La Commission européenne travaille sur un texte de simplification de la conformité en matière d’intelligence artificielle, de cybersécurité et de données. Le RGPD fait partie des normes qui devraient bénéficier d’une simplification.
Le 19 novembre 2025, la Commission européenne a publié un communiqué indiquant qu’un « omnibus numérique » était en préparation afin de simplifier la conformité en matière d’intelligence artificielle, de cybersécurité et de données.
L’objectif est de soulager les investissements en matière de conformité et de « travail administratif » et, en conséquence, de réaliser des économies de plusieurs milliards d’euros.
Le projet d’omnibus numérique, qui doit prochainement être soumis au Parlement Européen, prévoit un certain nombre d’éléments visant à simplifier la mise en conformité au RGPD.
Définitions de données personnelles, notification des violations, accès aux données des terminaux des personnes physiques
La définition de « données personnelle » intégrera le fait qu’une information puisse être une « donnée personnelle » à l’égard d’une entité, mais pas nécessairement à l’égard d’une autre, conformément à la position de la CJUE (telle qu’exprimée dans sa décision relative à la pseudoynmisation).
Le délai de notification des violations des données sera allongé à 96 heures et la notification devra être réalisée auprès d’un guichet commun au RGPD, à NIS 2 et à DORA.
L’accès à des données personnelles conservées dans le terminal d’une personne physique ne sera autorisé qu’avec le consentement de cette personne, ou bien dans le cadre de certaines exceptions, listées dans un nouvel article dédié.
Règles dérogatoires en matière d’IA
Un nouvel article permettra de traiter des données personnelles dans le contexte du développement et de l’exploitation d’un système d’IA sur la base de l’intérêt légitime, sauf si le droit national ou celui de l’UE requiert explicitement de recueillir le consentement de la personne concernée.
Le traitement de « catégories particulières » de données personnelles (ou « données sensibles ») sera autorisé dans deux nouveaux cas de figure :
- dans le cadre d’un traitement incident de ces données, en vue de développer un système d’IA, le responsable du traitement devant alors implémenter un certain nombre de mesures, visant notamment à éviter que ces données ne soient divulguées d’une quelconque manière, par exemple via les outputs d’une IA générative ;
- dans le cadre de la confirmation de l’identité d’une personne concernée, s’il s’agit de données biométriques demeurant « sous le contrôle exclusif » de la personne concernée.
Cas d’exemption d’information
L’information due au titre de l’article 13 du RGPD n’aura plus à être délivrée aux personnes concernées en cas d’une collecte directe respectant les conditions suivantes :
- la collecte a lieu dans le contexte d’une relation claire et circonscrite entre la personne concernée et le responsable du traitement ;
- le responsable du traitement n’exerce pas une activité « data intensive » ;
- la personne concernée a déjà connaissance de l’identité du responsable du traitement et de la finalité du traitement ;
- le responsable du traitement ne communique pas les données à un destinataire, ne transfère pas les données vers des pays tiers à l’UE et ne procède pas à une prise de décision automatisée ou à un traitement soumis à analyse d’impact.
Source : https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2718