une décision de la Commission constatant cette disponibilité, avec néanmoins des dates butoirs au 2 décembre 2027 (Annexe III) et au 2 août 2028 au plus tard (Annexe I).

  • L’utilisation encadrée de données sensibles pour la correction des biais

L’AI Act prévoyait d’ores et déjà une exception spécifique permettant le recours à certaines données sensibles lorsqu’elles sont strictement nécessaires à la détection et à la correction des biais dans les systèmes d’IA[7]. Ces éléments sont déplacés afin d’être intégrés à un article dédié. Cette utilisation reste subordonnée à des garanties renforcées (notamment, sécurité, confidentialité, absence de transfert à des tiers, suppression, etc.).

  • Les dispositions sur la maîtrise de l’IA 

L’AI Act prévoyait, en son article 4, une obligation à la charge des déployeurs et des fournisseurs en matière de maîtrise de l’IA, imposant, en pratique, auxdits acteurs de former et sensibiliser leurs équipes en matière d’utilisation et développement de l’IA. Les dispositions de cet article 4 font l’objet d’une proposition de modification, reportant sur la Commission et les États membres la charge d’encourager les fournisseurs et les déployeurs de prendre des mesures pour assurer la maîtrise de l’IA. Une modification qui change ainsi la perspective de l’obligation. 

  • Le développement des bacs à sable réglementaires

Le projet renforce le cadre des « regulatory sandboxes » dédiés à l’IA, en facilitant leur accès pour les petites et moyennes structures et en harmonisant leur fonctionnement au niveau européen. Ces dispositifs doivent permettre de tester des systèmes d’IA innovants dans un environnement juridiquement sécurisé, sous la supervision des autorités compétentes.

Un accompagnement juridique stratégique

Si ces textes apportent des modifications et des simplifications dans des hypothèses bien ciblées, il n’en demeure pas moins que de nombreuses obligations persistent ; les organismes ne doivent dès lors pas prendre ces propositions comme un blanc-seing pour limiter ou réduire leur conformité. Le cabinet peut accompagner les acteurs dans le cadre de la mise en œuvre de leur conformité et de leurs projets IA. 

[1] Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus)

[2] Regulation of the European Parliament and of the Council amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI)

[3] Lien vers le communiqué de Presse de la Cour de justice de l’Union européenne : https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-09/cp250107fr.pdf

[4] Voir nouvelle définition 38 au sein de l’Article 4 du RGPD. 

[5] Voir l’étape 3 des lignes directrices : https://www.cnil.fr/fr/developpement-des-systemes-dia-les-recommandations-de-la-cnil-pour-respecter-le-rgpd

[6] Pour les listes établies par la CNIL s’agissant des traitements pour lesquels une AIPD est requise ou n’est pas requise, voir : https://www.cnil.fr/fr/listes-des-traitements-pour-lesquels-une-aipd-est-requise-ou-non.

[7] Article 10 du RIA. 

VOUS SOUHAITEZ QUE NOUS
TRAVAILLIONS ENSEMBLE ?

Contactez-nous

31 avenue de Castres, 31500 Toulouse

Mentions légales
Politique de confidentialité
Politique de cookies

VOUS SOUHAITEZ QUE NOUS
TRAVAILLIONS ENSEMBLE ?

Contactez-nous
  • 31 avenue de Castres, 31500 Toulouse
Mentions légales
Politique de confidentialité
Politique de cookies

Ce site utilise des cookies et traceurs techniques et de mesure d’audience qui ne nécessitent pas le consentement de l’internaute. Pour en savoir plus sur les cookies et traceurs utilisés, vous pouvez consulter la Politique de cookies.