Le 19 novembre 2025, la Commission européenne a présenté la proposition de règlement « Digital Omnibus » (COM (2025) 837 final) visant à simplifier le cadre législatif numérique de l’Union européenne. Cette réforme d’ampleur consolide plusieurs textes, modifie des dispositions sensibles du RGPD, revoit les règles de réutilisation des données publiques et rationalise les obligations de cybersécurité, tout en préservant les objectifs fondamentaux de protection des droits et de marché unique numérique. Cet article revient sur les principales modifications apportées par la proposition de texte.
Une consolidation stratégique du droit européen des données
Un Data Act unifié au centre du jeu normatif
La proposition de texte du règlement Omnibus numérique (« Digital Omnibus » en anglais) opère une refonte d’ampleur du droit européen des données. La Commission propose en effet d’intégrer dans le règlement UE 2023/0854 sur les données (« Data Act ») les principales dispositions de trois autres instruments :
- Le règlement (UE) 2018/1807 sur la libre circulation des données à caractère non personnel,
- Le règlement (UE) 2018/1724 sur la gouvernance des données (« Data Governance Act »),
- La directive (UE) 2019/1024 « Open Data »,
Ces textes seront abrogés et remplacés par un seul règlement européen (directement applicable sur tous les territoires de l’Union Européenne). Il en résulte un corpus unique, lisible et unifié, couvrant la réutilisation des données publiques, les services d’intermédiation, la circulation transfrontière des données et la portabilité des services cloud.
Certaines règles contenues dans le Data Act seront allégés afin de réduire la charge administrative pesant sur les petits et moyens fournisseurs de services cloud, tout en maintenant des garde-fous permettant de lutter contre la dépendance vis-à-vis des fournisseurs.
Sécuriser l’accès aux données IoT et rééquilibrer la réutilisation des données publiques
La réforme introduit également des ajustements essentiels :
- En matière d’IoT, le titulaire des données pourra refuser un accès lorsqu’il existe un risque élevé de divulgation illicite des secrets d’affaires vers des pays tiers ou entités placées sous leur contrôle. Ce verrou juridique est essentiel pour les entreprises industrielles recourant à des partenaires situés hors UE.
- Les nouvelles règles sur la réutilisation des données publiques offrent un levier inédit aux administrations publiques : elles pourront imposer des conditions plus strictes, y compris financières, aux très grandes entreprises et notamment aux contrôleurs d’accès (« gatekeepers ») désignés par le règlement (UE) 2019/1937 sur les marchés numériques (« DMA »). L’objectif affiché est d’éviter que les géants du numérique ne captent disproportionnellement la valeur issue des données publiques, tout en préservant l’accès des PME européennes innovantes.
Une modernisation ciblée du RGPD et des obligations de cybersécurité
Un RGPD assoupli mais recentré sur les risques réels
Le texte procède à des clarifications substantielles du RGPD. La définition de donnée à caractère personnel est contextualisée : une information n’est personnelle que si le responsable du traitement a des moyens raisonnablement susceptibles d’identifier la personne. Cette précision était attendue pour sécuriser l’anonymisation, la pseudonymisation ou l’utilisation de jeux de données complexes en IA.
Le texte allège également les obligations d’information incombant au responsable de traitement : dès lors que la personne est raisonnablement présumée déjà informée, le responsable de traitement n’a plus à répéter l’information (sauf dans certains cas sensibles, tels que les transferts vers des pays tiers ou les décisions automatisées). Enfin, un traitement résiduel de données sensibles devient toléré lors du développement ou fonctionnement d’un système d’IA, à condition qu’il soit involontaire, brièvement conservé et supprimé efficacement. Ces évolutions offrent une respiration bienvenue aux projets d’innovation tout en maintenant les garanties essentielles.
Une notification des incidents rationalisée et la fin annoncée des bannières cookies
La Commission propose d’instaurer un guichet unique de notification des incidents de sécurité. Ce guichet serait opéré par l’Agence de l’Union européenne pour la cybersécurité (l’ENISA selon l’acronyme en anglais), et permettrait aux entreprises de satisfaire en une seule démarche leurs obligations issues de :
- La directive (UE) 2022/2555 du 14 décembre 2022 sur concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (« NIS 2 »),
- Le règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (« DORA »),
- La directive UE 2022/2557 du 14 décembre 2022 sur la résilience des entités critiques (« CER »),
- Le règlement (UE) 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques (« eIDAS »)
- Le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).
Ce changement structurel impliquera de réaliser une mise à jour des procédures internes de gestion des incidents dans les entreprises concernées, mais promet de faciliter grandement la gestion pratique des incidents ainsi que la rédaction des clauses relatives à cette question dans les contrats.
En parallèle, le projet de texte prévoit que les règles de traitement des données personnelles sur des terminaux (les cookies) qui figuraient à la directive (EU) 2002/58/EC (« ePrivacy ») seraient désormais exclusivement régies par le RGPD. Des exceptions au consentement de la personne concernée sont prévues pour les usages à faible risque ou nécessaires à la fourniture du service demandé par celle-ci. La réforme introduit aussi un système de signaux automatisés de consentement, standardisés et transmis par les navigateurs ou les applications, qui remplaceront les bannières cookies, et que les sites devront respecter après un délai de mise en conformité. Les fournisseurs qui appliquent ces standards bénéficieront d’une présomption de conformité. Toutefois, les médias au sens du règlement (UE) 2024/1083 du 11 avril 2024 sur les médias seront exemptés de cette obligation, afin de préserver leur modèle économique fondé sur la publicité.
La proposition de règlement « Digital Omnibus » n’en est encore qu’à la première phase du processus législatif européen. Elle devra désormais être examinée par le Parlement européen et le Conseil, selon la procédure législative ordinaire. Sauf blocage politique majeur, une adoption définitive pourrait intervenir en 2026-2027, après négociations et amendements.
Une fois publiée au Journal officiel, le règlement devrait entrer en vigueur 20 jours plus tard, avec une application immédiate pour la plupart des modifications du RGPD et du Data Act. Certaines mesures, comme le guichet unique ENISA ou les signaux automatisés de consentement, nécessiteront des actes d’exécution et une mise en œuvre technique progressive, permettant d’envisager une application opérationnelle en 2027–2028.