Omnibus numérique européen : un paquet de mesures pour harmoniser le droit du numérique

Omnibus numérique européen : un paquet de mesures pour harmoniser le droit du numérique

Ce qu’il faut retenir


L’omnibus numérique est une initiative législative de la Commission européenne destinée à simplifier le cadre réglementaire de l’UE par modifications de plusieurs textes existants. Il ne s’agit pas d’un règlement autonome se substituant aux instruments actuels, mais d’un paquet de révisions qui touche simultanément le droit des données, de la cybersécurité, des communications électroniques et de l’intelligence artificielle.


Le développement de la réglementation numérique au niveau européen s’est considérablement accélérée depuis une dizaine d’années (RGPD, directive ePrivacy, NIS2, Data Act, DGA, DSA, DMA, Cyber Resilience Act, AI Act, …), engendrant des coûts et des difficultés de mise de conformité croissants pour les entreprises et administrations concernées.

Face à ce constat, la Commission européenne a publié une série de mesures dont l’objectif est de simplifier et de rationaliser les interactions entre ces différents textes, en ciblant les dispositions jugées trop complexes, fragmentées ou coûteuses, en particulier pour les PME et les SMC (small mid-caps).

Le présent article a pour objet de présenter les principales propositions figurant dans l’omnibus numérique, les prochaines étapes et nos recommandations pour les entreprises.


1. Qu’est-ce que la procédure d’omnibus numérique (ou Digital omnibus) ? Quel est son objectif ?

L’omnibus numérique, ou omnibus digital, est une initiative législative de la Commission européenne destinée à simplifier le cadre réglementaire numérique de l’Union par le biais de modifications transversales de plusieurs textes existants. 

Il ne s’agit donc pas d’un règlement autonome se substituant aux instruments actuels, mais d’un paquet de révisions qui touche simultanément le droit des données, de la cybersécurité, des communications électroniques et de l’intelligence artificielle. Cette initiative fait l’objet de deux propositions de règlements distincts, publiées par la Commission le 19 novembre 2025 : une proposition relative à l’intelligence artificielle - Omnibus numérique sur l’IA (1) et une proposition générale concernant les autres textes - Omnibus numérique général. (2)

L’objectif poursuivi par l’omnibus numérique est double :
    - d’une part, la Commission cherche à réduire les coûts de conformité et à supprimer les chevauchements entre les différents textes, tout en conservant le niveau de protection des droits fondamentaux. Cela vise notamment les obligations déclaratives multiples, les exigences documentaires répétitives, la fragmentation des régimes applicables aux cookies, ainsi que la superposition des calendriers et mécanismes de contrôle en matière d’IA, de cybersécurité et de données ; 
    - d’autre part, la Commission cherche à renforcer la compétitivité européenne, accélérer l’innovation et répondre aux critiques relatives à la surcharge normative européenne.


2. Les principales propositions de l’omnibus numérique 

    2.1 La proposition de règlement omnibus numérique général

L’omnibus numérique général porte principalement sur les points suivants : concernant le RGPD, définition resserrée de la notion de donnée à caractère personnel, utilisation de l’intérêt légitime comme base juridique pour entraîner un système d’IA, limitation du droit d’accès ; concernant la directive ePrivacy, allègement du consentement pour certaines catégories de cookies ; concernant le data Act, possibilité de refuser l’accès à certaines données ; enfin proposition transverse d’harmonisation des notifications d’incidents de sécurité.

    a) Principales propositions concernant le RGPD 

- Définition resserrée de la notion de donnée à caractère personnel : dans la lignée de la jurisprudence de la CJUE, une donnée ne serait plus soumise au RGPD pour un organisme déterminé si cet organisme ne dispose pas de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne. Ainsi, certaines données pseudonymisées ne constitueraient plus des données à caractère personnel pour certains organismes. La Commission pourra être amenée à préciser les critères selon lesquels une données pseudonymisée n’est plus une donnée à caractère personnel.

C’est l’une des propositions les plus sensibles car elle viendrait impacter le périmètre d’application du RGPD. 

- Intérêt légitime et développement des modèles d’IA : en matière d’IA, le texte prévoit de consacrer l’intérêt légitime comme base juridique possible pour le développement et l’exploitation de systèmes d’IA, sous réserve de respecter les principes de nécessité, proportionnalité, minimisation des données, transparence, … 

Il propose également une dérogation à l’interdiction de traitement des catégories particulières de données (données sensibles), lorsque celles-ci sont traitées de manière résiduelle dans le contexte du développement ou du déploiement d’IA, notamment pour la détection et la correction des biais.

- Limitation du droit d’accès : le projet de règlement élargit la possibilité, pour le responsable du traitement, de refuser ou de facturer certaines demandes d’accès lorsque le droit d’accès est utilisé par une personne de façon abusive, notamment à des fins étrangères à la protection des données personnelles, en matière sociale ou pré-contentieuse par exemple.

Par ailleurs, l’obligation d’information de la personne concernée disparaîtrait pour les traitements à faible risque et lorsqu’il existe des motifs raisonnables de considérer que la personne dispose déjà des informations nécessaires.

Ces propositions suscitent une forte vigilance de la part des autorités de contrôle qui craignent une atteinte aux droits des personnes.

    b) ePrivacy : allègement en matière de consentement aux cookies

Afin de limiter la prolifération des bannières relatives aux cookies, certains cookies pourraient être utilisés sans le consentement des personnes concernées. Au-delà des cookies strictement nécessaires à la fourniture du service ou à la transmission d’une communication, les cookies de mesure d’audience agrégée et de sécurité pourraient ainsi entrer dans le champ des exemptions au consentement. 

Le texte propose également d’améliorer la gestion des préférences utilisateurs via des mécanismes automatisés au niveau du système d’exploitation, du navigateur ou de l’app store.

    c) Data Act : possibilité de refuser l’accès à certaines données 

La proposition de règlement autoriserait les détenteurs de données à refuser l’accès sous réserve de démontrer l’existence d’un risque élevé d’acquisition illicite, d’usage indu ou de divulgation à des pays tiers offrant des garanties insuffisantes en matière de protection des secrets d’affaires. 

    d) Cybersécurité : harmonisation des notifications d’incident

L’une des propositions vise à harmoniser la procédure de notification d’incidents ou de violations relevant du RGPD, de la directive NIS2 (sécurité des réseaux et des systèmes d’information), du règlement DORA (résilience opérationnelle numérique du secteur financier), du Cyber Resilience Act, du règlement sur l’identité numérique et d’autres textes connexes, en appliquant la logique “submit once, share widely”. Un portail unique de notification d’incidents de sécurité serait créé. Un formulaire standardisé de notification serait proposé par le Comité européen de la protection des données (CEPD).  

Par ailleurs, le délai de notification des violations de données personnelles à l’autorité de contrôle (CNIL) serait porté de 72 à 96 heures à compter de la découverte de la violation.

    2.2 La proposition de règlement omnibus numérique sur l’IA

Les principales propositions de modification du règlement sur l’IA (AI Act) portent sur les points suivants : report du calendrier applicable aux systèmes d’IA à haut risque ; renforcement du rôle du Bureau de l’IA et simplification de la mise en conformité, sensibilisation à l’IA et dispositions en matière de contenus générés ou manipulés par l’IA.

- Report du calendrier applicable aux systèmes d’IA à haut risque : l’entrée en application des dispositions de l’AI Act relatives aux systèmes d’IA à haut risque serait différée. Au lieu d’une application dès le 2 août 2026, le projet subordonne l’entrée en application à la publication de mesures d’implémentation (normes techniques, codes de conduite) pour faciliter la procédure de mise en conformité. Deux dates butoirs d’entrée en application sont prévues : le 2 décembre 2027 pour les systèmes d’IA à haut risque relevant de l’annexe III de l’AI Act et le 2 août 2028 pour les systèmes d’IA à haut risque relevant de l’annexe I de l’AI Act. (3)

- Renforcement du rôle du Bureau de l’IA : l’omnibus IA renforce sensiblement les pouvoirs du Bureau européen de l’IA. Celui-ci deviendrait compétent pour la supervision et l’exécution concernant, d’une part, les modèles d’IA à usage général (GPAI) et les systèmes fondés sur ces modèles lorsqu’ils sont développés par le même fournisseur et d’autre part, certains systèmes intégrés dans de très grandes plateformes en ligne (VLOP) ou moteurs de recherche (VLOSE) au sens du DSA. Le Bureau de l’IA disposerait de pouvoirs de demande de documentation, de supervision des évaluations de conformité et de sanction à l’encontre des fournisseurs.

Cette centralisation vise à limiter la dispersion des autorités compétentes et à rendre plus cohérente l’application de l’AI Act, notamment pour les acteurs paneuropéens.

- Simplifications documentaires et organisationnelles : le texte propose plusieurs assouplissements pour les PME et SMC (small mid-caps) : simplification de la documentation technique, approche proportionnée du système de suivi de la qualité, atténuation de certains effets pénalisants, clarification des définitions applicables. Il supprime également certaines obligations d’enregistrement pour des systèmes relevant de l’annexe III de l’AI Act mais ne présentant pas de risque significatif. Enfin, il facilite les procédures d’évaluation de conformité lorsqu’un système relève à la fois de l’AI Act et d’autres législations sectorielles harmonisées.

- Sensibilisation à l’IA : le projet déplace partiellement l’obligation de formation à l’IA en transférant aux États membres et à la Commission la mission d’encourager les fournisseurs et déployeurs à sensibiliser et former leurs collaborateurs à l’IA

- Transparence et marquage des contenus générés ou manipulés par l’IA : le projet d’omnibus numérique prévoit une période transitoire pour certaines obligations de transparence applicables aux contenus générés ou manipulés par l’intelligence artificielle. Ce volet concerne non seulement les deepfakes, mais également les textes, images, sons, vidéos générés ou manipulés par l’IA qui doivent pouvoir être identifiés comme tels, au moyen de mécanismes de marquage ou de détectabilité lisibles par machine. Les fournisseurs de systèmes déjà mis sur le marché avant le 2 août 2026 bénéficieraient d’un délai supplémentaire jusqu’au 2 février 2027 pour se conformer à ces exigences techniques de transparence.


3. Quelles sont les prochaines étapes ?

L’omnibus numérique est au stade de proposition. Les deux textes sont actuellement en cours d’examen par les différentes institutions européennes. Toutefois, l’état d’avancement n’est pas identique pour les deux textes.

L’omnibus numérique général est en cours d’examen par le Parlement européen. En parallèle, le CEPD et le Contrôleur européen de la protection des données (EDPS) ont rendu leur avis conjoint le 11 février 2026, portant principalement sur les volets RGPD et ePrivacy. Le Comité économique et social européen (CESE) a adopté un avis consultatif les 18 et 19 mars 2026.

Le travail préparatoire au Parlement doit encore se consolider, sachant que le texte comporte plusieurs points sensibles, tels que la définition des données à caractère personnel, le droit d’accès et les obligations d’information des personnes concernées, ainsi que le consentement aux cookies. En revanche, les dispositions procédurales et d’harmonisation devraient être adoptées plus facilement.

L’examen de l’omnibus numérique sur l’IA est plus rapide. Alors que Conseil a arrêté sa position le 13 mars 2026, le Parlement européen devrait examiner le texte le 25 mars. Dans la mesure où l’omnibus numérique sur l’IA comporte des dates butoirs resserrées, il est probable que ce texte sera adopté avant août 2026.


      En conclusion, il est vivement recommandé de ne pas anticiper hâtivement une baisse des exigences de conformité. Comme mentionné ci-dessus, il s’agit toujours de propositions. Les ajustements politiquement les plus sensibles sont ceux qui pourraient être supprimés ou réécrits au cours de l’examen des textes.

En conséquences, les entreprises ne doivent ni requalifier des jeux de données pseudonymisées comme étant hors RGPD, ni assouplir leurs bases légales, ni alléger leurs dispositifs d’information sur la seule foi des textes proposés. 

Il est également recommandé de hiérarchiser les projets de conformité selon leur probabilité d’aboutissement.
    - Pour la protection des données, la documentation des analyses d’intérêt légitime, des analyses d’impact relatives à la protection des données (AIPD) et des procédures de traitement des demandes d’accès doit être renforcée et/ou mise à jour. Cette documentation sera utile en cas de contrôle ou de contentieux.
    - Pour les cookies et traceurs, il convient de maintenir la procédure de consentement actuelle en attendant une évolution potentielle.
    - En matière de cybersécurité, il est possible de travailler dès à présent à une harmonisation interne des processus de gestion d’incidents, afin d’être prêt à interagir avec un futur portail unique de notification d’incident, sachant que le délai de 72 heures prévu par le RGPD pour notifier les violations de données reste applicable.
    - Pour les systèmes d’IA, les procédures de mise en conformité à l’AI Act ne doivent pas être suspendues. Même avec un décalage des échéances, le sens du mouvement est celui d’une application progressive du règlement.

Enfin, l’enjeu de la conformité n’est plus seulement une application de chaque texte pris isolément, mais la capacité à piloter une conformité intégrée, transversale et documentée sur l’ensemble du droit du numérique européen.

* * * * * * * * * * *


(1) Proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2024/1689 et (UE) 2018/1139 en ce qui concerne la simplification de la mise en oeuvre des règles harmonisées concernant l’intelligence artificielle (train de mesures omnibus numérique sur l’IA)

(2) Proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 et (UE) 2023/2854 ainsi que les directives 2002/2557 en ce qui concerne la simplification du cadre législatif numérique (règlement omnibus numérique)

(3) Dates butoirs prévues dans la proposition de règlement omnibus numérique sur l’IA : 2 décembre 2027 : systèmes d’IA à haut risque relevant de l’annexe III de l’AI Act. Il s’agit des systèmes qualifiés à haut risque en raison de leur usage dans des domaines sensibles, tels que l’emploi, l’éducation, l’accès à certains services essentiels, la migration, l’administration de la justice ou encore certaines utilisations par les autorités publiques ; 2 août 2028 : systèmes d’IA à haut risque relevant de l’annexe I de l’AI Act. Il s’agit des systèmes d’IA intégrés à des produits ou composants de sécurité de produits déjà régis par une législation européenne d’harmonisation sectorielle (machines, dispositifs médicaux, aviation civile, automobile).


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2026

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (8) adwords (3) ai (29) anssi (3) arcep (5) arcom (21) audiovisuel (4) audit (4) base de données (4) bitcoin (1) blockchain (8) cbpr (7) cgv (2) chine (1) cjue (1) cloud computing (3) cnil (22) commerce (6) communication (9) compliance (42) confidentialité (3) conformité (24) consommateurs (5) contrat (11) contrefaçon (10) cookies (8) copyright (5) cryptologie (1) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (22) données personnelles (38) dpf (2) droit d'auteur (11) dsa (10) e-commerce (17) e-consommateurs (2) enfance (6) etats-unis (6) eu (26) europe (25) formation (4) fraude (3) gdpr (36) google (4) hébergeur (5) ia (20) ico (1) informatique (14) informatique et libertés (4) intelligence artificielle (19) internet (36) jeu vidéo (3) liberté d'expression (3) logiciel (13) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nda (1) nft (4) nom de domaine (1) numérique (15) originalité (5) privacy shield (2) propriété intellectuelle (15) protection des données (15) publicité (6) référencement (4) réglementation (13) réseau (2) réseaux sociaux (11) responsabilité (10) responsable du traitement (14) rgpd (28) robotique (7) rpa (6) salariés (4) santé publique (1) sécurité (7) singapour (8) site web (5) us (3) vie privée (23)