Digital Omnibus : simplification du RGPD ou affaiblissement de la protection des données ?

Publié le : 12 Février 2026
-
Modifié le : 17 Février 2026
Image illustration article SYNERWEB Projet Digital Omnibus

Le 19 novembre 2025, la Commission européenne a publié une initiative législative d'ampleur baptisée Digital Omnibus. Officiellement, il vise à simplifier le cadre réglementaire numérique européen, en particulier pour les petites et moyennes entreprises, et lever certains freins à l'innovation.

Mais cette promesse de simplification suscite de fortes inquiétudes. Pour noyb, l'organisation fondée par Max Schrems, le Digital Omnibus constitue « la plus grande attaque contre les droits numériques européens depuis des années ». Le 11 février 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (EDPS) ont publié un avis conjoint confirmant la pertinence des préoccupations à l'origine de ces propositions et demandant notamment le rejet de certaines modifications clés du RGPD.

Pour les professionnels du marketing digital, ce projet soulève une question centrale : assiste-t-on à une simplification utile ou à un affaiblissement structurel de la protection des données ?

Résumé de l’article

Le Digital Omnibus propose de modifier simultanément le RGPD et six autres réglementations numériques européennes, avec pour objectif affiché de simplifier le cadre réglementaire pour les PME.

Les ajustements prévus au RGPD — redéfinition des données personnelles, exemption "recherche et innovation", nouvelles bases légales pour les cookies — soulèvent des inquiétudes quant à un affaiblissement de la protection des données dans un contexte d'IA générative et de big data. Le CEPD et l'EDPS ont demandé aux colégislateurs de rejeter la modification de la définition des données personnelles et ont exprimé des réserves sur plusieurs autres propositions.

Pour les professionnels du marketing digital, l'enjeu est de maintenir la conformité actuelle tout en anticipant des évolutions qui pourraient simplifier certaines pratiques (mesure d'audience, exploitation des données) mais aussi introduire des zones d'incertitude juridique durant la période de transition.

Qu'est-ce que le Digital Omnibus ?

Le Digital Omnibus est un paquet de propositions législatives visant à modifier simultanément plusieurs textes majeurs du cadre numérique européen. Cette approche dite omnibus permet d'introduire, en une seule initiative, des ajustements coordonnés sur différents règlements déjà en vigueur ou en cours de déploiement.

Le périmètre couvre notamment :

  • le Règlement général sur la protection des données (RGPD),
  • le règlement sur l'intelligence artificielle (AI Act),
  • le Digital Services Act (DSA),
  • le Digital Markets Act (DMA),
  • la directive NIS2 sur la cybersécurité,
  • le règlement DORA sur la résilience opérationnelle,
  • et le Data Act, relatif au partage et à l'accès aux données.

L'objectif affiché par la Commission est double :

  • réduire la charge administrative, en particulier pour les PME,
  • clarifier l'articulation entre des textes récents, parfois perçus comme complexes ou redondants.

La proposition complète est accessible en ligne sur le site de la Commission européenne. Le document PDF officiel détaille l'ensemble des modifications envisagées et leur justification.

Le Digital Omnibus remplace-t-il le RGPD ?

Non, le Digital Omnibus ne remplace pas le RGPD. Il propose des modifications ciblées de certaines définitions, droits et bases légales, susceptibles d'en modifier l'application concrète pour les acteurs du marketing et de la data.
Le RGPD demeure le socle de la protection des données personnelles en Europe. il n’ est ni abrogé ni remplacé.

Les principales mesures du Digital Omnibus qui impactent le RGPD

Le Digital Omnibus propose cinq modifications majeures du RGPD qui soulèvent des interrogations chez les défenseurs de la protection des données.

Redéfinition des données personnelles

Le projet introduit une approche contextuelle : une information ne serait qualifiée de donnée personnelle que si le responsable de traitement est raisonnablement en mesure d'identifier une personne avec les moyens disponibles, même si une réidentification ultérieure par recoupement avec d'autres sources reste possible.

➡️ Cette redéfinition réduirait le champ d’application du RGPD et ajouterait de la subjectivité (notamment pour certains IDs/pseudonymes). Le CEPD et l’EDPS demandent explicitement aux colégislateurs de ne pas l’adopter, estimant qu’elle restreindrait significativement la notion de donnée personnelle.

Exemption « recherche et innovation »

Le Digital Omnibus prévoit un motif d'exemption de consentement pour les traitements à des fins de recherche, d'innovation ou de développement technologique. La formulation est large et inclut notamment, comme exemple explicitement mentionné dans la proposition, l'entraînement de modèles d'intelligence artificielle. Elle pourrait également couvrir :

  • l'amélioration de produits ou services numériques,
  • l'analyse exploratoire de données.

➡️ L’entraînement de modèles d’IA est explicitement visé dans la proposition, mais le CEPD et l’EDPS jugent que l’article 88c ne clarifie pas réellement la base juridique : l’intérêt légitime resterait soumis au test en trois étapes (nécessité, proportionnalité, mise en balance).

Limitation du droit d'accès

Le droit d’accès (article 15 du RGPD) permet aujourd’hui à toute personne d’obtenir une copie de ses données et des informations sur leur utilisation. Il peut être exercé sans avoir à expliquer pourquoi.

Le Digital Omnibus envisage de lier explicitement ce droit à la protection des données personnelles.

➡️ En liant le droit d’accès à la seule “protection des données”, la proposition pourrait encourager une lecture plus restrictive. Le CEPD et l’EDPS alertent qu’une telle limitation irait à l’encontre de la jurisprudence de la CJUE : exercer ce droit pour des motifs juridiques, économiques, journalistiques ou politiques ne doit pas être considéré comme abusif en soi.

Exemption PME des politiques de confidentialité

Le projet prévoit une exemption partielle pour les PME, notamment concernant les politiques de confidentialité. Mais cette exemption comporte de nombreuses exceptions, en particulier lorsque des outils hors UE sont utilisés — ce qui est le cas de la majorité des solutions marketing et cloud.

➡️ L’allègement pourrait rester limité en pratique (nombreuses exceptions, outils hors UE). Le CEPD et l’EDPS soutiennent l’objectif de simplification pour les PME, mais demandent des clarifications pour garantir que les personnes reçoivent toujours les informations nécessaires sur l’usage de leurs données.

Nouvelles bases légales pour les cookies et traceurs

Le Digital Omnibus propose de nouvelles bases légales permettant l'accès à certaines informations stockées sur les terminaux pour :

  • la mesure d'audience,
  • la sécurité des appareils.

➡️ Ces bases légales, formulées largement, inquiètent : elles pourraient faciliter un traçage au-delà du strict nécessaire. Le CEPD et l’EDPS soutiennent l’objectif de réduire la “fatigue du consentement” (moins de bannières), mais demandent des clarifications pour éviter des effets indésirables et sécuriser l’articulation entre régimes.

Au-delà du RGPD : quels sont les autres changements du Digital Omnibus ?

Le Digital Omnibus ne se limite pas au RGPD. La proposition s’inscrit dans une logique de simplification et d’harmonisation du cadre numérique européen, avec des ajustements documentés sur l’AI Act, les règles de cybersécurité (NIS2/DORA) et le cadre des données (Data Act) — et, plus largement, l’environnement réglementaire des plateformes, structuré par le DSA et le DMA.

Digital Omnibus et AI Act : quelles évolutions pour l'intelligence artificielle ?

Le AI Act, adopté en 2024, encadre les systèmes d’intelligence artificielle selon une approche fondée sur le niveau de risque (interdit, haut risque, risque limité, risque minimal).

Un volet spécifique du paquet – souvent désigné comme “Digital Omnibus on AI” – prévoit des ajustements ciblés destinés à en faciliter la mise en œuvre opérationnelle.

Dans l’état actuel de la proposition, ces ajustements visent principalement à :

  • clarifier certaines obligations et mécanismes de conformité,
  • améliorer la cohérence du calendrier d’application, notamment en lien avec la disponibilité des normes harmonisées,
  • réduire certaines charges administratives, en particulier pour les acteurs de plus petite taille.

➡️ L’architecture par niveaux de risque n’est pas remise en cause : l’objectif affiché est surtout de rendre l’AI Act plus applicable (clarifier certaines obligations, ajuster la mise en œuvre). Le CEPD et l’EDPS soutiennent l’objectif de simplification, mais rappellent que ces ajustements ne doivent pas affaiblir les garanties de protection des personnes.

Digital Omnibus et DSA/DMA : quel impact sur les plateformes numériques ?

À ce stade, les documents publics de la Commission ne détaillent pas de modifications substantielles du contenu du Digital Services Act (DSA) ou du Digital Markets Act (DMA).

En revanche, le Digital Omnibus s’inscrit dans une démarche globale de simplification et de cohérence du “digital acquis”, visant à réduire les chevauchements réglementaires entre textes numériques.

➡️ Pour les plateformes régies par le DSA et le DMA, l’impact attendu relève davantage d’une clarification de l’articulation avec d’autres cadres (protection des données, cybersécurité, données industrielles) que d’une réécriture de leurs obligations fondamentales.

Digital Omnibus et NIS2 : quels ajustements en cybersécurité ?

La directive NIS2 impose des obligations renforcées en matière de gestion des risques et de notification d’incidents pour un large périmètre d’entités.

Les analyses juridiques du Digital Omnibus indiquent que la proposition comprend des mesures destinées à :

  • réduire les doublons de reporting entre différents cadres (notamment NIS2, DORA et RGPD),
  • rationaliser les mécanismes de notification d’incidents,
  • améliorer la cohérence des exigences administratives.

➡️ L’objectif affiché est de réduire la charge administrative liée aux obligations de notification, sans abaisser le niveau de protection. Le CEPD et l’EDPS soutiennent le relèvement du seuil et l’allongement des délais de notification des violations de données, qu’ils jugent compatibles avec cette exigence.

Digital Omnibus et DORA : quoi pour la résilience opérationnelle ?

Le règlement DORA, applicable depuis janvier 2025, impose aux entités financières des obligations strictes en matière de résilience opérationnelle numérique.

Le Digital Omnibus ne remet pas en cause les principes fondamentaux de DORA, mais propose des ajustements visant à :

  • harmoniser certaines obligations de notification d’incidents avec d’autres cadres (notamment NIS2),
  • réduire les redondances administratives,
  • améliorer la cohérence du cadre de supervision.

➡️ L’enjeu est de simplifier la conformité croisée pour les acteurs financiers soumis à plusieurs textes numériques simultanément.

Digital Omnibus et Data Act : quelle évolution pour le partage de données ?

Le Data Act encadre l’accès et le partage des données, notamment celles générées par les objets connectés.

Le Digital Omnibus inclut des ajustements visant à renforcer la cohérence entre le Data Act et d’autres textes du cadre numérique européen (RGPD, Data Governance Act, règles sur la libre circulation des données non personnelles).

Ces modifications s’inscrivent dans une logique de :

  • simplification,
  • clarification des interactions entre textes,
  • réduction des incertitudes juridiques pour les acteurs économiques.

➡️ L’objectif est de rendre le cadre des données plus lisible. Le CEPD et l’EDPS soutiennent la simplification, notamment via une meilleure intégration de certains dispositifs “data”, mais recommandent de préserver des garanties spécifiques (intermédiation, altruism, urgences publiques).

Quelles implications concrètes pour les professionnels du marketing digital ?

Le Digital Omnibus n'est qu'une proposition, mais les professionnels doivent déjà anticiper. Entre maintien de la conformité actuelle et préparation d'éventuels changements, voici les actions à mener.

À court terme : que faire maintenant ?

Maintenir la conformité actuelle. Les règles en vigueur (RGPD, lignes directrices de la CNIL, gestion du consentement) restent pleinement applicables. Aucune modification de vos pratiques n'est justifiée à ce stade.

Mettre en place une veille active. Le texte évoluera significativement lors des débats au Parlement européen et au Conseil. L'avis du CEPD et de l'EDPS du 11 février 2026 constitue une contribution majeure qui pourrait influencer substantiellement le processus législatif. Suivez les positions des autorités, notamment celle de la CNIL qui coordonne avec le Comité européen de la protection des données (CEPD).

Participer aux consultations. Si des consultations publiques sont organisées, profitez-en pour faire entendre la voix de votre secteur.

En cas d'adoption : quelles adaptations prévoir ?

Revoir vos bases légales. Compte tenu des réserves exprimées par le CEPD et l'EDPS sur l'exemption "recherche et innovation", il est peu probable que cette disposition soit adoptée en l'état. Les nouvelles exemptions pour la mesure d'audience pourraient néanmoins simplifier la collecte de données analytics. Analysez si vos traitements actuels pourraient bénéficier de ces nouvelles bases légales, sous réserve des clarifications à venir.

Adapter vos CMP. Si les nouvelles bases légales pour les cookies sont adoptées, vos bandeaux de consentement et plateformes de gestion devront être reconfigurés. Le CEPD et l'EDPS soutenant l'objectif de réduire la fatigue du consentement, cette mesure a davantage de chances d'être adoptée, mais probablement avec des ajustements techniques. Anticipez ces changements avec vos prestataires.

Auditer vos prestataires hors UE. L'exemption PME ne s'appliquera probablement pas si vous utilisez des solutions américaines (Google Analytics, Meta Ads, AWS, etc.). Vérifiez que vos clauses contractuelles et garanties de transfert restent conformes.

Former vos équipes. Les zones grises entre anciennes et nouvelles règles créeront une période d'incertitude. Préparez vos équipes marketing, commerciales et techniques aux différents scénarios possibles.

Quand le Digital Omnibus entrera-t-il en vigueur ?

Aucune date n'est arrêtée. Le texte doit passer par l'examen du Parlement européen, du Conseil, et potentiellement par des négociations en trilogue — processus qui peut s'étendre sur 18 à 24 mois.

L'avis du CEPD et de l'EDPS, qui s'oppose formellement à certaines propositions clés (notamment la redéfinition des données personnelles), pourrait allonger les délais de négociation ou conduire à des modifications substantielles du texte initial.

Une période de transition sera également prévue pour permettre aux entreprises de s'adapter.

Au-delà des ajustements techniques, le Digital Omnibus pourrait marquer une inflexion dans la politique numérique européenne : après une phase d’intensification réglementaire entre 2018 et 2024, l’Union européenne semble entrer dans une logique de rationalisation et d’équilibre entre protection des droits fondamentaux et compétitivité économique. Toutefois, la position ferme des autorités de protection des données indique que cet équilibre reste contesté et fera l'objet de débats approfondis.

Glossaire

  • RGPD : Règlement général sur la protection des données
  • AI Act : Règlement européen sur l'intelligence artificielle
  • DSA : Digital Services Act (réglementation des services numériques)
  • DMA : Digital Markets Act (réglementation des marchés numériques)
  • NIS2 : Directive sur la cybersécurité des réseaux et systèmes d'information
  • DORA : Digital Operational Resilience Act (résilience opérationnelle numérique)
  • Data Act : Règlement sur les données
  • CMP : Consent Management Platform (plateforme de gestion du consentement)
  • CNIL : Commission nationale de l'informatique et des libertés
  • CEPD : Comité européen de la protection des données
  • EDPS : Contrôleur européen de la protection des données

Besoin d’anticiper l’impact du Digital Omnibus sur vos pratiques data et marketing ?

Chez SYNERWEB, nous accompagnons les ETI et grands comptes dans l’évolution de leurs dispositifs de conformité et de performance, en intégrant les enjeux du RGPD, des traceurs (CMP), de l’analytics et des environnements data-driven en constante évolution.

Contactez nos équipes pour analyser votre écosystème et identifier les adaptations prioritaires.

Par :
Vincent BES
Expert Web Analytics

SEO/Content
Paid Media
Web Analytics / Data

Échangeons sur votre projet
Contactez-nous
Nous suivre