Accueil
Insights
L’Omnibus numérique: une nouvelle étape dans la gouvernance numérique de l’Union européenne

L’Omnibus numérique: une nouvelle étape dans la gouvernance numérique de l’Union européenne

Contentieux

Le paquet législatif dit « Omnibus numérique », présenté par la Commission européenne le 19 novembre 2025, vise à simplifier et harmoniser le cadre juridique numérique européen – constitué notamment du Data Act, du RGPD et de l’IA Act – tout en renforçant la compétitivité européenne. Ce paquet prévoit notamment des assouplissements ciblés du RGPD et de l’IA Act.

Encore en discussion, ces propositions de règlements pourraient être adoptées à l’horizon 2026-2027 et restent susceptibles d’évolutions.

L’Omnibus numérique se décline en deux propositions de règlement, l’une notamment consacrée aux données, à la cybersécurité et au RGPD, l’autre dédiée aux ajustements du règlement européen sur l’IA.

Les principales évolutions du RGPD introduites par l’Omnibus numérique :

Précision de la définition des données à caractère personnel

Actuellement, le RGPD^[1] définit la donnée à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.

L’Omnibus numérique recentre cette notion sur l’existence « de moyens raisonnables » d’identification de la personne concernée^[2]. Des données pseudonymisées pourraient ainsi, pour certains destinataires, ne pas être considérées comme des « données à caractère personnel » et, partant, sortir du champ du RGPD, lorsque ces derniers ne disposent d’aucun moyen raisonnable de réidentifier les personnes concernées.
L’objectif est d’assouplir les conditions d’usage de données pseudonymisées, notamment pour le développement et l’entraînement de systèmes d’IA.

L’Omnibus numérique prévoit la possibilité pour la Commission d’adopter des règlements d’exécution, afin de préciser les critères applicables.

Un assouplissement de l’obligation d’information

Le RGPD^[3] impose au responsable de traitement d’informer la personne concernée au moment de la collecte directe de ses données (notamment sur l’identité du responsable de traitement, les finalités du traitement, les destinataires, la durée de conservation, etc.) sauf lorsqu’elle dispose déjà de ces informations.

L’Omnibus numérique propose d’étendre cette dérogation à l’obligation d’information dans les situations suivantes :

dans le cadre « d’une relation claire et circonscrite » entre le responsable de traitement et les personnes concernées : lorsqu’il existe des moyens raisonnables de supposer que la personne concernée dispose déjà de ces informations, lorsque l’activité du responsable de traitement n’est pas complexe, implique une collecte de faible quantité de données à caractère personnel et n’est pas susceptible d’engendrer un risque élevé (exemples : relation artisans-client, relations club sportif-adhérents etc.). Cette dérogation ne s’appliquerait pas en cas de communication des données à des tiers ou de transfert hors de l’Union européenne.
lorsque le traitement a lieu à « des fins de recherche scientifique » : lorsque la fourniture des informations est impossible, nécessiterait des efforts disproportionnés ou susceptible de compromettre la recherche.

Clarification des limites au droit d’accès

Le RGPD prévoit que toute personne a un droit d’accès gratuit à ses données lorsqu’elles font l’objet d’un traitement^[4]. Lorsque les demandes d’accès sont « manifestement infondées ou excessives », le responsable de traitement peut néanmoins exiger le paiement de « frais raisonnables » ou refuser d’y donner suite^[5].

L’Omnibus numérique propose de clarifier :

les cas dans lesquels le droit d’accès est exercé de manière abusive ou excessive, c’est-à-dire à des fins autres que la protection des données à caractère personnel (exemples : demandes exercées afin d’exiger le paiement d’une indemnisation, ou dans l’intention de causer un dommage au responsable de traitement, demandes trop larges ou génériques etc.)
les conditions permettant de démontrer qu’une demande d’accès est abusive ou excessive.

Cette clarification permettrait d’alléger la charge de la preuve qui incombe au responsable de traitement.

Un assouplissement de l’interdiction de traitement des données sensibles

Le RGPD interdit en principe le traitement des données dites sensibles telles que l’origine raciale ou ethnique, les données de santé et les données biométriques, sauf exceptions strictement encadrées^[6].

L’Omnibus numérique introduit plusieurs assouplissements ciblés :

En matière de données biométriques : le traitement serait autorisé lorsqu’il est strictement nécessaire pour confirmer l’identité et que les données et moyens de vérification restent sous le contrôle exclusif de la personne concernée ;
Dans le cadre du développement et de l’exploitation d’un système ou d’un modèle d’IA : le traitement résiduel de données sensibles pourrait être toléré, sous réserve de la mise en œuvre de mesures techniques et organisationnelles visant à éviter leur collecte et leur traitement, à les supprimer si elles sont détectées, ou à les protéger pour éviter leur divulgation.

Une extension de la base légale de l’intérêt légitime dans le domaine des IA

Le traitement de données à caractère personnel réalisé dans le cadre de l’entraînement, du développement et de l’exploitation d’un système ou de modèle d’IA, pourrait se fonder sur la base légale de l’intérêt légitime, sauf lorsque la loi exige le consentement de la personne concernée, et sous réserve que le responsable de traitement mette en place des mesures techniques et organisationnelles adaptées.

Cette proposition vise, à l’évidence, à encourager le développement de solutions d’intelligence artificielle innovantes au sein de l’Union européenne.

Une évolution des règles en matière de violation de données

L’Omnibus numérique prévoit un allègement du mécanisme de notification auprès des autorités compétentes en cas de violation de données :

Cette notification ne serait requise qu’en cas de « risque élevé » pour la personne concernée,
et devra être réalisée dans un délai de 96 heures (au lieu de 72 heures actuellement).

Cookies : vers un cadre unique

Les « cookies » sont aujourd’hui encadrés à la fois par la directive « vie privée et communications électroniques ^[7]» et par le RGPD.

Dans un souci de simplification, l’omnibus numérique propose :

d’intégrer au sein du RGPD une partie de la directive « vie privée et communications électroniques » s’agissant du consentement portant sur le stockage et l’accès aux données à caractère personnel sur le terminal de la personne concernée;
d’améliorer l’expérience utilisateur en facilitant son consentement via un bouton à clic unique ;
d’élargir les cas dans lesquels aucun consentement ne serait exigé, notamment lorsque le traitement est strictement nécessaire à la transmission de communications électroniques, ou à la fourniture d’un service demandé par l’utilisateur.

Les principales évolutions de l’IA Act introduites par l’Omnibus numérique :

L’omnibus numérique prévoit notamment :

un report de 16 mois l’application de certaines obligations applicables aux systèmes d’IA à haut risque, afin de permettre la mise à disposition de normes harmonisées nécessaires à leur application, et de moyens concrets de mise en conformité. La nouvelle date d’entrée en vigueur serait fixée au 2 décembre 2027 (au lieu d’août 2026) ;
l’extension des mesures de simplification réglementaires prévues pour les PME à des entreprises de taille intermédiaire, notamment des exigences allégées en matière de documentation technique applicable aux systèmes d’IA à haut risque ;
l’instauration d’une procédure unique de notification pour les organismes chargés du contrôle de conformité
l’assouplissement des conditions de surveillance des systèmes d’IA après commercialisation.

Conclusion

L’Omnibus numérique marque une étape importante dans l’évolution de la gouvernance numérique européenne.

En assouplissant de manière ciblée certains règlements majeurs comme le RGPD et l’IA Act, la Commission européenne cherche à trouver un équilibre entre protection des droits fondamentaux, sécurité juridique et soutien à l’innovation, en particulier dans le domaine de l’intelligence artificielle. Encore en discussion, ce paquet législatif illustre néanmoins la volonté de l’Union européenne d’adapter son cadre réglementaire aux réalités technologiques et économiques, tout en renforçant sa compétitivité à l’échelle internationale.

Notes :

Article 4 du RGPD
Cette proposition s’inscrit dans la continuité de l’arrêt de la CJUE du 4 septembre 2025 (C-413/23 P, CEPD/CRU)
Article 13 du RGPD
Article 15 RGPD
Article 12 para 5 RGPD
Article 9 RGPD
Directive 2002/58/CE

Février 2026

Auteurs de l’article

Lorraine Bazin

Avocate

Garance Caetano

Stagiaire Avocate

Ces insights pourraient vous intéresser

Brevet

Loi Influence : ce que les influenceurs, leurs agents et les annonceurs doivent savoir !

La Loi Influence, récemment modifiée, encadre désormais strictement les collaborations entre influenceurs, agents et annonceurs. Promotion de produits réglementée ou interdite, obligations de transparence renforcées, contrats écrits obligatoires, mentions légales…

Brevet

Sécuriser les droits d’auteur à l’ère de l’Intelligence Artificielle Générative

Depuis l’avènement de l’IA générative, la protection des droits d’auteur est bouleversée, que ce soit lors de l’entraînement des données ou de la création d’œuvres. Cet article décrit les solutions…

Brevet

AI Act – les nouvelles règles encadrant les systèmes d’IA

Pour encadrer l’utilisation de l’IA tout en encourageant l’innovation, l’Union européenne a adopté l’AI Act qui vise à mettre en place des règles spécifiques en fonction des risques potentiels que…

Retour aux articles