Réforme omnibus : ce que les entreprises doivent savoir pour se conformer au RGPD

Serpent de mer des couloirs bruxellois, la réforme du Règlement Généralsur la Protection des Données (RGPD) semble devenir réalité. En effet, unepremière version du paquet législatif “Digital Omnibus” a récemment fuité surinternet, esquissant ce qui s’apparente à une réforme majeure[1].

Pourquoi maintenant ? Quels changements concrets sont envisagés ?Ce guide vous donne les clés pour comprendre.

Pourquoi réformer le RGPD dès maintenant ?

La Commission identifie trois problèmes principaux :

• La disproportion des coûts de conformité au RGPD, notamment pour les PME ;
• L’inadaptation du texte aux nouveaux usages d’Intelligence Artificielle(IA) ;
• La complexité législative apportée par de nouvelles réglementations parallèles, notamment les AI Act et Data Act.

Les amendements proposés viseraient donc à rendre le RGPD plus simple, moins contraignant, et plus adapté aux évolutions technologiques.

En réponse, plusieurs associations de défense des droits numériques[2]dénoncent plutôt un effort de dérégulation menant à un affaiblissement de protections difficilement gagnées face aux géants du numérique.

Ainsi, simplification bienvenue ou remise en cause de garanties fondamentales ?

Les principales modifications proposées‍

Données personnelles : une question de point de vue ?

Le projet introduit une approche relativiste de l’identifiabilité : une donnée ne serait considérée comme personnelle que sil ’entité qui la traite dispose des moyens “raisonnablement susceptibles” d’identifier la personne.

Ainsi, la possibilité de réidentification de l’individu par un destinataire ultérieur des données ne suffirait plus à les considérer comme personnelles. Il s’agit d’une évolution considérable, réduisant l’applicabilité du RGPD à des cas très restreints, et diminuant d’autant laprotection apportée aux individus.

En conséquence, des données comme les cookies ou les ID publicitaires pourraient sortir du champ du RGPD pour certains acteurs, à contrecourant de la jurisprudence constante de la CJUE[3].

Le champ des données sensibles réduit au strict minimum

Sous la nouvelle définition, les données neseraient considérées comme « catégories spéciales » que si lacaractéristique protégée (santé, orientation sexuelle, opinions politiques,etc.) est directement révélée. Ainsi, les données permettant d’inférer ou dedéduire ces caractéristiques sans les nommer expressément pourraient être exploitées plus librement.

Par exemple, la déduction d’un état de santé à partir d’achats en ligne, ou d’opinions politiques à partir de publications en ligne[4]ne déclencheraient plus les protections actuelles.

A nouveau, il s’agit d’une réécriture conséquente du RGPD allant à rebours des normes du Conseil de l’Europe[5]et de la jurisprudence de la CJUE[6].

Cookies et consentement : vers la fin des bandeaux ?

La Commission propose d’intégrer les règles e-privacy au RGPD, d’assouplir largement le régime du consentement et d’automatiser les préférences via les navigateurs ou les systèmes d’exploitation.

D’une part, les règles actuelles sur les cookies, aujourd’hui appliquées de manière disparate par les États membres, seraient harmonisées au niveau européen.

D’autre part, certains traceurs – notamment à visée statistique ou de sécurité - seraient complètement exemptés de consentement. Les traceurs poursuivant d’autres finalités, par exemple marketing, pourraient être légitimés par n’importe quelle autre base légale du RGPD, incluant l’intérêt légitime.

Enfin, l’opt-in ou l’opt-out devront être paramétrables via les navigateurs ou les systèmes d’exploitation, évitant l’emploi systématique de bandeaux et la « fatigue cookies ».

En conséquence, on pourrait s’attendre à desrègles plus lisibles sur le marché européen, à une disparition progressive desbandeaux, mais surtout à une résurgence massive de traceurs dont latransparence et les finalités seront beaucoup moins encadrés.

Formation et utilisation de l'IA : bien plus faciles qu'auparavant

En matière d’intelligence artificielle, la réforme autoriserait le traitement de données personnelles par système d’IA sans consentement explicite, en s’appuyant sur la base légale de l’ “intérêt légitime”.

D’une part, cette base légale serait offerte pour tout « développement » ou « opération » de système d’IA, indépendamment du but poursuivi. Cette approche par outil, et non par finalité, crée une divergence majeure à l’approche du RGPD : employer unsystème d’IA plutôt qu’un tableur Excel suffirait-il à se prévaloir de l’intérêt légitime là où le consentement serait autrement requis ?

‍
D’autre part, bien que l’article cite les garanties minimales encadrant cette exploitation (nécessité, minimisation, transparence, droit d’opposition), leur mise en œuvre concrète soulève de nombreuses questions.

Par exemple, est-il réaliste d’informer les personnes concernées si l’outil a été nourri de bases de données non structurées, sans que des coordonnées ne soient disponibles ? De même, comment justifier la minimisation de données traitées de manière généralisée et systématique[7]? Enfin, comment assurer l’exercice de droits d’accès ou d’effacement lorsque les systèmes actuels n’en offrent aucune garantie technique ?

Ainsi, si cet effort de simplification est bienvenu, il soulève encore de nombreuses questions et incohérences qu’il sera nécessaire de régler pour garantir la sécurité juridique des organisations.

Conclusion

La réforme du RGPD semble marquer un tournant stratégique : plus de flexibilité pour les entreprises, mais au prix d’un potentiel recul des droits fondamentaux.

Pour autant, il seraitprécoce d’en tirer immédiatement des conséquences pratiques. De fait, ce document ne sera officiellement présenté que le 19 novembre, avant une série denégociations entre Parlement et Conseil de l’Union européenne.

En attendant, lesDPO devront garantir la conformité aux règles actuelles, tout en anticipant cesévolutions pour une transition souple le jour venu.

Références

[1] Proposition de règlement tel que fuité le 11 novembre 2025
[2] Article de « None of your Business” résumant la proposition de la Commission ‍

[3] Breyer (C-582/14), ECLI:EU:C:2016:779, point 49 ; IABEurope (C-604/22), ECLI:EU:C:2024:214, point 51

[4] Wikipedia,scandale Facebook-Cambridge Analytica

[5] Conseil de l’Europe, Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, Strasbourg,28 janvier 1981, article 6

[6] OT(C-184/20), ECLI:EU:C:2022:601, point 128

[7] Mousse,(C-394/23), ECLI:EU:C:2025:2, point 49