Quand le RGPD a été adopté, l’ambition était claire : restaurer la confiance dans le numérique, encadrer la collecte massive de données et harmoniser un patchwork de lois nationales.
Concrètement, cela s’est traduit pour les entreprises par des registres à tenir, des mentions d’information à revoir, des analyses d’impact pour certains traitements, des contrats à mettre à jour, des bannières cookies à déployer, le tout dans un environnement où se sont ajoutés depuis le Data Act, le DSA, le DMA, puis l’AI Act.
Résultat ? Beaucoup d’organisations ont le sentiment de naviguer dans une “usine à gaz” réglementaire, avec une vraie fatigue de conformité côté PME et acteurs de l’IA. La Commission européenne a entendu ce discours et revient aujourd’hui avec un texte présenté comme une simplification : le projet « Digital Omnibus ».
Quels sont les changements proposés par le projet Omnibus ?
Derrière le mot “simplification”, l’idée officielle est de rationaliser l’ensemble du cadre numérique européen dans un seul paquet : RGPD, directive ePrivacy, Data Act, règles cybersécurité et ajustements de l’AI Act. L’objectif affiché est de supprimer les doublons, clarifier les obligations et réduire la charge administrative, en particulier pour les PME et les start-up de l’IA.
Première brique, la définition même de “donnée personnelle”.
Le projet Omnibus s’inspire d’une approche beaucoup plus subjective : une information ne serait personnelle que pour un acteur qui dispose, lui-même, de moyens raisonnables d’identifier une personne. Si un tiers peut identifier mais pas vous, le texte considère que, pour vous, ce ne serait plus une donnée personnelle. Concrètement, des identifiants pseudonymes, des cookies, des IDs marketing ou des logs pourraient, pour certains acteurs, basculer hors champ du RGPD, là où la jurisprudence européenne avait jusqu’ici adopté une vision très large.
Deuxième brique, les données sensibles.
Le brouillon restreint la protection renforcée aux seules données qui “révèlent directement” l’état de santé, l’orientation sexuelle, les opinions politiques, les convictions religieuses, etc. Tout ce qui relève de l’inférence et du profilage – par exemple déduire une pathologie, une orientation ou une opinion à partir de comportements en ligne – tomberait dans un régime moins protecteur. Dans le même temps, de nouveaux motifs de traitement de données sensibles sont ajoutés pour le développement et parfois l’exploitation des systèmes d’IA, sur le fondement de l’intérêt légitime, dès lors que des “mesures appropriées” sont prévues. Le message est assez limpide : faciliter l’entraînement des modèles d’IA sur des données très sensibles, tout en gardant un vernis de garanties procédurales.
Troisième terrain, les obligations “de process” du RGPD.
Le projet prévoit une exemption de registre des traitements pour les entreprises de moins de 750 salariés, sauf en cas de traitements à risque élevé, dans l’optique de réduire d’au moins 25 % la charge administrative globale et de 35 % pour les PME.
Les notifications de violation de données ne seraient plus exigées qu’en cas de risque élevé pour les personnes, avec un délai porté de 72 à 96 heures. Certaines demandes de droits pourraient être écartées plus facilement lorsqu’elles sont jugées abusives. L’obligation d’information serait, elle aussi, assouplie dans le cadre d’une relation “claire et délimitée”, dès lors que l’on peut raisonnablement supposer que la personne connaît déjà les finalités, la base légale et l’identité du responsable de traitement. Sur le papier, on allège la charge administrative. Dans les faits, on réduit aussi la visibilité pour les personnes concernées et le niveau de contrôle des autorités.
Quatrième bloc, la fusion partielle avec ePrivacy et la question des cookies.
Le projet introduit dans le RGPD de nouveaux articles sur l’accès aux terminaux (ordinateurs, smartphones, objets connectés) et sur l’expression du consentement via des signaux standardisés au niveau du navigateur. Une série d’accès au terminal serait possible sans consentement (acheminer une communication, fournir un service demandé, mesurer l’audience, assurer la sécurité), le reste basculant sous les bases légales de l’article 6, y compris l’intérêt légitime dans certains cas. On voit poindre un “super-consentement” géré par le navigateur, avec moins de bannières, mais potentiellement plus de marge pour le tracking et l’entraînement de modèles d’IA sur les données de navigation, dès lors qu’un signal global est interprété comme suffisant.
Ce qu’il faut en retenir, ici et maintenant
À ce stade, Omnibus n’est qu’un brouillon qui a fuité. Le texte officiel doit encore être présenté, puis négocié avec le Parlement et le Conseil.
Juridiquement, rien n’a changé pour l’instant.
En revanche, c’est un très bon moment pour reprendre la main sur votre conformité : cartographier vos traitements, consolider vos bases légales, documenter vos analyse d’impact, challenger vos pratiques cookies et vos recours à l’intérêt légitime, …
Bref, transformer votre conformité en actif pilotable plutôt qu’en empilement de docs.
Si demain Omnibus allège certaines briques, vous serez en position d’arbitrer en conscience ce que vous êtes prêts à desserrer… sans lâcher la protection des personnes et sans vous mettre en risque.
