L’omnibus numérique : un recul et un casse-tête pour la protection des données

Le 19 novembre 2025, la Commission européenne a publié deux propositions de règlement : un projet d’omnibus numérique « tout court »¹ concernant principalement le droit des données et un autre omnibus numérique sur l’intelligence artificielle (IA)², instaurant un délai pour l’entrée en application de plusieurs dispositions du règlement sur l’IA (AI Act – AIA), afin de tenir compte du retard pris dans l’adoption des normes harmonisées envisagées (voir La rem n°75, p.5).

La Commission propose également de codifier le Data Governance Act, la directive Open Data, le règlement sur la libre circulation des données non personnelles au sein du Data Act, ainsi que d’abroger le règlement « Platform-to-business », devenu redondant depuis l’adoption du Digital Markets Act (DMA) et du Digital Services Act (DSA). Ces projets, qui interviennent en pleine crise dans les relations transatlantiques (voir infra), s’inscrivent dans le sillage des conclusions du rapport Draghi sur l’avenir de la compétitivité européenne, lequel affirme que l’« augmentation de la charge réglementaire » constatée ces dernières années engendre des « obstacles structurels pour les entreprises européennes »³ . Ainsi, selon la Commission, l’omnibus numérique « tout court » vise à « simplifier les règles existantes en matière d’intelligence artificielle, de cybersécurité et de données […] tout en préservant les principes essentiels du RGPD et en maintenant le niveau le plus élevé de protection des données à caractère personnel »⁴. Pourtant, force est de constater que ni l’un ni l’autre de ces objectifs n’est susceptible d’être atteint par le texte en l’état.

Une remise en question du droit à la protection des données personnelles

Vers une interprétation restrictive de la notion de donnée à caractère personnel

Dans un arrêt du 4 septembre 2025⁵, la Cour de justice de l’Union européenne (CJUE) rappelait sa jurisprudence selon laquelle il faut tenir compte des moyens susceptibles d’« être raisonnablement mis en œuvre pour identifier la personne concernée » (point 82 de l’arrêt) pour déterminer si des données sont à caractère personnel. Cet arrêt d’espèce affirmait qu’il ne pouvait pas être absolument exclu que, pour le cabinet de conseil Deloitte – évaluateur dans le cadre d’une résolution bancaire et, à ce titre, destinataire des commentaires formulés par les actionnaires et les créanciers recueillis par le Conseil de résolution unique (CRU) de l’Union européenne (UE) –, ceux-ci ne soient pas à caractère personnel, dès lors que les éléments permettant d’identifier leurs auteurs avaient été ôtés avant transmission et que Deloitte n’avait aucun moyen raisonnable d’y accéder. Cet examen avait été renvoyé au juge du fond.

Sans même attendre le jugement définitif⁶, et sans tenir compte du fait que, en l’espèce, ce point demeurait sans effet sur le constat selon lequel le CRU aurait dû informer les personnes concernées de la communication de leurs données à Deloitte, la Commission européenne s’est appuyée sur cet arrêt pour justifier une réécriture de la définition de la notion de donnée à caractère personnel, proposant d’ajouter ce paragraphe à l’article 4 (1) du RGPD : « Les informations relatives à une personne physique ne sont pas nécessairement des données à caractère personnel pour toute autre personne ou entité du simple fait qu’une autre entité peut identifier cette personne physique. Les informations ne revêtent pas de caractère personnel pour une entité donnée lorsque ladite entité ne peut identifier la personne physique à laquelle elles se rapportent, compte tenu des moyens raisonnablement susceptibles d’être utilisés par cette entité. Ces informations ne se muent pas en informations à caractère personnel pour cette entité du simple fait qu’un destinataire ultérieur éventuel dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle les informations se rapportent. »⁷

On pourrait alors imaginer que l’on ne considère plus comme personnelles des données de géolocalisation pseudonymisées, une fois transmises à un courtier en données. Pourtant, de nombreuses études⁸ ont révélé la facilité avec laquelle il est possible de réidentifier quelqu’un à partir de très peu de données géographiques et d’en déduire notamment son domicile, son lieu de travail, son état de santé s’il fréquente un lieu identifié comme offrant un service médical, ou encore son lieu de culte habituel. Une personne pourrait-elle traiter ces données pseudonymes à des fins commerciales en étant exonérée de toute responsabilité en cas d’usage malveillant de ces informations hautement sensibles ?

La Commission souhaite, de plus, s’octroyer le pouvoir de préciser elle-même « les moyens et les critères permettant de déterminer si les données résultant de la pseudonymisation ne constituent plus des données à caractère personnel pour certaines entités » (art. 10 de l’omnibus numérique). Elle compte également ôter aux autorités de protection des données le pouvoir d’établir la liste des traitements pour lesquels une évaluation d’impact est nécessaire (art. 12 à 14 de l’omnibus numérique), portant ainsi atteinte à leur indépendance. Afin de favoriser le développement commercial de l’IA, il est proposé, en outre, de détourner les finalités initiales d’un traitement à des fins de « développement technologique » (art. 3 (1) et 3 (2) de l’omnibus numérique), y compris, s’il s’agit d’IA, en traitant des données sensibles telles que les données de santé ou des opinions politiques (art. 3 (3) du RGPD). Ceci affaiblirait considérablement le principe de limitation des finalités.

Les droits des personnes concernées vidés de leur substance

Les droits des personnes concernées sont aussi visés. L’article 3 (5) de l’omnibus numérique prévoit une nouvelle exception à l’obligation faite à un responsable du traitement « exerçant une activité sans usage intensif de données » d’informer les personnes concernées des traitements de données qu’il effectue « dans le cadre d’une relation claire et circonscrite ». L’article 3 (7) envisage une reformulation de l’article 22 du RGPD afin d’autoriser explicitement la prise de décision automatisée qui « est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement, que la décision puisse ou non être prise autrement que par des moyens exclusivement automatisés ». Cette rédaction, emprunte de contradictions, affaiblit le principe de nécessité qui est au cœur de l’architecture générale du droit des données personnelles⁹. Concrètement, cet amendement restreindrait la possibilité d’obtenir un réexamen par un humain d’une décision prise par une IA¹⁰, au lieu de permettre une formulation plus claire de ce droit¹¹.

L’article 3 (4) de l’omnibus numérique prévoit, quant à lui, de limiter les motifs pour lesquels il est possible d’exercer son droit d’accès aux données personnelles¹². Le considérant 35 affirme souhaiter prévenir les abus de ce droit, comme les usages répétés qui ont un caractère harcelant, ou qui ne servent qu’à mettre un responsable du traitement en difficulté par une demande complexe le plaçant en situation d’échec. Mais, alors que le RGPD laisse déjà toute latitude à un responsable du traitement de rejeter les demandes abusives, la solution proposée à ce problème, qui n’existe donc pas, est de restreindre le droit d’accès aux seules fins de la « protection de ses données ». La Commission entend ainsi revenir sur la jurisprudence de la CJUE, qui avait rappelé dans un arrêt du 26 octobre 2023 qu’un responsable du traitement devait donner droit à une demande d’accès « même lorsque cette demande est motivée dans un but étranger »¹³ au contrôle de la licéité ou à l’exercice des droits mentionnés au considérant 63 du RGPD. En outre, alors que le droit d’accès vise à réduire au profit des personnes concernées l’asymétrie d’information fondamentale bénéficiant aux responsables du traitement qui collectent les données, en les obligeant à révéler ce qu’ils savent sur elles, le considérant 35 de l’omnibus numérique affirme que « les demandes trop larges ou génériques devraient également être considérées comme excessives ». Si le texte est adopté en l’état, il faudra alors connaître à l’avance le périmètre des données traitées pour être en mesure de formuler une demande, vidant ce droit de sa substance.

Un risque majeur de perte de compétitivité pour les entreprises européennes

Un texte confus qui va générer de nouvelles tâches pour la compliance

L’omnibus numérique contient assez peu de réelles mesures de simplification en matière de protection des données, hormis la création d’un guichet unique pour les déclarations d’incidents de cybersécurité (art. 3 (8) du RGPD), dont il faut relever qu’elles ne seraient plus systématiquement obligatoires. En revanche, adopté en l’état, il risque d’engendrer une coûteuse confusion. Prenons l’exemple le plus frappant : le caractère personnel d’une donnée serait désormais relatif à l’« entité » – notion définie nulle part – qui peut identifier la personne concernée. Or, contrairement à ce que semble croire la Commission européenne, ce n’est pas à la donnée personnelle que se rattache l’application du RGPD, mais à celle de son « traitement » (art. 2 du RGPD) ; dès lors que des données personnelles sont traitées, les personnes concernées ont des droits, et les responsables des « modalités et finalités » du traitement – peu importe si ces acteurs ont ou non accès aux données – doivent démontrer le respect de leurs obligations au titre du RGPD¹⁴.

L’arrêt de septembre 2025 soulevait, en effet, des questions sur le statut du cabinet Deloitte en tant que destinataire de données potentiellement anonymisées de son point de vue, mais s’inscrivait surtout dans le prolongement de la jurisprudence antérieure qui a progressivement affiné la compréhension de la répartition des rôles de chaque personne participant à un traitement de données dans la garantie du respect des règles édictées par le RGPD. Il est souvent difficile, en outre, de déterminer si l’on dispose de « moyens raisonnables » qui évoluent d’ailleurs au cours du temps pour réidentifier une personne concernée. Tout ceci ne manquera pas de susciter le besoin d’un nouveau service de conseil en conformité RGPD : les évaluations d’identifiabilité, qu’une « entité » sera sûrement invitée à effectuer régulièrement pour savoir si elle a bel et bien le droit de bénéficier de cette « simplification » du RGPD.

Une divergence dommageable avec les textes fondamentaux et à l’international

L’articulation entre l’omnibus numérique et les autres sources du droit de la protection des données est très incertaine. Nous avons déjà relevé l’atteinte au principe d’indépendance des autorités de contrôle et au droit d’accès, garantis par la Charte des droits fondamentaux. Il faut aussi aborder le décalage créé avec certaines dispositions de la Convention 108 du Conseil de l’Europe, ratifiée par tous les États membres de l’UE. Il faudra pourtant bien tenir compte de cette convention internationale pour interpréter, par exemple, le droit pénal relatif aux atteintes à la personne par le traitement automatisé de données personnelles.

Un autre aspect parfois négligé est l’existence de plus de 170 lois de protection des données en vigueur dans le monde¹⁵, la plupart en dehors de l’UE, mais souvent inspirées du RGPD. Rien n’exclut qu’une trop grande divergence avec ce qui est devenu un standard international n’entraîne des autorités de pays tiers à prendre des décisions restreignant les transferts vers l’Espace économique européen. Jusqu’ici, un tel scénario paraissait fantaisiste, ce qui limitait en pratique les coûts de conformité des entreprises européennes à l’égard des lois applicables dans les pays tiers dont elles visent les marchés.

En matière de protection des données, l’omnibus numérique, que la Commission souhaite faire adopter d’urgence, risque en réalité d’apporter à la fois perte de compétitivité et atteinte aux droits fondamentaux. C’est une occasion manquée de s’attaquer à quelques vraies sources de complexité, comme les conflits de compétence entraînés par la démultiplication des autorités chargées de faire respecter l’AIA et le RGPD. Des clarifications sur le partage des responsabilités lorsqu’il y a un fort déséquilibre de pouvoir de fait entre plusieurs responsables conjoints auraient également certainement facilité la vie des petites et moyennes entreprises. La volonté affichée de travailler dans la précipitation est pourtant un risque connu pour la qualité du droit. En 1992, la Commission européenne avait dû réécrire entièrement son projet de directive de protection des données initialement présenté en 1990, pour tenir compte des très nombreuses critiques formulées à l’encontre d’un texte incohérent¹⁶. Il serait assurément souhaitable que la Commission suive son propre exemple en 2026.

L’analyse présentée ici prend appui sur des travaux réalisés dans le cadre du projet DATARights, financé par l’Agence nationale de la recherche (ANR-24-CE53-2287-01).

1. Procédure 2025/0360(COD).
2. Procédure 2025/0359(COD).
3. Draghi Mario, « L’avenir de la compétitivité européenne », partie A : « Une stratégie de compétitivité pour l’Europe », Luxembourg, Office des publications de l’Union européenne, 2024, p. 34.
4. Commission européenne, « Simplification des règles de l’UE dans le domaine du numérique et nouveaux portefeuilles numériques : faire économiser des milliards d’euros aux entreprises et stimuler l’innovation », communiqué de presse n° IP/25/2718, 19 novembre 2025.
5. CJUE, 1^e ch., 4 septembre 2025, Conseil de résolution unique, aff. C-413/23/P.
6. Celle-ci a finalement été radiée du rôle du Tribunal de l’Union européenne, à la demande de la partie demanderesse, par décision du président de la Première Chambre en date du 19 décembre 2025. Nous n’aurons donc jamais le fin mot de l’histoire.
7. Paragraphe que l’article 3 (1) de l’omnibus numérique vise à ajouter à l’article 4 (1) du RGPD.
8. Voir l’état des lieux dressé par le Laboratoire d’innovation numérique de la Cnil : Myras Cyril, « Geo Trouve-Tous – La réidentification des données : de la théorie au cas pratique », linc.cnil.fr, 2022.
9. De Marco Estelle, « Comparative study between Directive 95/46/EC and the GDPR including their relations to fundamental rights », rapport rédigé par la société Inthemis, inthemis.fr, March 2018.
10. Tosoni Luca, « The right to object to automated individual decisions: resolving the ambiguity of Article 22(1) of the General Data Protection Regulation », International Data Privacy Law, vol. 11 (2), April 2021, p. 145162.
11. Kloza Dariusz, Drechsler Laura, Fernandez Elora (eds), « If it ain’t broke, don’t fix it? Ten improvements for the upcoming tenth anniversary of the General Data Protection Regulation », Computer Law & Security Review, vol. 60, April 2026.
12. Mahieu René, « The Ominous Omnibus », Verfassungsblog On Matters Constitutional, December 3, 2025.
13. CJUE, 1^e ch., 26 octobre, FT contre DW, aff. C-307/22, § 1 du dispositif.
14. Mahieu René, van Hoboken Joris, Asghari Hadi, « Responsibility for data protection in a networked world – On the question of the controller, «Effective and Complete Protection» and its application to data access rights in Europe », Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 10, n^o 1, 2019, p. 84-104. Rossi Julien, Keller Jonathan, « Are internet standard developing organisations data controllers under the GDPR ? », Internet Policy Review, 14, n^o 3, 2025.
15. Greenleaf Graham, « Global data privacy laws 2025 : 172 countries, Twelve New in 2023/24 », SSRN, April 2, 2025.
16. Entretiens avec Marie Georges (le 2 janvier 2023) et Ulf Brühann (20 septembre 2023).