Un corpus numérique éclaté et difficilement lisible
Depuis une décennie, l’Union européenne s’est imposée comme l’un des législateurs les plus prolifiques en matière numérique.
Face à l’emprise croissante des grandes plateformes, à la montée des risques cyber ou à l’explosion des usages liés à la donnée, Bruxelles a multiplié les textes : règlement eIDAS (2014, actuellement en révision), RGPD (2016), directive NIS (2016) et sa refonte NIS 2 (2022), règlement DORA (2022), DSA (2022), DMA (2022), Data Act (2023), AI Act (2024), Cyber Resilience Act (2024)...
Mais cette frénésie normative s’est rarement accompagné d’un effort de coordination ou de hiérarchisation. Les textes ont été élaborés par strates successives, au gré des urgences politiques et des fenêtres d’opportunité, sans véritable vision d’ensemble. Résultat : un empilement de normes parfois redondantes, aux logiques différentes, que les acteurs économiques doivent aujourd’hui concilier tant bien que mal.
Les rapports commandés à Mario Draghi et Enrico Letta par la Commission européenne elle-même soulignent que ce foisonnement réglementaire pèse sur la compétitivité et nuit à la lisibilité du droit. À force de superposer les règles sans les articuler, l’Europe numérique s’est construite sur un véritable millefeuille juridique et administratif.
Pour y remédier, la Commission a prépare un nouveau projet de règlement baptisé « Digital Omnibus », destiné à simplifier une partie de ce corpus. Sa présentation officielle est attendue le 19 novembre 2025., mais le projet a déjà fuite.
Ce texte se veut une première tentative de simplification, mais derrière l’affichage politique de la rationalisation, que change-t-il vraiment ?
Le projet "Digital Omnibus" : simplification ciblée du cadre réglementaire
Officiellement baptisé « règlement sur la simplification de l’acquis numérique », le texte regroupe une série d’amendements à plusieurs textes déjà en vigueur. L’objectif affiché est de réduire les chevauchements, de clarifier certaines définitions clés, et d'alléger les procédures là où c’est possible, sans toucher aux principes fondamentaux de ces textes.
Trois axes principaux sont mis en avant par la Commission : le premier concerne le « data acquis », c’est-à-dire l’ensemble des règles relatives au partage des données et à la protection de la vie privée ; le deuxième vise à rationaliser les régimes de notification des incidents de cybersécurité ; le troisième entend assurer une meilleure articulation entre le RGPD et les nouveaux textes sur l’intelligence artificielle.
Enfin, le règlement prévoit également l’abrogation pure et simple du règlement (UE) 2019/1150 dit “Plateforme-to-Business” (P2B), jugé obsolète depuis l’entrée en vigueur du DSA et du DMA.
Un guichet unique pour les notifications d’incidents de cybersécurité
Un apport intéressant de ce "Digital Omnibus" concerne la cybersécurité : la création d’un guichet unique de notification des incidents.
Aujourd’hui, une même cyber-attaque peut contraindre une entité (entreprise, association, administration, etc.) à notifier plusieurs autorités sous différents régimes (par exemple au titre de la directive NIS2, du règlement DORA pour les entités financières, de l’eIDAS pour certains prestataires de confiance, ou encore du RGPD en cas de violation de données personnelles).
Le projet de règlement introduirait un point d’entrée unique permettant aux entités de satisfaire simultanément à leurs obligations de signalement d’incident prévues par plusieurs textes. Il s’agit de promouvoir le principe du « report once, share many », c'est-à-dire signaler une fois un incident pour informer tous les destinataires désignés par les textes.
La mise en place de ce guichet européen serait confiée à l’ENISA, l’Agence de l’UE pour la cybersécurité, chargée de développer un outil sécurisé centralisant la réception et la redistribution des rapports d’incidents vers les autorités compétentes. Chaque entité n’aurait donc plus qu’une seule interface de déclaration à gérer.
Cependant, cette simplification, bien que bienvenue, reste partielle : le projet ne prévoit ni l’harmonisation des délais de notification prévus par les différentes législations setoriles (qui varient de 24h à 96h), ni l’unification des critères de gravité pour qualifier un incident, ni celle des autorités compétentes.
En d’autres termes, les obligations juridiques sous-jacentes demeurent inchangées (seuils de gravité des incidents, délais de notification, contenu requis des rapports, etc.), seule la charge de devoir notifier plusieurs organismes séparément serait allégée.
RGPD : une modifications de la définition de données personnelles et une dérogation pour l’IA
Le règlement général sur la protection des données (RGPD) fait également partie des textes que la Commission souhaite ajuster dans le cadre du Digital Omnibus.
L’un des volets les plus notables du projet Digital Omnibus concerne la définition même de la "donnée personnelle".
La Commission européenne souhaite introduire une lecture plus contextuelle de cette notion, s’inspirant de la jurisprudence de la Cour de justice de l’Union européenne, notamment les arrêts Breyer, Nowak et EDPS c. SRB. Ainsi, une information ne devrait être considérée comme une donnée personnelle que si l’acteur qui la détient dispose de moyens raisonnablement susceptibles d’identifier la personne concernée.
Une même donnée pourrait être qualifiée de "personnelle" pour un acteur capable d’identifier la personne concernée, mais ne pas l’être pour un autre qui ne le peut raisonnablement pas. Ce point est un champ de réflexion intéressant, car il permet notamment d'écarter l’application du RGPD pour des données pseudonymisées : par exemple, lorsqu’un sous-traitant ne dispose que d’identifiants chiffrés sans lien avec une identité, ou lorsqu’un prestataire analyse des journaux d’accès contenant uniquement des adresses IP tronquées.
Une telle évolution ne constituerait pas une rupture, mais un approfondissement d’une logique déjà en germe dans le droit européen. Elle traduirait une volonté d’ancrer la conformité dans la réalité technique des traitements et de moduler les exigences du RGPD en fonction du risque réel d’identification. Cette clarification, si elle venait à être adoptée, pourrait en partie alléger le fardeau de certaines structures, notamment les sous-traitants et les acteurs de la cybersécurité (on pense au traitement des adresses IP), tout en renforçant la cohérence du droit européen face aux usages contemporains des données.
Par ailleurs, le Digital Omnibus introduirait une nouvelle dérogation encadrée au régime strict des données sensibles (dites catégories particulières de données visées à l’article 9 du RGPD). La Commission propose d’ajouter une exception spécifique visant les traitements résiduels de données sensibles nécessaires au développement et à l’entraînement des systèmes d’intelligence artificielle.
L’objectif affiché est de ne pas freiner de manière disproportionnée le développement de l’IA du fait de la présence inévitable, à l’état résiduel, de données sensibles dans de grands volumes de données d’apprentissage, tout en exigeant que ces données particulières soient identifiées et éliminées à la première occasion. Cette exception viendrait s’ajouter aux autres bases légales du RGPD (notamment l’intérêt légitime, également clarifié pour englober certains usages d’IA) afin d’offrir une plus grande sécurité juridique aux acteurs entraînant des modèles d’IA à partir de données massives.
Une simplification qui reste mesurée
Le Digital Omnibus se présente donc comme un exercice de simplification. Il en sera peut-être un, ou simplement une nouvelle strate dans un édifice déjà complexe. Dans les deux cas, il mérite qu’on le suive et qu'on le lise de très près.
Pour les entreprises et les entités publiques, une lecture attentive des ajustements proposés s’impose dès à présent. Notre cabinet accompagne ses clients dans l’analyse de ce texte en évolution, afin d’anticiper ses effets concrets et sécuriser les pratiques existantes.
À propos de l'auteur
Jocelyn Pitet est avocat au barreau de Paris et cofondateur d’Entropy, un cabinet d'avocats dédié aux nouvelles technologies. Sa pratique se concentre sur des domaines tels que la cybersécurité, la protection des données personnelles, les contrats informatiques, la blockchain, l'intelligence artificielle et d'autres technologies de rupture. Depuis plus de dix ans, Jocelyn accompagne les startups innovantes, les entreprises technologiques de pointe ainsi que les grandes groupes internationaux dans la gestion des défis juridiques complexes liés au numérique et à l'innovation.
En parallèle de son activité au cabinet, Jocelyn Pitet assure des fonctions d'enseignement à l'Université Paris Panthéon-Assas et à l'Institut Léonard de Vinci. Il y dispense des cours sur le droit de la blockchain, le droit des données à caractère personnel et le droit de la cybersécurité.
voir nos expertises