La Commission européenne travaille actuellement sur un vaste paquet de réforme et de consolidation du droit numérique européen, intitulé “Omnibus numérique”. La Commission souhaite ainsi éliminer les chevauchements entre le droit de la protection des données, le droit des données et le droit de l’IA, simplifier les réglementations et réduire la charge administrative pour les entreprises et les autorités, mais bien entendu sans affaiblir la protection des droits fondamentaux.
Des projets, dont la publication officielle est annoncée pour le 19 novembre 2025, sont disponibles. Ils seront suivis de la procédure législative ordinaire au Conseil et au Parlement. Les projets présentent des modifications étonnamment profondes du Data Act, du RGPD et de l’AI Act.
Concrètement, la Commission prévoit deux règlements omnibus (documents via netzpolitik.org) :
- Omnibus I (“Omnibus numérique pour l’acquis numérique”): consolidation du Data Act, de la directive Open Data et du Data Governance Act et adaptations du RGPD.
- Omnibus II (“Omnibus numérique sur l’IA”): Adaptations de l’AI Act.
noyb avertitLe projet pourrait porter atteinte aux principes fondamentaux du RGPD, par exemple en limitant la notion de données personnelles. Le projet poursuit une stratégie de “mort par mille coupures” qui affaiblit systématiquement les normes de protection existantes.
Omnibus I
Loi sur les données
Le projet existant Loi sur les données doit être menée conjointement avec la Directive sur les données ouvertes et le Loi sur la gouvernance des données en un seul acte juridique consolidé. Les nouveautés suivantes devraient notamment en découler :
- Maintenir l’interdiction des exigences de localisation des données au sein de l’UE ;
- des garanties renforcées contre la divulgation non autorisée de secrets d’affaires à des pays tiers ;
- Extension des allègements existants pour les PME aux “small mid-caps” (SMCs) ;
- des tarifs plus élevés et des conditions plus strictes pour la réutilisation des données publiques par les très grandes entreprises et les gatekeepers au sens du Digital Markets Act (DMA) ;
- uniformiser les règles relatives aux données administratives ouvertes, aux données protégées et à l’altruisme en matière de données
- en outre, la Règlement établissant un cadre pour la libre circulation des données à caractère non personnel dans l’UE être intégrées dans le Data Act
- L’accès aux données par les autorités ne doit plus être autorisé qu’en cas de “situation d’urgence publique” ;
- le chapitre sur les contrats intelligents est supprimé.
RGPD
Le RGPD doit également être adapté dans le but de clarifier des notions centrales et de réduire les obligations en cas de traitement anodin. Les principales adaptations sont les suivantes :
- Précision de la Définition des données à caractère personnel, clarification selon laquelle la référence aux personnes suppose une possibilité d’identification réaliste ;
- Clarification du Notion de données de santé (uniquement les données “directly revealing information about health status” – un abandon de la Jurisprudence de la CJCE);
- Exemption d’une utilisation données biométriques “pour confirmer l’identité sous le seul contrôle de la personne concernée” ;
- Admissibilité du traitement de catégories particulières pour Développement et exploitation de l’IA;
- Notification des violations de la sécurité:
- Prolongation du délai de déclaration obligatoire à 96 heures ;
- notification des violations de sécurité via un système de point d’entrée unique (“Single Entry Point for Incident Reporting”). Ainsi, les obligations de notification doivent pouvoir être remplies simultanément selon la directive NIS2, le RGPD, DORA ; selon le Digital Identity Regulation et, le cas échéant, selon la directive CER ;
- Listes négatives uniformes dans toute l’UE pour les traitements qui ne sont pas Analyse d’impact sur la protection des données exigent ;
- Droit de refus en cas d’utilisation manifestement contraire au but ou abusive Demande de renseignements.
La Commission propose également que le Entraînement de modèles d’IA avec des données personnelles se fondera à l’avenir sur l’intérêt légitime selon l’art. 6, al. 1, let. f du RGPD (ce qui montre le mauvais sentiment qui prévalait jusqu’à présent à ce sujet).
Cookies et suivi en ligne
Le traitement de données personnelles sur ou à partir d’équipements terminaux – c’est-à-dire le Suivi – ne devrait plus se baser que sur le RGPD. L’exigence fondamentale de consentement prévue par la directive ePrivacy (article 5, paragraphe 3) serait supprimée. Il est prévu à la place un système de préférences lisible par machine pour les cookies et le tracking via les paramètres du navigateur ou de l’application, que les exploitants de sites web doivent respecter (sauf les fournisseurs de médias…).
Omnibus II : AI Act
Le Digital Omnibus on AI vise à simplifier l’AI Act. Les retours d’information sur la mise en œuvre jusqu’à présent ont montré des retards et des ambiguïtés. La commission propose les mesures suivantes :
- une éventuelle adaptation des Délais de mise en œuvreLe Conseil a décidé d’adopter une nouvelle directive sur l’accès à l’information, afin de tenir compte des retards dans la normalisation et la désignation des autorités ;
- Période de transition pour l’obligation d’étiquetage (“Watermarking”) pour les systèmes d’IA mis sur le marché avant l’entrée en vigueur de cette obligation ;
- Extension des facilités pour PME sur les small mid-caps (zsimplification des obligations de documentation, prise en compte dans les sanctions éventuelles) ;
- Engagement de la Commission et des États membres, Littératie AI promouvoir eux-mêmes, plutôt que de mettre uniquement les déployeurs à contribution ;
- Réduction de la Obligations d’enregistrement pour les systèmes d’IA qui, bien qu’utilisés dans des domaines à haut risque, ne remplissent que des tâches procédurales ou étroitement limitées ;
- Admissibilité de l’utilisation catégories particulières de données personnelles par les fournisseurs ou les déployeurs dans le but de détecter et de corriger les biais ;
- Étendre l’utilisation des environnements de test (“AI Sandboxes”) et des tests en monde réel ;
- Clarification du Interaction entre l’AI Act, le Cyber Resilience Act et le DSA ;
- Centralisation de la Supervision sur les systèmes d’IA dans de très grandes plateformes en ligne et des moteurs de recherche auprès de l’AI Office.