Un paquet pour les réformer tous
La Commission européenne a tenté quelque chose que peu croyaient possible : consolider les réformes du Règlement général sur la protection des données (RGPD), de la directive ePrivacy, du Data Act, de la directive sur la sécurité des réseaux et des systèmes d’information (NIS2) et du EU Artificial Intelligence Act en un seul paquet législatif. Le Digital Omnibus, formellement proposé le 19 novembre 2025, représente le recalibrage réglementaire le plus ambitieux de la politique numérique européenne depuis l’entrée en vigueur du RGPD en 2018.
La justification officielle est la simplification. La présidente de la Commission Ursula von der Leyen a présenté le paquet comme une réponse aux plaintes persistantes des entreprises européennes — en particulier des petites et moyennes entreprises — selon lesquelles les réglementations numériques superposées de l’UE sont devenues un fardeau de conformité innavigable. La vice-présidente exécutive chargée de la souveraineté technologique Henna Virkkunen, qui a présenté le paquet aux côtés des commissaires Valdis Dombrovskis et Michael McGrath, a déclaré que le Digital Omnibus vise à « éliminer l’encombrement réglementaire » afin que les entreprises puissent « consacrer moins de temps aux travaux administratifs et à la conformité et plus à l’innovation et au développement ».
La Commission estime que les mesures de simplification pourraient faire économiser aux entreprises jusqu’à 5 milliards d’euros en coûts administratifs d’ici 2029, avec un objectif de réduction des charges administratives d’au moins 25 % pour toutes les entreprises et de 35 % pour les PME d’ici la fin de cette année. Si les European Business Wallets — une proposition complémentaire dans le paquet numérique plus large — sont adoptés, la Commission projette des économies supplémentaires pouvant atteindre 150 milliards d’euros annuellement.
Mais le Digital Omnibus n’est pas un simple toilettage technique. Il contient des changements de politique substantiels qui ont alarmé les défenseurs de la protection des données, les associations de consommateurs et certains régulateurs des États membres. Le paquet reporte certaines obligations relatives à l’IA à haut risque de jusqu’à 16 mois, introduit une base juridique spécifique pour le traitement des données personnelles à des fins d’entraînement de modèles IA sous le régime de l’« intérêt légitime », et transfère les règles de consentement aux cookies du cadre ePrivacy vers le RGPD lui-même.
L’envergure du paquet est remarquable. Il touche pratiquement chaque aspect de la réglementation numérique européenne, des bannières de consentement aux cookies aux exigences de cybersécurité des infrastructures critiques. Comprendre ce qu’il change — et ce qu’il ne change pas — nécessite d’examiner chaque composante en détail.
RGPD : simplification ou érosion ?
Les réformes du RGPD au sein du Digital Omnibus ont généré le plus de controverse. Le règlement, qui a servi de référence mondiale pour la protection des données depuis 2018, serait modifié de plusieurs manières significatives.
Le changement le plus conséquent concerne le traitement des données personnelles pour l’IA. Un nouvel article 88c confirmerait que le développement et l’exploitation de modèles IA peuvent être poursuivis en tant qu’intérêt légitime en vertu de l’article 6(1)(f) du RGPD, sous réserve du respect de certaines conditions — notamment la réalisation d’un test de balance des intérêts, le respect de la minimisation des données, la protection contre la divulgation de données résiduelles, et l’octroi aux individus d’un droit inconditionnel de refus (opt-out). Le Digital Omnibus propose également une dérogation spécifique permettant le traitement de données de catégories spéciales (telles que l’ethnicité, la santé ou l’orientation sexuelle) pour l’entraînement de l’IA, à condition que les responsables du traitement tentent d’identifier et de supprimer ces données des ensembles d’entraînement, ou utilisent des méthodes pour empêcher leur divulgation dans les résultats lorsque la suppression serait disproportionnée.
L’EDPB et l’EDPS ont noté dans leur avis conjoint 2/2026, adopté le 11 février 2026, que la disposition sur l’intérêt légitime pour l’IA est largement inutile car ils ont déjà confirmé par leurs propres orientations que l’intérêt légitime peut servir de base juridique valable pour le développement de modèles IA. Leur préoccupation est que la codifier de cette manière pourrait être interprétée comme créant une exemption plus large que ce qui existe actuellement en vertu de la jurisprudence.
Pour les PME et les petites entreprises de taille intermédiaire (SMC, définies comme ayant jusqu’à 750 employés ou 150 millions d’euros de chiffre d’affaires), l’Omnibus étend plusieurs allègements de conformité. Le seuil de l’exemption de tenue de registres en vertu de l’article 30(5) passerait des entreprises de moins de 250 employés à celles de moins de 750 employés — à condition que le traitement ne présente pas un risque élevé pour les droits des individus. Les SMC bénéficieraient également d’exigences simplifiées en matière de documentation technique pour les systèmes IA à haut risque, et les amendes pour les SMC seraient calculées selon la même formule réduite actuellement appliquée aux PME.
L’EDPB et l’EDPS ont émis leur avis conjoint exprimant à la fois un soutien pour certaines mesures de simplification et des « préoccupations sérieuses » que certaines propositions pourraient « affecter défavorablement le niveau de protection dont bénéficient les individus, créer une insécurité juridique et rendre le droit de la protection des données plus difficile à appliquer ». Ils ont fortement exhorté les co-législateurs à ne pas adopter les modifications proposées à la définition des données personnelles, arguant que le rétrécissement du concept va bien au-delà d’un amendement ciblé.
La Commission propose également d’étendre le délai de notification des violations du RGPD de 72 heures à 96 heures, harmonisant le seuil de déclaration obligatoire aux autorités de contrôle avec le seuil de notification aux personnes concernées. L’EDPB et l’EDPS soutiennent effectivement ce changement, notant qu’il pourrait réduire la charge administrative sans compromettre la protection individuelle.
Les exigences de consentement aux cookies — l’aspect le plus visible et le plus critiqué de la protection des données européenne — seraient significativement restructurées. L’Omnibus transfère la réglementation des cookies de la directive ePrivacy entièrement dans le cadre du RGPD, et propose un système centralisé de gestion du consentement. Dans cette approche, les utilisateurs définiraient leurs préférences de partage de données une seule fois via leur navigateur ou système d’exploitation, et les sites web seraient tenus de respecter ces signaux lisibles par machine pendant au moins six mois. Les cookies à faible risque pour la sécurité et les analyses basiques ne nécessiteraient pas de bannières de consentement, tandis que les cookies marketing et de traçage seraient gérés par les préférences centralisées du navigateur. Ce changement bénéficie d’un large soutien tant de l’industrie que des défenseurs de la vie privée, bien que les éditeurs européens aient exprimé des inquiétudes quant à l’impact sur leurs modèles de revenus publicitaires.
AI Act : le report de 16 mois
L’élément peut-être le plus stratégiquement significatif du Digital Omnibus est son traitement du EU AI Act. La loi, entrée en vigueur en août 2024, a établi un cadre réglementaire par niveaux pour les systèmes IA basé sur les niveaux de risque. Les catégories les plus à risque — incluant l’IA utilisée dans les infrastructures critiques, les forces de l’ordre et l’emploi — font face aux exigences les plus strictes, incluant des évaluations de conformité, des systèmes obligatoires de gestion des risques et des obligations de supervision humaine.
L’Omnibus propose de reporter l’échéance de conformité pour ces obligations IA à haut risque en liant la date d’application à la disponibilité de normes harmonisées et d’outils d’accompagnement. En vertu du AI Act original, les règles pour les cas d’usage autonomes à haut risque (Annexe III, couvrant des domaines comme l’identification biométrique et l’emploi) devaient s’appliquer à partir du 2 août 2026. L’Omnibus permettrait à la Commission de confirmer quand un soutien adéquat à la conformité est disponible, après quoi les obligations s’appliqueraient dans un délai de six mois pour les systèmes de l’Annexe III et de 12 mois pour l’IA intégrée dans les produits réglementés (Annexe I). Des dates butoirs garantissent l’application dans tous les cas : le 2 décembre 2027 pour les systèmes de l’Annexe III et le 2 août 2028 pour les systèmes de l’Annexe I — accordant jusqu’à 16 mois de préparation supplémentaire.
Le report répond à un problème concret : le CEN et le CENELEC, les organismes de normalisation européens chargés de développer les normes harmonisées pour l’IA à haut risque, ont manqué leur date limite initiale d’août 2025, et les travaux de normalisation sont toujours en cours. Sans normes finalisées, les entreprises manquent de références claires par rapport auxquelles démontrer leur conformité. Plus de trente fondateurs et investisseurs en capital-risque ont signé une lettre ouverte arguant que le AI Act risque de créer un « environnement réglementaire fragmenté et imprévisible qui minera l’innovation, découragera l’investissement et laissera finalement l’Europe à la traîne ».
Les critiques voient des motivations stratégiques au-delà de la justification technique. Le report coïncide avec l’intensification de la concurrence des entreprises IA américaines et chinoises, dont plusieurs ont cité les exigences de conformité européennes comme facteurs dans leurs décisions d’entrée sur le marché. En reportant les exigences les plus contraignantes, la Commission semble répondre aux avertissements de l’industrie selon lesquels une application prématurée pourrait creuser le fossé de l’Europe en matière de capacités IA.
Le report ne s’applique pas aux interdictions du AI Act sur les pratiques à risque inacceptable — telles que les systèmes de notation sociale et la surveillance biométrique en temps réel dans les espaces publics — qui restent en vigueur. Il n’affecte pas non plus les exigences de transparence pour les modèles d’IA à usage général, y compris les obligations d’étiquetage pour le contenu généré par IA (bien que l’échéance de conformité pour l’étiquetage du contenu en vertu de l’article 50(2) serait étendue au 2 février 2027 pour les fournisseurs ayant mis des systèmes sur le marché avant le 2 août 2026).
Advertisement
NIS2 et cybersécurité : un guichet unique
Les composantes cybersécurité du Digital Omnibus reflètent une reconnaissance croissante que le cadre réglementaire européen de cybersécurité est devenu fragmenté au point d’être contre-productif.
La directive sur la sécurité des réseaux et des systèmes d’information 2 (NIS2), que les États membres devaient transposer en droit national avant octobre 2024, a été mise en œuvre de manière inconsistante à travers le bloc. Certains États membres ont adopté des interprétations expansives capturant un large éventail d’entités, tandis que d’autres ont adopté des approches minimalistes. Le résultat est qu’une entreprise exploitant des infrastructures critiques dans plusieurs États membres de l’UE peut faire face à des exigences de cybersécurité substantiellement différentes dans chaque juridiction.
L’Omnibus introduit une réforme structurelle majeure : un guichet unique pour la déclaration des incidents à travers les multiples cadres réglementaires européens. Un nouvel article 23a dans NIS2 établirait une interface de déclaration unifiée, permettant aux entreprises de satisfaire les obligations de notification en vertu de NIS2, les exigences de notification des violations de données personnelles du RGPD, les rapports d’incidents ICT majeurs de DORA, les notifications eIDAS et les incidents de la directive CER par un seul portail sécurisé. Cela répond à l’une des charges de conformité les plus fréquemment citées — l’obligation de déposer des rapports d’incidents superposés auprès de multiples autorités selon des calendriers et formats différents.
L’Omnibus propose également des amendements ciblés à NIS2 visant à simplifier les règles juridictionnelles, à rationaliser la collecte de données sur les attaques par rançongiciel (ransomware), et à faciliter la supervision des entités transfrontalières avec l’ENISA jouant un rôle de coordination renforcé. Dans le cadre de l’alignement NIS2-CSA2, les certifications européennes de cybersécurité — y compris les futurs schémas au niveau des entités — pourraient être utilisées pour démontrer la conformité aux obligations de gestion des risques de NIS2.
Les mesures du guichet unique s’appliqueraient 18 mois après l’entrée en vigueur, extensibles à 24 mois si nécessaire. Les professionnels de la cybersécurité ont généralement accueilli favorablement l’effort d’harmonisation, bien que certains aient averti que la transition vers un système unifié ne doit pas créer de lacunes pendant la mise en œuvre.
Le Data Act et la directive ePrivacy
Le Digital Omnibus touche également le Data Act et la directive ePrivacy, bien que les changements diffèrent en termes de portée et de controverse.
Pour le Data Act, l’Omnibus traite principalement les préoccupations de mise en œuvre qui ont émergé depuis l’entrée en vigueur de la loi. Il introduit un régime de conformité allégé pour les services de traitement de données sur mesure et pour les prestataires de services de traitement de données PME et SMC, affine les exigences d’interopérabilité et de changement de fournisseur cloud, et fournit une définition plus précise des « secrets commerciaux » qui peuvent être soustraits aux obligations de partage de données. Il introduit également un mécanisme de résolution des litiges pour les cas où les détenteurs et les destinataires de données sont en désaccord sur les conditions d’accès.
Les changements relatifs à l’ePrivacy sont plus conséquents — et plus contestés. Plutôt que de continuer à faire avancer le règlement ePrivacy bloqué (qui n’a pas progressé dans le processus législatif depuis des années), l’Omnibus intègre effectivement les mises à jour les plus critiques de l’ePrivacy dans le cadre du RGPD. La réglementation des cookies et les règles régissant les métadonnées des communications électroniques et les technologies de traçage passeraient sous la juridiction du RGPD, avec le mécanisme de consentement centralisé basé sur le navigateur remplaçant le modèle actuel de consentement site par site.
Cette manœuvre législative a attiré de vives critiques. European Digital Rights (EDRi) et d’autres organisations de la société civile ont soutenu que la Commission contourne la procédure législative ordinaire en regroupant les réformes ePrivacy dans un paquet plus large, évitant le plein examen parlementaire que recevrait un règlement autonome. L’association de défense de la vie privée noyb a publié une analyse détaillée arguant que le Digital Omnibus représente un « recul majeur des protections numériques européennes ». L’EDPB et l’EDPS ont également soulevé des préoccupations quant au risque que cette approche résolve des questions ePrivacy contestées « indirectement et sans débat complet ».
Implications pour les entreprises mondiales
Pour les entreprises multinationales opérant sur le marché européen ou le desservant, le Digital Omnibus crée à la fois des opportunités et des incertitudes.
Les éléments de simplification — gestion centralisée du consentement, guichet unique pour la déclaration des incidents, références harmonisées en matière de cybersécurité — représentent de véritables réductions des coûts de conformité. Les entreprises ayant investi massivement dans l’infrastructure de conformité réglementaire européenne pourraient constater que certains de ces investissements deviennent moins nécessaires, libérant des ressources à d’autres fins.
Cependant, l’incertitude transitoire est significative. Tant que l’Omnibus n’a pas achevé le processus législatif — ce qui pourrait prendre 18 à 24 mois compte tenu de la nécessité de l’approbation du Parlement européen et du Conseil — les entreprises doivent continuer à se conformer aux réglementations existantes tout en se préparant simultanément aux changements potentiels. Les périodes de retour d’information post-adoption sur les deux propositions Omnibus se terminent le 9 mars 2026, parallèlement à la consultation plus large du Digital Fitness Check ouverte jusqu’au 11 mars 2026.
Le report du AI Act est particulièrement conséquent pour les entreprises technologiques américaines et asiatiques qui ont développé des systèmes IA conformes aux normes européennes. Les entreprises ayant accéléré leurs efforts de conformité pour respecter l’échéance initiale d’août 2026 pourraient se retrouver en concurrence avec des entreprises ayant adopté une approche attentiste, le calendrier étendu offrant aux retardataires plus de temps pour se mettre en conformité à moindre coût.
Pour les professionnels de la protection des données à l’échelle mondiale, les changements du RGPD signalent un changement potentiel de direction du droit mondial de la protection des données. Le RGPD a servi de modèle pour la législation sur la protection des données dans des dizaines de pays — y compris la Loi n° 18-07 de l’Algérie. Si l’UE modifie son propre cadre pour faciliter le développement de l’IA, les effets d’entraînement pourraient se faire sentir dans chaque juridiction ayant modelé ses lois sur l’approche européenne.
Le processus législatif en est à ses débuts. Les eurodéputés discuteront du paquet et pourront déposer des amendements, les institutions européennes ressentant une pression particulière pour parvenir à un consensus sur la proposition Omnibus IA avant le 2 août 2026 — la date initiale d’application complète des règles relatives aux systèmes à haut risque. Le Parlement a historiquement été plus protecteur des droits individuels que la Commission, et des amendements significatifs sont attendus. La forme finale du Digital Omnibus sera probablement très différente de la proposition de la Commission — mais la direction vers la simplification réglementaire semble fermement établie.
Advertisement
🧭 Radar de Décision
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Élevée — La Loi n° 18-07 de l’Algérie sur la protection des données personnelles est modelée sur les cadres européens. Les modifications des dispositions relatives à l’intérêt légitime du RGPD et des règles sur les données d’entraînement IA influenceront la manière dont l’ANPDP algérien interprète ses propres réglementations, et affecteront les entreprises algériennes faisant affaire avec des partenaires européens. |
| Infrastructure prête ? | Partielle — L’ANPDP algérien est opérationnel et l’application de la Loi 18-07 est en cours, mais le pays manque des organismes de normalisation harmonisés et de l’infrastructure de certification sur lesquels l’Omnibus européen s’appuie pour le passeport de conformité. |
| Compétences disponibles ? | Partielles — L’Algérie dispose d’une expertise juridique et informatique de conformité croissante, mais d’une capacité spécialisée limitée en évaluation de conformité du EU AI Act, en conformité cybersécurité multi-cadres et en gouvernance des données multilatérale. |
| Calendrier d’action | 12-24 mois — L’Omnibus est encore en processus législatif et peu susceptible d’être finalisé avant fin 2027. Les régulateurs et entreprises algériens devraient suivre les développements mais disposent de temps pour se préparer. |
| Parties prenantes clés | ANPDP (autorité de protection des données), Ministère de la Numérisation, entreprises technologiques algériennes desservant les marchés européens, opérateurs de télécommunications, professionnels juridiques et de la conformité |
| Type de décision | Stratégique — L’Algérie doit décider si elle aligne son cadre de protection des données sur le modèle européen en évolution ou maintient l’approche actuelle alors que l’UE assouplit potentiellement ses propres règles. |
Sources et lectures complémentaires
- Digital Omnibus Regulation Proposal — European Commission
- EDPB-EDPS Joint Opinion 2/2026 on the Digital Omnibus — European Data Protection Board
- EU Digital Omnibus: Analysis of Key Changes — IAPP
- Digital Omnibus on AI Regulation Proposal — European Commission
- Why the Digital Omnibus Puts GDPR and ePrivacy at Risk — EDRi
- EU Commission Proposes to Streamline GDPR and EU AI Act — Latham & Watkins
🔗 Intelligence Connexe
Le droit à la réparation passe au numérique en 2026
Le Cyber Resilience Act européen entre dans sa phase critique
Le vide juridique de l’IA : qui est responsable quand un système d’IA cause un préjudice ?
Cybersécurité électorale à l’ère de l’IA : comment les démocraties défendent le vote
Advertisement