Tribunes

Digital Omnibus : une simplification qui bouscule la gouvernance des SI

Comme l’indique François-Pierre Lani, le Digital Omnibus européen doit notamment se traduire par une unification des notifications d’incidents et par une clarification de la définition de donnée à caractère personnel. (Photo : D.R.)

Le règlement « Digital Omnibus » présenté par la Commission européenne le 19 novembre dernier ouvre une nouvelle phase du droit du numérique : consolidation des règles sur les données, assouplissement ciblé du RGPD et rationalisation des notifications de cybersécurité. Pour les entreprises, cette réforme n'est pas qu'un chantier juridique - elle redéfinit directement la gouvernance des systèmes d'information.

PublicitéCes dernières années, les entreprises européennes font face à une superposition de textes structurants - RGPD, Data Act, NIS 2, DORA, Data Governance Act, Open Data, ePrivacy - dont l'empilement a complexifié la conformité, sans toujours améliorer la sécurité ou la compétitivité des acteurs numériques européens.

Le 19 novembre 2025, la Commission européenne a présenté une proposition de règlement omnibus numérique (en anglais « Digital Omnibus »), qui viserait à rationaliser ce paysage normatif en consolidant, simplifiant et harmonisant plusieurs instruments clés du droit du numérique.

À ce stade, il ne s'agit pas d'un texte en vigueur mais d'un projet soumis au processus législatif européen. Néanmoins, ses orientations sont suffisamment structurantes pour identifier, dès à présent, les effets potentiels de ce nouveau texte sur la gouvernance des données, la cybersécurité, le cloud et les projets d'intelligence artificielle.

Le Data Act devient la colonne vertébrale du droit des données

Le coeur du Digital Omnibus réside dans la refonte du cadre des données autour du règlement (UE) 2023/2854 (le « Data Act »). La Commission y intègre et abroge quatre textes majeurs : le Free Flow of Non-Personal Data Regulation (2018/1807), le Data Governance Act (2022/868), la directive Open Data (2019/1024), ainsi que le régime de gouvernance des services d'intermédiation. Cette fusion mettrait ainsi fin à la fragmentation entre les régimes de portabilité cloud, de réutilisation de données publiques et de partage de données industrielles.

Dans la proposition de la Commission, les règles de réversibilité et de portabilité des services cloud restent le pivot de la lutte contre la dépendance économique et technique à certains fournisseurs, mais avec un assouplissement important pour les PME et certaines entreprises de taille intermédiaire (les « small mid-caps » ou « SMC »). Par exemple, la proposition prévoit que ces entreprises bénéficieraient d'une dérogation leur permettant d'inclure des pénalités de résiliation anticipée dans les contrats à durée déterminée conclus avec leurs clients.

Un renforcement juridique contre les fuites de secrets d'affaires

L'une des propositions notables est l'aménagement des règles en matière de partage des données issues des objets connectés (les « données IoT »). Pour rappel, le Data Act prévoit que le fabricant ou le fournisseur du service donne accès aux données d'usage à l'utilisateur et aux tiers qu'il désigne avec des possibilités de refus très limitées.

La proposition de la Commission consacrerait une exception bienvenue qui permettrait de renforcer la maîtrise juridique des entreprises européennes sur leurs actifs informationnels stratégiques. Le fournisseur pourrait ainsi refuser la divulgation des données IoT lorsqu'il existe un risque élevé de fuite de secrets d'affaires vers des pays tiers ou des entités sous leur contrôle.

PublicitéLe projet de Digital Omnibus introduirait encore une rupture avec le principe de neutralité économique de l'Open Data, en autorisant désormais les administrations à appliquer des redevances plus élevées et des conditions contractuelles spécifiques aux entreprises de très grande taille et, en particulier, aux plateformes qualifiées de gatekeepers au sens du règlement (UE) 2022/1925 (le « DMA »), afin d'éviter l'appropriation asymétrique de la valeur issue des données publiques.

Définition plus réaliste de la donnée personnelle

La proposition de règlement projette de clarifier la définition de donnée à caractère personnel prévue par l'article 4 du RGPD : une donnée ne sera « à caractère personnel » que si le responsable de traitement dispose de moyens raisonnablement susceptibles d'identifier la personne. Elle permettrait ainsi de sécuriser juridiquement l'exploitation par les entreprises de jeux de données pseudonymisées, de lacs de données et des bases d'entraînement de systèmes d'intelligence artificielle, dès lors que l'architecture du système d'information ne permet pas, en pratique, une réidentification des personnes concernées.

Le projet de Digital Omnibus introduirait un régime de tolérance encadrée permettant le traitement non intentionnel et strictement limité de données relevant des catégories particulières de l'article 9 du RGPD (données sensibles) dans le cadre du développement ou du fonctionnement de systèmes d'intelligence artificielle, sous réserve de leur suppression technique à postériori et de l'absence de toute exploitation autonome. Cette évolution traduirait une reconnaissance explicite, par le législateur européen, des contraintes opérationnelles propres aux chaînes de traitement et d'entraînement des modèles d'IA, dans lesquelles une exclusion absolue de toute donnée sensible ne peut être garantie en pratique.

Guichet unique européen pour les incidents de sécurité

Le règlement crée un guichet unique de notifications d'incidents couvrant simultanément la directive NIS 2, le règlement DORA, le RGPD (violations de données), le règlement eIDAS, et la directive sur la résilience des entités critiques (CER).

Pour les entreprises européennes, cela implique un changement organisationnel majeur mais simplificateur. Les équipes SOC, RSSI, conformité et juridique devront désormais alimenter un point d'entrée unique au niveau de l'Union, supervisé par l'Enisa (l'agence européenne pour la cybersécurité), en lieu et place de multiples autorités.

Cookies et navigateurs : la fin des bannières cookies

Aujourd'hui, les cookies et technologies de traçage sont soumis à un régime juridique dual : l'article 5, paragraphe 3, de la directive 2002/58/CE (ePrivacy) pour l'accès au terminal de l'utilisateur, et le RGPD pour le traitement ultérieur des données personnelles collectées. Le projet de Digital Omnibus procéderait à l'intégration des règles issues de la directive 2002/58/CE ("ePrivacy") au sein du seul cadre du RGPD, mettant ainsi fin à ce chevauchement normatif. Cette unification viserait à simplifier la conformité juridique des éditeurs et des plateformes, tout en harmonisant les pratiques au niveau de l'Union européenne..

Il instituerait, en outre, un mécanisme de consentement fondé sur des signaux automatisés et lisibles par machine, transmis par les navigateurs ou les applications des utilisateurs, que les éditeurs de sites et de services en ligne seraient tenus de respecter après l'adoption de standards européens restant à être élaborés. À l'exception des médias au sens du règlement (UE) 2024/1083, l'ensemble des plateformes numériques devrait ainsi adapter ses interfaces afin de se conformer à ce nouveau régime de gestion du consentement.

Quel calendrier d'adoption pour le Digital Omnibus ?

La proposition Digital Omnibus reste à être examinée selon la procédure législative ordinaire par le Parlement européen et le Conseil de l'Union européenne. Concrètement, le texte fera l'objet d'amendements parlementaires, de négociations entre les différents organes de l'Union (trilogue), puis d'une adoption conjointe par le Parlement et le Conseil de l'Union européenne.

À ce stade, les dispositions relatives au RGPD, au Data Act, à la cybersécurité et aux cookies sont donc susceptibles d'évoluer, tant sur leur portée que sur leur calendrier d'application. Une adoption définitive pourrait intervenir courant 2026-2027, avec une application progressive pour certaines mesures techniques (guichet unique Enisa, signaux de consentement navigateur, etc.).

Tribune rédigée avec Alexandre Renou, avocat au sein du cabinet Derriennic Associés. Alexandre Renou accompagne les entreprises, en particulier les acteurs du numérique, sur leurs problématiques de droit des nouvelles technologies et de droit des affaires, tant en conseil qu'en contentieux. Il intervient notamment en rédaction et négociation de contrats informatiques, contrats commerciaux, ainsi qu'en matière de contentieux informatique et commercial.

Comment se préparer au Digital Omnibus ?

- Cartographier les flux IoT, cloud, open data et IA afin d'identifier les obligations et droits issus des propositions d'articles 4, 5 et 31 du Data Act tel que projeté.
- Anticiper une mise à jour des contrats data et IA pour tenir compte des nouvelles définitions RGPD et des régimes de partage et de réutilisation consolidés.
- Préparer, dans les contrats cloud et data, des clauses de refus fondées sur le risque pays tiers, conformément aux propositions d'articles 4(8) et 5(11) du Data Act.
- Anticiper l'alignement des procédures de gestion d'incident sur le futur point d'entrée unique Enisa couvrant NIS 2, RGPD, DORA, eIDAS et CER.
- Préparer les sites et applications à la prise en charge des signaux de consentement navigateur, appelés à remplacer les bannières cookies classiques.

Article rédigé par

François-Pierre Lani, avocat associé au cabinet Derriennic Associés
François-Pierre Lani est un avocat reconnu en droit de l'informatique et des nouvelles technologies. François-Pierre Lani apporte personnellement toute son expérience et son savoir-faire dans les dossiers les plus complexes du domaine des nouvelles technologies. Il est associé du cabinet Derriennic Associés depuis 25 ans après avoir exercé des fonctions de directeur juridique et de business developper à l'international en entreprise.