Omnibus numérique : le CEPD et l’EDPS soutiennent la simplification et la compétitivité tout en soulevant des préoccupations majeures
12 février 2026
Le CEPD et l’EDPS ont adopté un avis conjoint sur la proposition de règlement omnibus numérique, destinée à simplifier le cadre réglementaire de l’UE et à renforcer la compétitivité. Ils évaluent son impact sur le RGPD et les droits fondamentaux, notamment en matière de sécurité juridique et de simplification réelle.
Le comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (EDPS) ont adopté un avis conjoint sur la proposition de règlement omnibus numérique. Cette proposition vise à simplifier le cadre réglementaire numérique de l’UE, à réduire la charge administrative et à renforcer la compétitivité des organisations européennes.
Le CEPD et l’EDPS se concentrent sur les aspects concernant le RGPD, le RPDUE, la directive « vie privée et communications électroniques » et l’acquis en matière de données.
Plus précisément, ils évaluent si la proposition :
- conduit à une véritable simplification et facilite le respect des dispositions ;
- apporte une plus grande sécurité juridique ; et
- porte atteinte aux droits fondamentaux des personnes.
Modifications du RGPD et du RPDUE
Changements suscitant des préoccupations importantes
Certaines modifications proposées suscitent d’importantes préoccupations, car elles peuvent avoir une incidence négative sur le niveau de protection dont bénéficient les personnes, créer une insécurité juridique et rendre plus difficile l’application de la législation en matière de protection des données.
Le CEPD et l’EDPS invitent instamment les colégislateurs à ne pas adopter les modifications proposées à la définition des données à caractère personnel, étant donné qu’elles vont bien au-delà d’une modification ciblée ou technique du RGPD. En outre, elles ne reflètent pas exactement et vont clairement au-delà de la jurisprudence de la CJUE, et elles aboutiraient à une restriction significative de la notion de données à caractère personnel. La Commission européenne ne devrait pas être chargée de décider, par un acte d’exécution, ce qui ne constitue plus des données à caractère personnel après la pseudonymisation, étant donné qu’elle a une incidence directe sur le champ d’application du droit de l’Union en matière de protection des données.
Des pas dans la bonne direction
LE CEPD et l’EDPS sont favorables à l’augmentation du seuil de risque conduisant à l’obligation de notifier une à l’autorité de protection des données compétente et à la prolongation du délai pour soumettre une telle notification. Cela réduirait considérablement la charge administrative pesant sur les organisations sans porter atteinte à la protection des données à caractère personnel des personnes. En outre, les modèles et listes communs proposés pour les violations de données et les analyses d’impact relatives à la protection des données sont positifs.
LE CEPD et l’EDPS se félicitent également de la proposition d’introduire une nouvelle dérogation pour le traitement de catégories particulières de données aux fins de l’authentification biométrique, lorsque les moyens de vérification sont sous le contrôle exclusif de la personne.
Enfin, ils soutiennent l’harmonisation de la notion de «recherche scientifique» et d’autres changements connexes, car ils renforcent la sécurité juridique et contribuent à une plus grande harmonisation.
Changements nécessitant des ajustements
Comme indiqué dans l’avis 28/2024 du CEPD sur les modèles d’IA, l’intérêt légitime peut être utilisé, dans certains cas, comme base juridique dans le contexte du développement et du déploiement de modèles ou de systèmes d’IA. Par conséquent, Le CEPD et l’EDPS n’estiment pas nécessaire d’inclure une disposition spécifique à ce sujet dans le RGPD.
Le CEPD et l’EDPS se félicitent de l’objectif de la proposition d’introduire une dérogation spécifique à l’interdiction de traiter des données sensibles, sous réserve de conditions, couvrant le traitement accidentel et résiduel de ces données dans le contexte du développement et de l’exploitation de systèmes ou de modèles d’IA. Toutefois, ils recommandent plusieurs améliorations, telles que la clarification du champ d’application de la dérogation et le maintien de garanties tout au long du cycle de vie.
Le CEPD et l’EDPS sont d’accord avec l’objectif de la Commission d’apporter une clarté juridique aux responsables du traitement lorsqu’ils sont confrontés à des abus de droit de la part de personnes concernées. Toutefois, ils estiment que l’exercice du droit d’accès à des fins autres que la protection des données à caractère personnel ne devrait pas être un élément définissant ce qu’est un abus. En ce qui concerne la nouvelle dérogation relative à la transparence, le CEPD et l’EDPS sont favorables à la simplification des exigences en matière d’information et à la réduction de la charge administrative, en particulier pour les PME, mais suggèrent des clarifications afin de garantir la sécurité juridique et de veiller à ce que les personnes puissent toujours recevoir des informations pertinentes sur leurs données lorsque cela est nécessaire.
Enfin, les modifications apportées à la disposition relative à la prise de décision individuelle automatisée devraient être clarifiées afin de rendre ces modifications significatives et juridiquement saines.
Modifications apportées à la directive « vie privée et communications électroniques »
Le CEPD et l’EDPS soutiennent fermement l’objectif consistant à fournir une solution réglementaire pour remédier à la fatigue liée au consentement et à la prolifération des bannières de cookies. Il s’agit, par exemple, des exigences proposées concernant l’utilisation d’indications automatisées et lisibles par machine des choix des personnes en ce qui concerne le traitement de leurs données. L’utilisation de moyens techniques peut simplifier la conformité des responsables du traitement et aider les personnes à rendre leurs choix en ligne efficaces.
Le CEPD et l’EDPS se félicitent également des dérogations supplémentaires limitées à l’interdiction générale de stocker des données à caractère personnel dans l’équipement terminal ou d’y avoir accès, et invitent en outre les colégislateurs à encourager la plutôt que la publicité comportementale, en ajoutant une exception spécifique assortie de certaines garanties.
Le CEPD et l’EDPS se félicitent du fait que le contrôle de ces questions sera confié aux autorités de protection des données.
Dans le même temps, le CEPD et l’EDPS soulignent les difficultés juridiques et techniques soulevées par la coexistence de deux régimes différents pour les données à caractère personnel et les données à caractère non personnel. Elles fournissent également des recommandations supplémentaires visant à renforcer la sécurité juridique, à réduire au minimum les risques et à favoriser l’innovation responsable.
Modifications apportées à l'acquis en matière de données
Le CEPD et l’EDPS soutiennent la simplification de l’acquis en matière de données par l’intégration, dans le règlement sur les données, de l’acte sur la gouvernance des données et des règles de la directive sur les données ouvertes relatives à la réutilisation des données et des documents détenus par les organismes du secteur public.
En ce qui concerne l’accès accordé par les organismes publics en vue de la réutilisation, ils recommandent de maintenir la clarté offerte par le cadre juridique actuel, à savoir qu’il n’oblige pas les organismes du secteur public à autoriser la réutilisation et qu’il ne fournit pas non plus de base juridique pour l’octroi de l’accès.
En ce qui concerne les urgences publiques, le CEPD et l’EDPS recommandent d’affirmer que les données à caractère personnel ne peuvent être partagées que sous une forme pseudonymisée avec des organismes du secteur public, dans les cas où les données anonymes sont insuffisantes pour répondre à l’urgence publique.
En ce qui concerne les services d’intermédiation de données et les organisations altruistes en matière de données, le CEPD et l’EDPS soulignent l’importance d’un partage de données fiable et responsable. Ils recommandent de maintenir des garanties spécifiques, en favorisant la transparence et la surveillance.
Le CEPD et l’EDPS recommandent de rationaliser davantage les dispositions relatives à l’exécution (par exemple en permettant l’échange d’informations sur l’exécution entre autorités réglementaires, y compris avec les autorités de protection des données, et en clarifiant le rôle des autorités de protection des données dans l’application de la législation sur les données).
Le CEPD et l’EDPS se félicitent de la confirmation par la proposition du rôle du comité européen de l’innovation dans le domaine des données (EDIB) dans le soutien à l’application cohérente de la législation sur les données. En ce qui concerne l’élaboration de lignes directrices, ils recommandent d’habiliter la Commission à publier des lignes directrices sur tout sujet concernant le règlement sur les données et de clarifier le rôle de l’EDIB dans l’assistance à la Commission dans ce processus. Cela permettrait à la Commission d’élaborer des lignes directrices communes avec le CEPD et à l’EDIB de conseiller et d’assister la Commission dans l’élaboration de ces lignes directrices.
Documents de référence
- EDPB-EDPS Joint opinion 2/2026 on the Proposal for a Regulation as regards the simplification of the digital legislative framework (Digital Omnibus) (en anglais) - Site du CEPD
- Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL modifiant les règlements (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 et (UE) 2023/2854 - Site de la Commission européenne
Textes de référence
- Le règlement général sur la protection des données
- Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union - Eur-Lex
- Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques - Eur-Lex
- Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données et de l’utilisation des données - Eur-Lex
- Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 - Eur-Lex
- Directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public - Eur-Lex
