Omnibus numérique : comment la simplification du RGPD allège la conformité pour les entreprises?

Le 19 novembre 2025, la Commission européenne a présenté un ensemble de mesures visant à simplifier la réglementation numérique.

S’inscrivant dans la continuité des conclusions des rapports Draghi et Letta et dans un chantier plus large de simplification engagé depuis plusieurs années, la proposition de règlement cherche à alléger certaines obligations, à renforcer la cohérence entre les textes relatifs aux données, à la protection de la vie privée et à la cybersécurité, et à clarifier l'interprétation du RGPD à la lumière de la jurisprudence de la Cour de justice de l’Union européenne et des positions des autorités de contrôle.

1.      Allègement de la conformité pour les entreprises : quels effets de l’Omnibus numérique sur la simplification du RGPD ?

Selon la Commission l’omnibus numérique poursuit ces 3 objectifs :

• veiller au respect des règles à moindre coût

• atteindre les mêmes objectifs

• tout en offrant un avantage concurrentiel aux entreprises qui respectent la règlementation.

  
  

Il impacte notamment les règlementations suivantes :

• la règlementation sur les données et les plateformes : Data Act, Data Governance Act

• le RGPD

• la directive ePrivacy

• le report d’incident dans le cadre de l’application du RGPD, NIS 2 et DORA.

  
  

Nous vous présentons ci-dessous les principales modifications relatives au RGPD.

2. Précisions apportées à la définition de données à caractère personnel

a) une nouvelle définition

La Commission souhaite compléter la définition actuelle afin d’y intégrer les enseignements tirés de la jurisprudence CEPD c/ CRU (affaire C‑413/23 P)[1], en particulier sur la portée de la pseudonymisation dans l’appréciation du caractère personnel d’une donnée. Dans cet arrêt, la Cour de justice a rappelé qu’une donnée pseudonymisée ne constitue pas automatiquement une donnée à caractère personnel. Il convient d’examiner, de manière concrète, si la réidentification de la personne concernée est raisonnablement possible, notamment pour le tiers destinataire des données.

La définition actuelle qui figure à l’article 4 du RGPD serait complétée par ces précisions : “les informations ne doivent pas être considérées comme des données à caractère personnel pour une entité donnée lorsqu’elle ne dispose pas de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle elles se rapportent. »

Cette nouvelle définition implique notamment que[2]:

• Les données pseudonymisées peuvent être partagées et utilisées par des tiers, à condition que ces destinataires n’aient pas la possibilité de réidentifier la personne.

  
  

• Les responsables de traitement ayant procédé à la pseudonymisation demeurent soumis à l’ensemble des obligations du RGPD.

  
  

• La Commission publiera des actes d’exécution afin de préciser les contours de cette notion de « pseudonymisation », en tenant compte des évolutions technologiques et des possibilités existant tant en matière de pseudonymisation que d’inversion de la pseudonymisation.

  
  

En intégrant ces éléments, la Commission précise les contours de ce qu’est — ou n’est pas — une donnée à caractère personnel, renforçant ainsi la sécurité juridique et l’harmonisation des pratiques au sein de l’Union.

b) Une harmonisation et un contrôle d’un point de vue technique sur la notion de pseudonymisation

La Commission pourra adopter des actes d’exécution pour préciser les moyens et les critères permettant d’évaluer si des données pseudonymisées cessent de constituer des données à caractère personnel.

Ces critères porteront entre autres, sur :

• les techniques disponibles (état de l’art),

• les risques de réidentification

• et l’évaluation des capacités d’identification du responsable de traitement ou d’un tiers.

  
  

Le Comité Européen de la Protection des Données participera à la préparation de ces orientations.

3. Exceptions ajoutées au traitement de données sensibles

   
   

a) Traitement de données biométriques

Le traitement de données biométriques (exemple : l’iris, la voix, les empreintes digitales) serait autorisé s’il est nécessaire à la confirmation de l’identité de la personne concernée, dès lors que les données et les moyens permettant cette vérification sont sous le contrôle exclusif de cette personne.  

b) Traitement de données sensibles pour le développement de l’IA

Ce traitement serait autorisé, pour le développement et l’exploitation de systèmes d’IA ou de modèle d’IA, sous réserve de la mise en place de garanties particulières. Notamment,  des mesures organisationnelles et techniques appropriées devraient être déployées pour éviter la collecte de données non nécessaires, procéder à la suppression des données.

4. Abus dans l’exercice du droit d’accès des personnes concernées : allègement de la charge de la preuve et de la responsabilité du responsable de traitement

Le RGPD devrait mieux encadrer les risques d’abus dans le cadre des demandes d’exercice du droit d’accès.

A l’heure actuelle, le texte prévoit, la possibilité pour le responsable de traitement de ne pas donner suite à une demande excessive ou manifestement infondée.

La Commission apporte des précisions sur la notion de « demande excessive » et sur les conséquences pour le responsable de traitement.

La demande excessive vise les hypothèses où l’objectif poursuivi par la personne concernée ne consisterait pas à exercer son droit d’accès, à proprement parler. La Commission considère par exemple, que toute demande qui tendrait à obtenir un dédommagement de la part du responsable de traitement, le cas échéant, en étant assortie de menaces de plainte serait constitutive d’un excès.

Le responsable de traitement bénéficiera dans cette hypothèse d’un allègement de la charge de la preuve, par rapport aux demandes manifestement infondées.

Il est précisé que la demande d’accès devra être la plus précise possible afin de ne pas être considérée comme excessive.

5. Obligation d’information amoindrie 

L’obligation d’information qui pesait sur le responsable de traitement à l’égard de la personne concernée, peut être écartée dans certaines hypothèses.

Cette dispense suppose à la fois que le traitement ne soit pas susceptible de causer un risque élevé pour les droits et libertés des personnes physiques et qu’il y ait des raisons raisonnables de croire que la personne concernée dispose déjà des informations requises.

Cette appréciation dépend notamment du contexte dans lequel les données ont été collectées, en raison par exemple, de la nature de la relation entre le responsable de traitement et la personne concernée.

Cette dispense d’information vaut notamment si le traitement :

-          N’implique pas un traitement intensif de données

-          N’est pas complexe

-          Porte sur un volume faible de données.

Une telle situation peut se rencontrer, en matière de droit du travail ou dans le cadre de l’exécution d’un contrat, la personne concernée ayant dans ce dernier cas, donné son consentement pour le traitement de ses données, conformément aux exigences de l’article 7 du RGPD.

Cet assouplissement demeure toutefois encadré, la personne concernée conservant la possibilité d’exercer son droit d’accès et d’obtenir ces informations, par ce biais.

6. Décision automatisée : plus de souplesse en matière contractuelle

La proposition apporte une clarification sur le recours aux décisions automatisées, prévu par l’article 22 du RGPD.

Désormais, si la décision est pertinente dans le contexte contractuel, elle peut être automatisée même si une alternative humaine est techniquement possible.

Il n’y aurait plus une possibilité de principe de s’opposer au traitement automatisé exclusif.

Le nouvel article 22 serait rédigé ainsi :

« Une décision qui produit des effets juridiques à l'égard d'une personne concernée ou qui l'affecte de manière significative de façon similaire ne peut être fondée uniquement sur un traitement automatisé, y compris le profilage, que lorsque cette décision :

(a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement, indépendamment du fait que la décision puisse être prise autrement que par des moyens automatisés uniquement. « 

7. Notification des incidents : notifications ciblées, délais étendus et guichet unique

   
   

L’article 33 du RGPD fait l’objet de plusieurs ajustements importants.

D’abord, la notification d'une violation de données à l’autorité de contrôle ne serait plus systématique. Elle ne serait requise que lorsque la violation impose également d’informer les personnes concernées, c’est‑à‑dire en cas de risque élevé pour leurs droits et libertés.

Le délai de notification serait également assoupli, passant de 72 à 96 heures après avoir pris connaissance de la violation.

Par ailleurs, les responsables de traitement pourraient s’appuyer sur un point unique d’entrée pour adresser leurs notifications aux autorités de contrôle, simplifiant ainsi les démarches administratives.

Enfin, le CEPD mettrait à disposition un modèle de notification. La Commission pourrait l’adopter par acte d’exécution. Ce modèle inclurait notamment une liste de situations dans lesquelles une violation est susceptible d’entraîner des risques élevés pour les personnes.

8. Harmonisation européenne des analyses d’impact 

   
   

L’omnibus prévoit une harmonisation du régime des analyses d’impact (« DPIA « ou « AIPD ») au niveau européen.

Parmi ces mesures, une liste unique des traitements nécessitant une AIPD serait fournie au niveau européen et remplacerait les listes nationales.

Une liste des traitements ne nécessitant pas d’AIPD serait également élaborée. Aujourd’hui facultative pour les autorités de contrôle, elle deviendrait obligatoire et même harmonisée à l’échelle européenne.

Enfin, le CEPD doit concevoir un modèle et une méthodologie unique pour réaliser ces AIPD, qui seront adoptés par la Commission via un acte d’exécution.

Afin de tenir compte des évolutions technologiques, les listes et la méthodologie devraient être revues au moins tous les 3 ans et mis à jour, si nécessaire.

9. Simplification des règles applicables aux cookies

Un nouvel article 88a serait inséré dans le RGPD afin de soumettre au régime du consentement le stockage d’informations ou l’accès à des données à caractère personnel sur les équipements terminaux des personnes physiques.

Ce nouvel article intègre ainsi dans le RGPD les règles jusqu’ici prévues à l’article 5(3) de la directive ePrivacy, tout en prévoyant certaines exceptions limitées.

Un article 88b serait également ajouté pour encadrer la prise en compte d’indications automatisées, lisibles par machine, reflétant les choix individuels des utilisateurs. Une fois les normes techniques adoptées, les fournisseurs de sites web devront reconnaître et respecter ces signaux, notamment lorsqu’ils expriment un refus de consentement.

10. Prochaines étapes

    
    

La proposition de la Commission est soumise au Parlement et au Conseil de l’Union Européenne pour adoption.

***

Forte d’une expérience depuis plus de 15 ans en droit du numérique, Anne-Namalie L’HÔTE est votre avocat RGPD en France et au Luxembourg. Elle propose des services de DPO externe ou support au DPO interne.

👉Pour toute question en droit du numérique: vous pouvez nous contacter ici

👉Pour ne manquer aucune actualité, vous pouvez vous inscrire à la newsletter ici

[1] https://curia.europa.eu/juris/document/document.jsf?text=&docid=303863

[2]Cf. FAQ de la Commission européenne : https://digital-strategy.ec.europa.eu/fr/faqs/digital-package