Digital Omnibus : La révolution silencieuse du cadre numérique européen
Entre Simplification et Transformation
Le 19 novembre 2025 a marqué un tournant dans l'histoire de la régulation numérique européenne. La Commission européenne a officiellement présenté le Digital Omnibus, un ensemble législatif ambitieux qui modifie simultanément plusieurs textes fondamentaux : le RGPD, l'AI Act, la directive ePrivacy, le Data Act, et NIS2. Loin d'être un simple ajustement technique, cette réforme constitue une réponse stratégique aux tensions croissantes entre protection des données et innovation technologique.
Après des semaines de spéculations et de fuites médiatiques ayant alimenté une véritable panique collective dans l'écosystème de la conformité, le texte officiel dissipe les craintes les plus alarmistes tout en confirmant une ambition réelle : rationaliser un cadre devenu trop complexe sans sacrifier les garanties fondamentales.
Pourquoi cette réforme ?
Une surcharge réglementaire devenue insoutenable
Depuis cinq ans, l'Union européenne a produit un arsenal normatif impressionnant : RGPD (2018), Data Governance Act (2021), Data Act (2023), Digital Markets Act (2022), Digital Services Act (2022), AI Act (2024), Cyber Resilience Act, sans oublier la directive ePrivacy et NIS2. Si cet édifice a été salué pour sa rigueur, il a également généré une charge administrative considérable, particulièrement pour les PME et les acteurs publics confrontés à des règles multiples et parfois redondantes.
Les chiffres sont éloquents : la Commission européenne estime que le Digital Omnibus pourrait générer jusqu'à 5 milliards d'euros d'économies d'ici 2029, dont 1 milliard pour les seules administrations publiques. L'objectif affiché est de réduire la charge administrative de 25% pour toutes les entreprises, et de 35% pour les PME.
Le Rapport Draghi : un électrochoc pour l'Europe
En septembre 2024, l'ancien président de la Banque centrale européenne Mario Draghi remettait son rapport sur la compétitivité européenne. Son diagnostic était sans appel : l'Europe accuse un retard structurel majeur en technologies numériques. Aucune entreprise européenne ne figure dans le top 15 mondial de l'IA générative. Mistral AI, le champion français, est valorisé à 14 milliards de dollars, contre 300 milliards pour OpenAI. En 2024, l'Europe a investi 12 milliards en IA, les États-Unis 150 milliards.
« Nous devons faciliter la conduite des affaires en Europe sans compromettre nos normes élevées d'équité et de sécurité en ligne », a déclaré Henna Virkkunen, commissaire chargée de la Souveraineté technologique.
Une pression géopolitique croissante
Le contexte géopolitique ajoute une dimension supplémentaire. Le retour de Donald Trump à la Maison Blanche en janvier 2025, accompagné de menaces de représailles commerciales contre les régulations européennes jugées excessives, a précipité la réflexion de Bruxelles. La Commission européenne, sous la présidence d'Ursula von der Leyen, cherche désormais à éviter une guerre réglementaire transatlantique qui isolerait davantage l'Europe sur la scène technologique mondiale.
Les piliers de la réforme : ce qui change vraiment
1. Une Simplification massive du cadre juridique
Le cœur de la réforme : le Digital Omnibus fusionne, modifie ou enterre plusieurs textes dans une logique de rationalisation. L'objectif assumé est de nettoyer la jungle réglementaire en créant plus de cohérence entre les textes IA, données et cybersécurité.
Textes concernés :
• RGPD (Règlement général sur la protection des données)
• Directive ePrivacy
• Data Act et Data Governance Act
• Directive NIS2 (cybersécurité)
• Règlement DORA (résilience opérationnelle des entités financières)
• AI Act (intelligence artificielle)
• Règlement eIDAS (identité numérique)
Point crucial : il ne s'agit pas d'un RGPD allégé, mais d'une véritable remise à plat structurelle du cadre numérique européen.
2. Le 'Report Once' : la vraie révolution opérationnelle
L'innovation majeure sur le plan pratique : la création d'un guichet unique européen pour toutes les notifications d'incidents (violations de données, cyberattaques, incidents DORA). L'Agence de l'Union européenne pour la cybersécurité (ENISA) sera chargée d'établir et de maintenir ce point d'entrée unique.
Concrètement : fini la multiplication des formulaires à remplir auprès de différentes autorités. Une seule déclaration suffira pour répondre aux obligations du RGPD, de NIS2, de DORA et de la directive CER.
Attention : ce système ne sera opérationnel que dans 24 mois, le temps de construire une infrastructure technique solide et sécurisée. De plus, le délai de notification des violations de données personnelles passe de 72 heures à 96 heures, offrant un peu plus de marge de manœuvre aux entreprises.
Important : l'ENISA ou la Commission n'auront pas accès aux informations communiquées, sauf si la législation concernée le prévoit explicitement. Le système ne modifie pas les obligations de déclaration existantes ni les autorités désignées comme destinataires.
3. Fusion des textes sur les données publiques
Le texte procède à une fusion ambitieuse en intégrant le Data Governance Act et la directive Open Data directement dans le Data Act. Cette consolidation vise à créer un cadre unifié pour la gouvernance des données en Europe.
Conséquences concrètes :
• Harmonisation des règles de réutilisation des données du secteur public
• Interdiction stricte des accords d'exclusivité sur les données publiques
• Encadrement renforcé des redevances applicables
• Obligations de transparence accrues pour les administrations publiques
Cette rationalisation n'est pas un simple ajustement cosmétique : elle pose les fondations d'une véritable stratégie européenne de valorisation des données publiques.
Les modifications du RGPD : entre pragmatisme et controverse
Redéfinition de la donnée personnelle
Changement majeur : le projet clarifie la définition des données à caractère personnel en précisant qu'une information n'est considérée comme personnelle pour une entité donnée que si celle-ci dispose de moyens raisonnablement susceptibles d'être utilisés pour identifier la personne physique.
Cette proposition entérine la jurisprudence de la Cour de justice de l'Union européenne (arrêt du 4 septembre 2025 sur la pseudonymisation), consacrant une approche subjective de l'appréciation du caractère identifiable. Concrètement, cela signifie que des données pseudonymisées pourraient être traitées de manière moins stricte si le responsable du traitement n'a pas accès aux moyens de réidentification.
Intérêt légitime et Intelligence Artificielle
Point sensible : le Digital Omnibus étend explicitement la base légale de l'intérêt légitime au développement et à l'entraînement de modèles d'IA. Le texte précise que l'entraînement et la détection ou l'élimination des biais dans les systèmes d'IA peuvent se fonder sur l'intérêt légitime, à condition que toutes les autres exigences du RGPD soient respectées.
Cette disposition a suscité de vives inquiétudes auprès des organisations de défense de la vie privée comme noyb, qui y voient un chèque en blanc donné aux géants de l'IA pour aspirer les données personnelles des Européens. Toutefois, la Commission insiste sur le fait que cette mesure ne dispense pas les responsables de traitement de respecter toutes les autres obligations du RGPD, notamment l'évaluation de l'impact sur la protection des données.
Exception pour les données sensibles
Nouvelle exception : le projet confirme la possibilité pour les fournisseurs et déployeurs de traiter, à titre exceptionnel et sous garanties strictes, des catégories particulières de données à caractère personnel (notamment des données de santé) afin de détecter et corriger les biais dans les systèmes d'IA.
Cette mesure vise explicitement à prévenir les discriminations algorithmiques, un enjeu majeur alors que de nombreuses études ont démontré que les systèmes d'IA reproduisent et amplifient les biais présents dans leurs données d'entraînement.
Limitation du droit d'accès
Modification controversée : le Digital Omnibus introduit une restriction du droit d'accès aux données personnelles. Le texte prévoit que le responsable peut refuser une demande si la finalité de la demande n'est pas liée à la protection des données elle-même.
Exemples concrets :
• Un employé qui souhaiterait accéder à son historique de badgeage pour prouver des heures supplémentaires non payées pourrait se voir refuser sa demande
• Une personne demandant son scoring bancaire pour contester un refus de prêt pourrait également être bloquée
Cette disposition vise à lutter contre les demandes abusives, mais elle soulève de légitimes interrogations sur l'équilibre entre la protection contre les abus et la préservation des droits fondamentaux des citoyens.
Intégration de la Directive ePrivacy
Simplification majeure : le Digital Omnibus propose d'intégrer directement les règles de la directive ePrivacy dans le RGPD, unifiant ainsi la gestion du consentement aux cookies.
Nouveautés sur les cookies :
• Les utilisateurs pourront indiquer leurs préférences de consentement directement au niveau du navigateur (via un signal de confidentialité standardisé)
• Ces préférences devront être respectées par les sites pendant au moins 6 mois
• Pour certains usages jugés à faible risque, les sites pourraient déposer des cookies sans accord explicite, à condition que leur usage soit fondé sur un intérêt légitime
• Les médias en ligne bénéficieraient d'exceptions compte tenu de leur dépendance aux revenus publicitaires
L'AI Act : des ajustements sans réécriture
Report des échéances de conformité
Calendrier modifié : l'AI Act, adopté en juin 2024 et entré en vigueur en août 2024, prévoyait une application progressive jusqu'en août 2027. Le Digital Omnibus introduit une période de grâce supplémentaire.
Principales modifications :
• Report de 16 mois pour les systèmes d'IA à haut risque (biométrie, santé, crédit, justice, emploi) : passage d'août 2026 à décembre 2027
• Période de transition supplémentaire d'un an pour l'étiquetage des contenus générés par IA (watermarking)
• Période de grâce d'un an durant laquelle les autorités ne pourront pas infliger de sanctions, jusqu'en août 2027
Justification : éviter un choc réglementaire qui pénaliserait les entreprises européennes encore immatures face aux géants américains, et permettre une mise en œuvre fluide avec des standards techniques encore en développement.
Bacs à sable réglementaires
Innovation encadrée : le texte encourage l'expérimentation en conditions réelles avec la création d'un bac à sable européen pour l'IA à partir de 2028, accessible en priorité aux PME. Ces dispositifs permettront de tester et valider des systèmes innovants dans un cadre sécurisé et supervisé, tout en bénéficiant de garanties juridiques.
Clarification des interactions réglementaires
Le projet de règlement propose des modifications ciblées pour clarifier l'articulation entre l'AI Act et d'autres législations de l'UE (RGPD, NIS2, Data Act), ainsi que pour ajuster les procédures de l'AI Act. Des lignes directrices claires et pratiques seront fournies, en particulier sur les systèmes d'IA à haut risque.
Réactions et controverses
Les défenseurs de la vie privée sonnent l'alarme
Mobilisation des ONG : l'organisation noyb, fondée par Max Schrems, a été particulièrement virulente dans sa critique. Dans une lettre ouverte du 11 novembre 2025, signée également par EDRi et ICCL, elle affirme que le projet Digital Omnibus ne fait pas que simplifier, mais engage une véritable déréglementation des protections du RGPD, de l'ePrivacy et de l'IA.
« Le projet divulgué suggère de donner aux entreprises d'IA comme Google, Meta ou OpenAI un chèque en blanc pour aspirer les données personnelles des Européens », s'alarme noyb.
Le soutien de la France et de l'Allemagne
Accueil favorable : la France et l'Allemagne, les deux plus grandes économies de l'UE, ont salué l'initiative. Pour ces États membres, la simplification réglementaire est devenue une urgence économique face à la concurrence américaine et chinoise. Le ministre français de l'Économie numérique a déclaré que cette réforme était nécessaire pour donner de l'air aux entreprises européennes sans renoncer aux valeurs fondamentales de protection.
Les juristes : entre pragmatisme et vigilance
Marc-Antoine Ledieu, avocat spécialisé en droit de la cybersécurité, propose une lecture nuancée : « Le RGPD, qui est une très grande avancée éthique, a été érigé en totem indéboulonnable. Mais la Commission européenne a constaté que le RGPD s'applique souvent de manière excessive. À force d'adopter des positions très restrictives, l'UE se rend compte qu'elle est en train de prendre du retard dans la compétition pour l'IA. »
Ce qui ne change aAS : les piliers intacts
Malgré l'ampleur de la réforme, certains principes fondamentaux demeurent inchangés :
• La protection des données personnelles reste un pilier central de la politique européenne
• L'accountability (responsabilité des responsables de traitement) reste la règle d'or
• Les obligations essentielles du RGPD restent intactes : minimisation des données, limitation de la conservation, sécurité, transparence
• Les droits fondamentaux des personnes concernées sont préservés (même si leur exercice est encadré différemment)
• Les sanctions du RGPD demeurent : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial
Point essentiel : moins de complexité administrative ne signifie pas moins de conformité. La Commission insiste sur le fait que toutes les mesures sont assorties de garanties solides et que les normes de protection des citoyens seront pleinement respectées.
Prochaines étapes et calendrier
Le processus législatif
Procédure accélérée : le Digital Omnibus doit maintenant être examiné et amendé par le Parlement européen et le Conseil (représentant les États membres). La Commission souhaite une adoption avant la fin de la mandature actuelle, illustrant sa volonté de prouver sa capacité à agir vite dans un environnement technologique en mutation rapide.
Attention : cette procédure accélérée suscite des inquiétudes. Certains observateurs critiquent le fait que les services de l'UE n'ont disposé que de cinq jours ouvrables pour examiner un projet de texte aussi conséquent. Cette précipitation pourrait ouvrir un précédent délicat : celui d'une Europe prête à sacrifier la lenteur démocratique au profit de la rapidité réglementaire.
Mise en application progressive
Calendrier prévisionnel :
• 2025 : Discussions parlementaires et amendements
• 2026 : Adoption définitive (objectif)
• 2027 : Entrée en application du guichet unique (Report Once) - 24 mois après l'adoption
• 2027-2028 : Déploiement progressif des autres mesures
• 2028 : Lancement des bacs à sable réglementaires pour l'IA
Budget : aucun financement supplémentaire
Contrainte budgétaire : le texte est clair : 0 euro de budget supplémentaire alloué par l'UE. Tout sera financé par redéploiement interne. Comprenez : le coût de mise en conformité restera bien à la charge des entreprises et des administrations publiques, même si l'objectif est de réduire la charge globale.
Impacts pour les professionnels de la conformité
Pour les DPO et juristes : un terrain de jeu élargi
Transformation du métier : la question n'est plus de savoir si le RGPD va disparaître (il ne disparaît pas), mais plutôt : êtes-vous prêts pour un cadre beaucoup plus intégré, où RGPD, AI Act, NIS2 et Data Act s'entremêlent ?
Nouvelles compétences requises :
• Maîtrise approfondie de l'articulation entre les différents textes
• Compréhension technique de l'IA et de ses enjeux en matière de données
• Expertise en cybersécurité (avec l'intégration de NIS2 et DORA)
• Capacité à naviguer dans un environnement réglementaire hybride
• Compétences en gestion de projet pour piloter la transition
Ceux qui resteront bloqués dans la logique RGPD de 2018 vont se fossiliser très vite. Les autres vont devenir incontournables.
Pour les entreprises : Opportunités et défis
Opportunités :
• Réduction de la charge administrative (objectif 25-35%)
• Simplification des notifications d'incidents via le guichet unique
• Clarification des règles pour le développement de l'IA
• Accès facilité aux bacs à sable réglementaires pour l'innovation
Défis :
• Nécessité de revoir l'ensemble des processus de conformité
• Investissement dans la formation des équipes
• Adaptation des systèmes d'information (notamment pour le Report Once)
• Gestion de la période de transition avec l'ancien et le nouveau cadre
Pour les acteurs de l'IA : une clarification bienvenue
Les entreprises développant des solutions d'IA devraient bénéficier d'une clarté juridique accrue sur l'utilisation des données personnelles pour l'entraînement de modèles. Le cadre d'intérêt légitime élargi, accompagné de garanties solides, devrait faciliter l'innovation tout en maintenant la confiance des utilisateurs.
Un tournant stratégique, pas une révolution
Le Digital Omnibus n'est ni la fin du RGPD ni une déréglementation sauvage. C'est une mise à jour pragmatique du système européen de gouvernance numérique, qui cherche à concilier trois impératifs apparemment contradictoires :
• Maintenir un haut niveau de protection des données personnelles et de la vie privée
• Stimuler l'innovation européenne en intelligence artificielle
• Réduire la complexité administrative pour les entreprises
Le pari de la Commission européenne : démontrer qu'il est possible de simplifier sans fragiliser, de moderniser sans dénaturer, de s'adapter à la compétition mondiale sans renoncer aux valeurs européennes.
Le véritable test : si la Commission parvient à réduire la complexité réglementaire sans affaiblir les garanties du RGPD et de l'ePrivacy, le Digital Omnibus pourrait devenir la colonne vertébrale administrative de la souveraineté numérique européenne. À l'inverse, un texte trop permissif risquerait de remettre en cause le modèle européen de protection des données qui a inspiré le monde entier.
Pour les professionnels de la conformité : celui qui comprend ce texte aujourd'hui sera celui qu'on appellera demain. Le Digital Omnibus marque le début d'une nouvelle ère où la maîtrise des interconnexions entre RGPD, IA, cybersécurité et gouvernance des données devient la compétence clé.
La frontière entre pragmatisme et dérégulation sera au cœur du débat démocratique européen dans les mois à venir. L'enjeu dépasse la technique juridique : il s'agit de définir quel modèle de société numérique l'Europe souhaite construire pour ses 450 millions de citoyens.
Sources et Références
Documentation officielle :
• Commission européenne : Proposition de règlement Digital Omnibus (19 novembre 2025)
• Commission européenne : Digital Package - Questions et Réponses
• Document de travail accompagnant la proposition
Analyses et commentaires :
• Archimag : Digital Omnibus - Comment trouver l'équilibre entre protection et innovation numérique
• FrenchWeb : Qu'est-ce que le Digital Omnibus, projet de refonte du cadre numérique européen
• Dastra : Projet Omnibus - Que révèle la fuite sur l'avenir du RGPD et de l'AI Act
• DSIH : Digital Omnibus - De profondes modifications du RGPD
• L'Usine Digitale : Faut-il craindre la réforme qui bouscule le RGPD
• Solutions Numériques : La Commission européenne sur le point d'assouplir le RGPD
• Blog Ostraca : RGPD assoupli en 2025 - L'Europe cède-t-elle aux géants de l'IA
• Banque des Territoires : La simplification des textes numériques européens suscite des réactions contrastées
• Journal du Net : Interview de Marc-Antoine Ledieu sur le Digital Omnibus
• AFNUM : Le nouveau paquet Omnibus Numérique de la Commission européenne
Positions des organisations :
• noyb : Lettre ouverte sur le Digital Omnibus (11 novembre 2025)
• EDRi et ICCL : Position commune sur les modifications du RGPD
Note : Cet article a été rédigé sur la base des informations disponibles au 2 décembre 2025. Le texte du Digital Omnibus est encore en cours de discussion et pourra faire l'objet de modifications avant son adoption définitive.