Le 19 novembre 2025, la Commission européenne a publié l'initiative nommée "omnibus numérique", une réforme dont l'objectif est de simplifier l'ensemble du cadre numérique européen depuis le règlement européen pour la protection des données (RGPD) jusqu'au règlement européen sur l'intelligence artificielle (IA), en passant par la directive ePrivacy et la réglementation sur la cybersécurité.
Des ajustements répondant à des besoins de clarification et d'efficacité
La Commission européenne a annoncé un certain nombre de mesures, parmi lesquelles :
- le report de certaines obligations prévues par le règlement européen sur l'intelligence artificielle (AI Act). Les systèmes d’intelligence artificielle à haut risque ne seront soumis à leurs nouvelles obligations qu’à partir de décembre 2027, soit seize mois plus tard qu’initialement prévu ;
- des modifications ciblées du règlement européen pour la protection des données (RGPD), notamment des clarifications sur la définition de la donnée personnelle. Les données pseudonymisées pourraient être exclues du champ d’application du RGPD, afin d’en faciliter l’utilisation pour l’entraînement des modèles d’IA, un assouplissement majeur du cadre européen actuel ;
- la simplification du consentement aux cookies ;
- la création d’un guichet unique pour signaler les incidents de cybersécurité, ce qui éviterait aux entreprises de multiplier les notifications aux autorités nationales.
Quelle différence entre données pseudonymisées et données anonymisées ?
Les données pseudonymisées sont toujours des données personnelles et sont soumises au RGPD. La pseudonymisation consiste à transformer des données personnelles afin qu’elles ne puissent plus être attribuées à une personne spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles visant à garantir que les données ne sont pas attribuées à des personnes physiques.
Les données anonymisées sont des données qui ont été rendues anonymes, de telle sorte que l’individu n’est pas ou n'est plus identifiable par tout moyen raisonnablement susceptible d’être utilisé. Lorsque l’anonymisation est correctement mise en œuvre, le RGPD ne s’applique plus aux données anonymisées.
Quelles interactions avec le règlement sur les services numériques (DSA) ?
En amont de la publication de l'omnibus numérique, la Commission européenne a publié, le 17 novembre 2025, une évaluation du règlement sur les services numériques (DSA) et son articulation avec plusieurs autres textes législatifs. Dans les faits, le rapport pose les bases d'une potentielle simplification du cadre législatif numérique européen.
Le rapport pointe, entre autres, les superpositions de textes sur les interfaces trompeuses (dark patterns) avec la directive sur les pratiques commerciales déloyales (UCPD). Or, la future législation sur l'équité numérique (Digital Fairness Act, DFA) entend aussi s’attaquer à la problématique des interfaces trompeuses.
Le DSA peut aussi se superposer avec le règlement sur l’IA.
Selon le rapport, ces règles poursuivent le même objectif mais diffèrent quant à leurs champs d’application et à leurs mécanismes de mise en œuvre, ce qui entraîne des doublons qui peuvent parfois s'avérer problématiques.
