La Commission européenne a publié le 19 novembre 2025 sa proposition de règlement « Digital Omnibus », visant à harmoniser et simplifier le cadre numérique européen afin d’en renforcer la compétitivité. Ce texte prévoit la révision d’une grande partie des législations européennes liées au numérique et notamment du RGPD. Les principales modifications suivantes sont envisagées dans le projet de règlement.
Précision de la définition des données à caractère personnel en cas de pseudonymisation
La proposition prévoit qu’une information ne devrait pas être considérée comme une donnée à caractère personnel si l’entité qui en dispose ne dispose pas de moyens raisonnablement susceptibles d’identifier la personne concernée. Cette précision reprend la solution de l’arrêt de la CJUE du 4 septembre 2025[1].
Par ailleurs, le texte prévoit la possibilité pour la Commission, conjointement avec le CEPD, d’assister les responsables de traitement dans la qualification de données à caractère personnel des données pseudonymisées : des actes d’exécution pourront préciser les moyens et critères pertinents, incluant l’état de l’art des techniques disponibles et l’évaluation du risque de réidentification.
Cette précision de la définition de donnée à caractère personnel devrait venir limiter le champ d’application du RGPD et apporter une certaine souplesse pour certains traitements portant sur des données considérées comme non personnelles en application de cette nouvelle définition.
Introduction de nouvelles exceptions au traitement de données sensibles
L'article 9 du RGPD prévoit une interdiction expresse du traitement de données dites « sensibles » sauf dans des cas très limités qu’il énumère.
La proposition de règlement apporte quelques aménagements à cette interdiction.
En matière de données biométriques, le traitement serait exempté lorsqu’il est nécessaire pour confirmer l’identité de la personne concernée et que les données et moyens de vérification sont sous le contrôle exclusif de cette personne.
En matière d’intelligence artificielle, une exception est prévue pour le traitement résiduel des données sensibles dans le cadre du développement et du fonctionnement d’un système ou modèle d’IA, sous réserve de mesures techniques et organisationnelles adaptées pour éviter la collecte de telles données. Si malgré ces mesures, des données sensibles auraient été identifiées, le responsable du traitement devra les supprimer.
Clarification de la notion de droit d’accès
Lorsque le droit d’accès est exercé de manière abusive à des fins autres que la protection des données personnelles, le responsable de traitement pourra refuser de donner suite à la demande ou facturer des frais raisonnables. Cette nouvelle possibilité de refus devrait limiter les réponses aux demandes de droit d’accès émanant notamment d’anciens salariés souhaitant obtenir des informations dans le cadre d’un contentieux.
Cela fait écho à certaines décisions de jurisprudence relatives au droit d’accès[2].
Les conditions permettant de démontrer qu’une demande d’accès est excessive seraient également précisées.
Bien que les contours de ce droit essentiel du RGPD aient déjà été clarifiés par le CEPD[3], les nouvelles précisions seront bienvenues tant ce droit semble régulièrement exercé à des fins étrangères à sa finalité initiale. A noter que les demandes trop générales et imprécises seraient considérées comme excessives[4].
Suppression de l’obligation d’information dans certaines situations
L’obligation d’information prévue à l’article 13 du RGPD pourrait être supprimée lorsque l’on pourrait raisonnablement supposer que la personne concernée dispose déjà de l’information en cause.
Cela s’appliquerait notamment aux données collectées dans le cadre d’une relation claire et circonscrite, avec une activité qui n’est pas fondée sur la donnée (non data-intensive). Une activité non « data-intensive » est une activité collectant une faible quantité de données ; sont exclues de ces activités, les traitements relatifs à l’emploi par exemple.
Cette suppression ne s’appliquerait cependant pas lorsque les données sont transmises à d’autres destinataires, transférées vers un pays tiers, utilisées pour effectuer une prise de décision automatisée ou si le traitement est susceptible d’entraîner un risque élevé pour les droits des personnes concernées.
L’objectif de cette suppression est d’alléger la charge d’information pour les plus petites structures.
Modification des exigences relatives à la prise de décision individuelle automatisée
L’interdiction de ce type de traitement, prévue à l’actuel article 22 du RGPD, serait supprimée, permettant d’y recourir uniquement dans le cadre de l’exécution d’un contrat, d’une autorisation légale ou avec le consentement explicite de la personne concernée.
Evolution des règles en matière de violation de données
Les obligations de notification des violations de données représentent souvent une contrainte importante pour les organismes ayant subi une telle violation. Le projet de règlement prévoit ici un certain allègement de ce mécanisme.
La notification ne serait requise que si la violation présente un risque élevé pour les droits de la personne concernée, ce qui alignerait l’obligation de notification avec l’obligation de communication aux personnes concernées. De plus, le délai de notification passerait de 72 à 96 heures.
Cet allègement pose la question de la notion de « risque élevé ». En effet, sans critères définis, une analyse au cas par cas devra toujours être effectuée par les responsables de traitement, en prenant en compte les éléments d’évaluation préconisés par le CEPD[5].
Le projet envisage également l’utilisation d’un guichet unique lors de la notification des violations de données à l’autorité de contrôle, afin d’alléger la charge « administrative » des notifications à plusieurs autorités en cas de violation transfrontalière.
Enfin, le CEPD serait tenu de préparer un modèle commun pour les notifications de violations de données, harmonisant ainsi les procédures au niveau européen. En effet, à ce jour, en cas de notification dans plusieurs juridictions, les informations demandées par les autorités de contrôle peuvent varier. Le modèle européen simplifierait la procédure pour les responsables de traitement.
Harmonisation des listes d’activités de traitement nécessitant ou non une AIPD
Une liste unique d’activités de traitement nécessitant ou non une analyse d’impact relative à la protection des données devrait être établie au niveau européen permettant d’harmoniser la notion de risque élevé. Le CEPD serait chargé de proposer ces listes ainsi qu’un modèle commun et une méthodologie commune pour la réalisation des AIPD.
A noter qu’au niveau français, ces listes ont déjà été établies par la CNIL notamment avec l’outil permettant la réalisation d’AIPD[6].
Intégration des dispositions en matière de cookies.
Les règles sur les cookies de la directive ePrivacy devraient être intégrées au sein du RGPD ; le consentement de l’utilisateur devrait être simplifié via un bouton à clic unique afin d’améliorer son expérience en ligne. Deux nouveaux articles devraient être ajoutés (88 bis et ter) prévoyant notamment l’exigence d’un consentement pour le stockage ou l’accès à des données personnelles sur le terminal de la personne soumettant ce traitement au RGPD.
Possibilité de se fonder sur l’intérêt légitime pour le développement et le fonctionnement de l’IA
Lorsque le traitement de données personnelles est nécessaire aux intérêts du responsable du traitement pour développer ou exploiter un système ou modèle d’IA, ce dernier pourrait s’appuyer sur la base légale de l’intérêt légitime (excepté lorsque la loi exige le consentement de la personne concernée), à condition de mettre en place des mesures techniques et organisationnelles protégeant les droits des personnes concernées.
Cette mesure s’inscrit de toute évidence dans une volonté de favoriser l’émergence des sociétés développant des solutions d’intelligence artificielle au sein de l’Union européenne.
Ce projet doit désormais être soumis au Parlement européen et au Conseil pour discussions avant sa potentielle adoption définitive en 2026.
Points-clés :
- Le paquet de simplification tech ou « Digital Omnibus » a été présenté par la Commission européenne le 19 novembre 2025.
- Cette proposition de règlement prévoit de nombreuses évolutions en matière de données personnelles.
- Ces évolutions devraient permettre de simplifier des procédures souvent fastidieuses et d’alléger (ou à tout le moins préciser) certaines obligations des responsables de traitement. On ne peut qu’espérer leur mise en œuvre opérationnelle rapide.
[1] CJUE, 4 septembre 2025, C-413/23 P, point 86
[2] Par exemple : Tribunal administratif fédéral autrichien, W137 2278780-1, 8 juillet 2024 – dans cette décision, l’intérêt de l’employeur à la confidentialité des courriels l’emportait sur l’intérêt du demandeur du fait de la procédure en cours.
[3] Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès, CEPD
[4] Page 11 du projet “Overly broad and undifferentiated requests should also be regarded as excessive.”
[5] Lignes directrices 9/2022 sur la notification de violations de données à caractère personnel en vertu du RGPD, CEPD.
[6] https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Article paru dans Option finance le 4 décembre 2025
