Simplification des réglementations numériques : avez-vous votre ticket pour les Omnibus ?

Dans la jungle législative européenne, de nouveaux véhicules viennent de faire une entrée fracassante : les OMNIBUS. Présentés par la Commission européenne le 19 novembre 2025, ces textes ambitionnent de simplifier le « mille-feuille » réglementaire (RGPD, ePrivacy, AI Act, NIS2) pour doper la compétitivité de nos entreprises.

Il convient de distinguer l’Omnibus VII (ou Digital Omnibus), qui modifie les fondements du RGPD et de l’IA, de l’Omnibus IV, qui s'attaque spécifiquement aux obligations documentaires comme le registre.

Mais attention : si la promesse de réduire la « paperasse » est séduisante, certains experts et régulateurs craignent que cet omnibus ne transporte passagers et droits fondamentaux directement dans le fossé de la dérégulation. Alors, véritable simplification ou piège juridique ? Voyage au cœur d'une réforme qui fait déjà grand bruit et dont les résultats de la consultation du CEDPO auprès de 672 professionnels révèlent une méfiance marquée du terrain.

1. Terminus, tout le monde descend ? La fin de la donnée personnelle telle qu'on la connaît

C’est le point qui fait trembler la planète Privacy. Le projet Omnibus propose de modifier l’article 4(1) du RGPD pour passer d’une définition objective de la donnée personnelle (une donnée liée à une personne identifiable) à une approche subjective. Cette proposition est le point le plus contesté de la réforme : 54,2 % des professionnels interrogés expriment un désaccord total et 88 % des commentaires analysés par le CEDPO sont négatifs.

Concrètement, la protection dépendrait désormais de la capacité ou de l'intention réelle de l'entreprise d'identifier l'individu. Pour Max Schrems, fondateur de l'ONG noyb, c'est une « attaque massive » : il suffirait à un courtier en données ou à une régie publicitaire de prétendre ne pas vouloir identifier un utilisateur derrière un pseudonyme pour s'extraire de facto du RGPD. Les experts interrogés par le CEDPO craignent qu'au lieu de simplifier, ce changement n'augmente la charge de travail des DPO, forcés d'analyser au cas par cas les capacités d'identification de chaque destinataire.

Les autorités de régulation (CEPD et EDPS) ont d'ailleurs rendu un avis conjoint cinglant le 11 février 2026, exhortant les colégislateurs à ne pas adopter ce changement qui affaiblirait significativement la protection des citoyens.

2. Intelligence Artificielle : Un ticket gratuit pour la Big Tech ?

L'autre grande manœuvre de cet Omnibus concerne l'Intelligence Artificielle. Sous couvert de favoriser l'innovation, l'article 88c faciliterait l'entraînement des modèles d'IA en érigeant l'intérêt légitime en base légale « par défaut ». Les experts interrogés par le CEDPO s'inquiètent particulièrement de « l’exception d'effort disproportionné » pour la suppression des données dans les modèles déjà entraînés, ce qui pourrait créer une dérogation généralisée pour l'usage de données sensibles.

Pour les détracteurs du projet, c'est un véritable « chèque en blanc » offert aux géants de la Tech. Le test de mise en balance des intérêts, pilier du RGPD, semble ici présumé positif pour l'entreprise. En résumé : un traitement de données qui serait jugé illégal dans un logiciel classique pourrait soudainement devenir légal dès lors qu'il est estampillé «IA». Une rupture de la neutralité technologique qui inquiète fortement les autorités de protection des données.

3. Omnibus IV : la fin du registre ?

Dans le cadre du projet Omnibus IV, la Commission propose de supprimer l'obligation de tenir un Registre des Activités de Traitement pour les organisations de moins de 750 employés (contre 250 actuellement – uniquement pour les activités qui ne sont pas régulières). Cette mesure est massivement rejetée par les professionnels (65,6 % de désaccord), qui considèrent le registre comme l'outil de pilotage indispensable de la conformité. Autant dire que l’arrêt « REGISTRE » doit être marqué ….

4. Droit d'accès : Attention à la marche !

Vous pensiez pouvoir accéder librement à vos données ? La Commission propose de restreindre le droit d'accès (Art. 15) aux seules « fins de protection des données ». Une analyse de NOYB révèle que 83,5 % des demandes d'accès actuelles ne reçoivent déjà pas de réponse adéquate (incomplètes ou sans réponse), apparemment la circulation (des données ? de vos demandes ?) doit être mauvaise…

Cette modification, qui semble répondre à une demande de certains États comme l'Allemagne, permettrait aux entreprises de rejeter des demandes d'accès jugées «abusives », par exemple dans le cadre d'un litige aux Prud'hommes. Problème : cette restriction entre en collision frontale avec la jurisprudence de la Cour de Justice de l'Union européenne (CJUE), qui a toujours affirmé que le droit d'accès n'a pas de limitation de but. Contrairement aux arguments du lobbying industriel, selon le rapport du CDPO et l’analyse de NOYB, 70 % des DPO estiment que le droit d'accès n'entraîne pas une charge de travail importante.

5. La lumière au bout du tunnel

Malgré ces zones de turbulences, l'Omnibus propose des mesures de simplification concrètes que le CEPD et l'EDPS saluent :

• Violations de données : Augmentation du seuil de risque et allongement du délai de notification de 72 heures, permettant une gestion plus sereine des incidents mineurs. Cette mesure est saluée par 73,9 % des participants à l’étude du CEDPO, car elle correspond mieux à la réalité des investigations techniques.
• Standardisation : Création de modèles communs (templates) pour les analyses d'impact - une idée soutenue par 80,4 % des participants à l’étude du CEDPO - et les notifications, facilitant la vie des PME. Un modèle d’analyse d’impact proposé par le CEPD est ouvert aux commentaires jusqu’au 9 juin, n’hésitez pas à participer ! Vous pourriez même suggérer que ce modèle intègre une partie dédiée à l’IA, ce qui aujourd’hui est manquant. https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2026/edpb-dpia-template_fr
• Un p’tit creux en chemin ? Un cookie. Des solutions techniques pour automatiser les choix des utilisateurs et limiter la multiplication des bannières sont proposées.

6. Conseil de notre expert : Gardez votre ticket (de conformité) bien en main

Le projet Omnibus n'est pas encore adopté et fera l'objet de vifs débats au Parlement européen et au Conseil. L'AFCDP (https://afcdp.net/) dont IPGARDE est membre a d'ailleurs porté la voix des DPO devant le Sénat lors d'une audition le 16 avril 2026.

Nos conseils de vigilance stratégique pour 2026 :

• Ne baissez pas la garde sur la définition des données : L'approche subjective est très contestée et pourrait ne jamais survivre à l'examen de la CJUE.
• Anticipez l'IA avec prudence : Même si l'article 88c promet de la souplesse, les principes de proportionnalité et de transparence resteront essentiels pour éviter les recours.
• Continuez à honorer les droits d'accès : Restreindre l'accès à vos données avant l'adoption définitive du texte est une stratégie à haut risque judiciaire.

Conclusion : Le Digital Omnibus promet de simplifier le voyage, mais 59 % des DPO consultés estiment qu'il ne rendra pas leur rôle plus percutant dans leur organisation. Pour l'instant, le conducteur semble hésiter entre la voie de la compétitivité et celle du respect des droits fondamentaux. Un conseil : ne loupez pas le bus de l'actualité réglementaire, car le trajet s'annonce mouvementé !

Vous avez loupé le bus ? Vous ne savez pas à quelle station descendre ? Nous pouvons vous aider pour arriver à destination sans encombre, en vous proposant notamment un accompagnement dans votre conformité ⬇️