Paquet « Digital Omnibus » : état des lieux de la simplification du cadre numérique européen

Proposé par la Commission européenne le 19 novembre 2025, le paquet « Digital Omnibus » constitue un chantier de simplification réglementaire ambitieux. Porté par les conclusions des rapports Draghi et Letta sur la compétitivité européenne, il se compose de deux propositions de règlement distinctes : l’une spécifiquement dédiée à l’intelligence artificielle, l’autre portant sur l’acquis numérique existant, notamment le RGPD, l’ePrivacy, la gouvernance des données et la cybersécurité. L’objectif affiché est double : réduire la charge administrative pesant sur les organisations et aligner les calendriers réglementaires sur la réalité opérationnelle des acteurs.

I. Le contexte : une décennie de textes numériques à harmoniser

Depuis 2016, l’Union européenne a bâti un édifice normatif dense : RGPD^[1], Data Governance Act^[2], Data Act^[3], DMA^[4], DSA^[5], Cyber Resilience Act^[6], NIS 2, AI Act^[7]. Chacun de ces textes poursuit des objectifs légitimes, mais leur superposition a engendré des redondances, et une charge de conformité significative, particulièrement pour les acteurs de taille intermédiaire.

C’est pour répondre à cette critique structurelle que la Commission a engagé une procédure accélérée de révision groupée, au risque, soulevé par le Contrôleur européen de la protection des données (CEPD)^[8], de sacrifier la rigueur de l’analyse d’impact à la rapidité politique.

II. L’Omnibus IA : assouplissement et report de l’AI Act (Règlement IA)

(Prop. Reg. (UE), COM(2025) 836 final)

A. Un accord provisoire obtenu après de complexes négociations

Après l’échec d’un premier trilogue le 29 avril 2026, le Parlement européen et le Conseil de l’UE sont parvenus, dans la nuit du 6 au 7 mai 2026, à un accord provisoire sur la simplification de l’AI Act. Le texte doit encore être formellement adopté par les colégislateurs avant d’être publié au Journal officiel de l’UE.

B. Le report des obligations applicables aux systèmes à haut risque

L’accord provisoire acte le report des obligations applicables aux systèmes d’IA à haut risque. Deux nouvelles échéances sont fixées :

2 décembre 2027 pour les systèmes à haut risque autonomes listés à l’Annexe III (biométrie, éducation, emploi, services essentiels, forces de l’ordre, justice, gestion des frontières…) ;
2 août 2028 pour les systèmes d’IA intégrés dans des produits soumis à des règles sectorielles de sécurité (dispositifs médicaux, machines, jouets).

En revanche, la période de transition pour le marquage des contenus générés par l’IA a été raccourcie : l’échéance passe du 2 février 2027 au 2 décembre 2026.

C. L’interdiction des applications de « nudification »

Le Parlement européen a obtenu l’introduction d’une interdiction explicite des systèmes d’IA de « nudification », c’est-à-dire des outils permettant de créer ou manipuler des images sexuellement explicites représentant une personne identifiable sans son consentement. L’interdiction vise non seulement la mise sur le marché de tels systèmes, mais également les modèles d’IA à usage général qui n’adopteraient pas de mesures suffisantes pour prévenir la génération de ce type de contenu.

D. L’extension des exemptions à certaines entreprises

L’Omnibus IA prévoit d’étendre aux entreprises « small and mid‑caps » (définie au niveau européen comme incluant notamment des sociétés pouvant atteindre environ 200 millions d’euros de chiffre d’affaires) les mesures d’allègement initialement prévues pour les PME dans le cadre de l’AI Act, notamment en matière de documentation technique, de conformité et d’accès aux bacs à sable réglementaires. Cette mesure vise à soutenir les entreprises en phase de croissance, en réduisant le passage brutal de régime entre PME et grandes entreprises.

E. La détection et correction des biais : une ouverture encadrée au traitement de données personnelles

L’accord autorise les fournisseurs de systèmes d’IA à traiter des données à caractère personnel aux seules fins de détecter et corriger des biais, y compris pour des systèmes non classés à haut risque. Des garanties spécifiques encadrent ce traitement, qui reste limité au strict nécessaire.

III. L’Omnibus portant sur l’adaptation de l’acquis numérique existant, notamment le RGPD, l’ePrivacy, la gouvernance des données et la cybersécurité

Prop. Reg. (UE), COM(2025) 837 final, 2025/0360 (COD)

A. La révision du RGPD : vers une définition subjective de la donnée personnelle

La mesure la plus structurante, mais aussi la plus controversée, consiste à modifier la définition même de la donnée à caractère personnel. S’inspirant d’un arrêt de la Cour de justice de l’UE du 4 septembre 2025 ^[9], la Commission propose une approche subjective : la qualification de donnée personnelle dépendrait désormais de la capacité réelle de son détenteur à identifier la personne concernée, et non d’une appréciation abstraite. En pratique, les données pseudonymisées ne seraient plus systématiquement traitées comme des données personnelles, ce qui faciliterait leur utilisation pour l’entraînement des modèles d’IA.

Par ailleurs, l’intérêt légitime pourrait être invoqué comme base légale pour l’entraînement des modèles d’IA, sous réserve du respect de conditions définies par la Commission, une évolution significative par rapport à la pratique actuelle des autorités de contrôle.

B. La simplification de la gestion des cookies

La proposition prévoit d’intégrer directement les règles relatives aux cookies et au suivi au sein du RGPD, via l’introduction d’un nouvel article 88a, mettant ainsi fin à la dépendance actuelle à la directive ePrivacy pour le recueil du consentement. Ce nouvel article ne supprime pas l’exigence de consentement, mais établit une liste limitative de finalités à faible risque pour lesquelles celui-ci ne serait plus nécessaire, tandis qu’il reste obligatoire pour les usages tels que la publicité ou la personnalisation. Plusieurs mesures visent à améliorer concrètement l’expérience des utilisateurs : le refus du consentement devra pouvoir s’effectuer en un seul clic, de manière simple et claire. Par ailleurs, lorsqu’un utilisateur refuse, le site ne pourra pas le solliciter à nouveau pour la même finalité pendant une période d’au moins six mois. Enfin, les options d’acceptation et de refus devront être présentées avec une visibilité équivalente, afin d’éviter les interfaces biaisées et de garantir un choix réellement libre.^[10]

C. La notification des incidents de cybersécurité : un guichet unique

Pour les organisations soumises à NIS 2^[11] (entités essentielles et importantes, parmi lesquelles peuvent notamment figurer des administrations et des collectivités territoriales), la multiplication des obligations de notification aux différentes autorités nationales constitue une charge opérationnelle réelle. L’Omnibus numérique propose la création d’un guichet unique de déclaration des incidents de cybersécurité, permettant d’éviter des signalements redondants à plusieurs régulateurs.

D. La consolidation du droit des données

Le texte prévoit la fusion de quatre instruments législatifs au sein du Data Act révisé, qui absorberait le Free Flow of Data Regulation^[12], la directive Open Data^[13] et le Data Governance Act. Cette consolidation vise à faire du Data Act le texte de référence unique pour le droit des données non personnelles, tandis que le RGPD resterait le pilier du droit des données personnelles.

IV. État d’avancement et perspectives

Si l’accord provisoire sur l’Omnibus IA constitue une avancée notable, le processus législatif reste inachevé. L’Omnibus portant sur l’adaptation de l’acquis numérique existant, notamment le RGPD, l’ePrivacy, la gouvernance des données et la cybersécurité fait encore l’objet de trilogue et concentre désormais l’attention des négociateurs. Les avis conjoints rendus par le CEPD et l’EDPS soulignent les risques d’affaiblissement des garanties fondamentales du RGPD, en particulier s’agissant de la redéfinition de la notion de données personnelles et de l’élargissement de la base légale de l’intérêt légitime pour l’entraînement de l’IA.

Pour les organisations, l’Omnibus ouvre une période d’incertitude réglementaire : les textes en vigueur restent applicables jusqu’à l’entrée en force des révisions, mais les orientations de conformité peuvent évoluer sensiblement à l’issue des négociations. Une veille active des organisations, qu’elles soient publiques ou privées, s’impose.

_____

[1] RÈGLEMENT (UE) 2016/ 679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] RÈGLEMENT (UE) 2022/868 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 30 mai 2022

[3] RÈGLEMENT (UE) 2023/2854 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 13 décembre 2023

[4] RÈGLEMENT (UE) 2022/1925 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 14 septembre 2022, Digital Market Act

[5] RÈGLEMENT (UE) 2022/2065 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 19 octobre 2022

[6] RÈGLEMENT (UE) 2024/2847 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 octobre 2024

[7] RÈGLEMENT (UE) 2024/1689 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 13 juin 2024

[8] Omnibus numérique : le CEPD et l’EDPS soutiennent la simplification et la compétitivité tout en soulevant des préoccupations majeures | CNIL

[9] CJUE 4 septembre 2025 (aff. C-413/23 P)

[10] EU Digital Omnibus: Single-Click Reject Cookie Rules

[11] DIRECTIVE (UE) 2022/2555 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 14 décembre 2022