Mise à jour – 26 novembre 2025: Cette analyse a été menée à partir du projet de règlement « Digital Omnibus » ayant fuité quelques jours avant sa présentation officielle. Le texte définitif, publié le 19 novembre 2025 par la Commission européenne (COM(2025) 837 final), confirme les dispositions analysées ici. Notre article reste donc pleinement fidèle au contenu désormais officiel et disponible ici: COM(2025) 837 final.
Un corpus numérique éclaté et difficilement lisible
Depuis une décennie, l’Union européenne s’est imposée comme l’un des législateurs les plus prolifiques en matière numérique.
Face à l’emprise croissante des grandes plateformes, à la montée des risques cyber ou à l’explosion des usages liés aux données, Bruxelles a multiplié les textes : règlement eIDAS (2014, actuellement en révision), RGPD (2016), directive NIS (2016) et sa refonte NIS 2 (2022), règlement DORA (2022), DSA (2022), DMA (2022), Data Act (2023), AI Act (2024), Cyber Resilience Act (2024)...
Mais cette frénésie normative s’est rarement accompagnée d’un effort de coordination ou de hiérarchisation. Les textes ont été élaborés par strates successives, au gré des urgences politiques et des fenêtres d’opportunité, sans véritable vision d’ensemble. Résultat : un empilement de normes parfois redondantes, aux logiques différentes, que les acteurs économiques doivent aujourd’hui concilier tant bien que mal.
Les rapports commandés à Mario Draghi et Enrico Letta par la Commission européenne elle-même soulignent que ce foisonnement réglementaire pèse sur la compétitivité et nuit à la lisibilité du droit. À force de superposer les règles sans les articuler, l’Europe numérique s’est construite sur un véritable millefeuille juridique et administratif.
Pour y remédier, la Commission a prépare un nouveau projet de règlement baptisé « Digital Omnibus », destiné à simplifier une partie de ce corpus. Sa présentation officielle est attendue le 19 novembre 2025, mais le projet a déjà fuité.
Ce texte se veut une première tentative de simplification, mais derrière l’affichage politique de la rationalisation, que change-t-il vraiment ?
Le projet "Digital Omnibus" : simplification ciblée du cadre réglementaire
Le texte regroupe une série d’amendements à plusieurs textes déjà en vigueur. L’objectif affiché est de réduire les chevauchements, de préciser certaines définitions clés, et d'alléger les procédures là où c’est possible, sans toucher aux principes fondamentaux de ces textes.
Trois axes principaux peuvent être dégagés: le premier concerne le « data legislative acquis », c’est-à-dire l’ensemble des règles relatives au partage des données et à la protection de la vie privée ; le deuxième vise à rationaliser les régimes de notification des incidents de cybersécurité ; le troisième entend assurer une meilleure articulation entre le RGPD et les nouveaux textes sur l’intelligence artificielle.
Enfin, le règlement prévoit également l’abrogation pure et simple du règlement (UE) 2019/1150 dit “Plateforme-to-Business” (P2B), jugé obsolète depuis l’entrée en vigueur du DSA et du DMA.
Un guichet unique pour les notifications d’incidents de cybersécurité
Un apport intéressant de ce "Digital Omnibus" concerne la cybersécurité avec la création d’un guichet unique de notification des incidents.
Aujourd’hui, une même cyber-attaque peut contraindre une entité (entreprise, association, administration, etc.) à notifier plusieurs autorités sous différents régimes (par exemple au titre de la directive NIS2, du règlement DORA pour les entités financières, de l’eIDAS pour certains prestataires de confiance, ou encore du RGPD en cas de violation de données personnelles).
Le projet de règlement introduirait un point d’entrée unique permettant aux entités de satisfaire simultanément à leurs obligations de signalement d’incident prévues par plusieurs textes. Il s’agit de promouvoir le principe du « report once, share many », c'est-à-dire signaler une fois un incident pour informer tous les destinataires désignés par les textes.
La mise en place de ce guichet européen serait confiée à l’ENISA, l’Agence de l’UE pour la cybersécurité, chargée de développer un outil sécurisé centralisant la réception et la redistribution des rapports d’incidents vers les autorités compétentes. Chaque entité n’aurait donc plus qu’une seule interface de déclaration à gérer.
Cependant, cette simplification, bien que bienvenue, reste partielle : le projet ne prévoit ni l’harmonisation des délais de notification prévus par les différentes législations sectorielles (qui varient de 24h à 96h), ni l’unification des critères de gravité pour qualifier un incident, ni celle des autorités compétentes.
En d’autres termes, les obligations juridiques sous-jacentes demeurent inchangées (seuils de gravité des incidents, délais de notification, contenu requis des rapports, etc.), seule la charge de devoir notifier plusieurs organismes séparément serait allégée.
RGPD : une modifications de la définition de données personnelles
Le règlement général sur la protection des données (RGPD) fait également partie des textes que la Commission souhaite ajuster dans le cadre du Digital Omnibus.
L’un des volets les plus notables du projet Digital Omnibus concerne la définition même de la "donnée personnelle".
La Commission européenne souhaite introduire une lecture plus contextuelle de cette notion, s’inspirant de la jurisprudence de la Cour de justice de l’Union européenne, notamment les arrêts Breyer, Nowak et EDPS c. SRB. Ainsi, une information ne devrait être considérée comme une donnée personnelle que si l’acteur qui la détient dispose de moyens raisonnablement susceptibles d’identifier la personne concernée.
Une même donnée pourrait être qualifiée de "personnelle" pour un acteur capable d’identifier la personne concernée, mais ne pas l’être pour un autre qui ne le peut raisonnablement pas.
Ce point est un champ de réflexion intéressant, car il permet notamment d'écarter l’application du RGPD pour des données pseudonymisées : par exemple, lorsqu’un sous-traitant ne dispose que d’identifiants chiffrés sans lien avec une identité.
La Commission prévoit ainsi d’élaborer des critères pour aider les acteurs à évaluer si, pour eux, des données pseudonymisées ne permettent plus raisonnablement d’identifier quelqu’un.
Une telle évolution ne constituerait pas une rupture, mais un approfondissement d’une logique déjà en germe dans le droit européen. Elle traduirait une volonté d’ancrer la conformité dans la réalité technique des traitements et de moduler les exigences du RGPD en fonction du risque réel d’identification. Cette clarification, si elle venait à être adoptée, pourrait en partie alléger le fardeau de certaines entreprises, notamment les sous-traitants, tout en renforçant la cohérence du droit européen face aux usages contemporains des données.
De nouvelles dérogations pour l’IA
Par ailleurs, le Digital Omnibus introduirait une nouvelle dérogation encadrée au régime strict des données sensibles (les catégories particulières de données visées à l’article 9 du RGPD). La Commission propose d’ajouter une exception spécifique visant les traitements résiduels de données sensibles nécessaires au développement et à l’entraînement des systèmes d’intelligence artificielle.
Il s'agirait ainsi de modifier l’article 9 du RGPD en ajoutant un point (k) autorisant le « traitement effectué dans le cadre du développement et du fonctionnement d’un système d’IA […] ou d’un modèle d’IA ». Cependant, la Commission précise que si, dans un développement d’IA, la présence de données sensibles n’est pas simplement résiduelle mais nécessaire au but du traitement, alors la dérogation (k) ne s’applique pas et le responsable doit recourir aux exceptions habituelles de l’article 9(2) points (a) à (j).
L’objectif affiché est de ne pas freiner de manière disproportionnée le développement de l’IA du fait de la présence inévitable, à l’état résiduel, de données sensibles dans de grands volumes de données d’apprentissage, tout en exigeant que ces données particulières soient identifiées et éliminées à la première occasion.
La base légale de l’intérêt légitime (article 6(1)(f) RGPD) est également clarifiée dans le cadre du Digital Omnibus, en lien avec certains usages d’IA.
Le considérant 30 du projet affirme en ce sens que le traitement de données personnelles dans le contexte du développement et de l’utilisation de modèles d’IA « peut être effectué à des fins d’intérêt légitime au sens de l’article 6(1)(f) du RGPD, lorsque c’est approprié », sous réserve bien sûr de satisfaire aux autres conditions (balance avec les droits des personnes concernées, etc.). Le considérant 31 développe ainsi des critères de balance spécifiques aux usages de l'intelligence artificielle (bénéfices pour la société ou les personnes, transparence accrue, droit d’opposition inconditionnel, techniques préservant la vie privée, etc.).
La Commission affiche ainsi une volonté d'adapter le RGPD à ces nouveaux usages et d’éviter des incertitudes qui pourraient freiner l'innovation dans ce domaine.
Une simplification qui reste mesurée
Le Digital Omnibus se présente donc comme un exercice de simplification. Il en sera peut-être un, ou simplement une nouvelle strate dans un édifice déjà complexe. Dans les deux cas, il mérite qu’on le suive et qu'on le lise de très près.
Pour les entreprises et les entités publiques, une lecture attentive des ajustements proposés s’impose dès à présent. Notre cabinet accompagne ses clients dans l’analyse de ce texte en évolution, afin d’anticiper ses effets concrets et sécuriser les pratiques existantes.
À propos de l'auteur
Jocelyn Pitet est avocat au barreau de Paris et cofondateur d’Entropy, un cabinet d'avocats dédié aux nouvelles technologies. Sa pratique se concentre sur des domaines tels que la cybersécurité, la protection des données personnelles, les contrats informatiques, la blockchain, l'intelligence artificielle et d'autres technologies de rupture. Depuis plus de dix ans, Jocelyn accompagne les startups innovantes, les entreprises technologiques de pointe ainsi que les grandes groupes internationaux dans la gestion des défis juridiques complexes liés au numérique et à l'innovation.
En parallèle de son activité au cabinet, Jocelyn Pitet assure des fonctions d'enseignement à l'Université Paris Panthéon-Assas et à l'Institut Léonard de Vinci. Il y dispense des cours sur le droit de la blockchain, le droit des données à caractère personnel et le droit de la cybersécurité.
voir nos expertises