Le RGPD en mutation : ce que les projets « Omnibus » pourraient changer pour votre organisation
Article RGPDMinute RGPD
Depuis son entrée en vigueur en 2018, le Règlement Général sur la Protection des Données (RGPD) est la pierre angulaire de la conformité des données en Europe. Pourtant, la Commission européenne a récemment ouvert un chantier inattendu : une simplification potentielle des règles, non seulement via la modification du RGPD, mais aussi de l’ensemble du droit numérique.
Deux projets majeurs, baptisés « Omnibus », sont aujourd’hui sur la table : Omnibus IV et Digital Omnibus. Bien qu’il ne s’agisse, à ce stade, que de propositions, le débat est vif.
Pour la Commission, c’est un acte de simplification ; pour de nombreuses organisations de la société civile, c’est potentiellement la plus forte réduction des droits numériques en 40 ans.
Omnibus IV : Un allègement pour les PME et les « SMC »
Daté du 21 mai 2025, le projet Omnibus IV vise à alléger les obligations administratives pour les petites et moyennes entreprises (PME), en y ajoutant une nouvelle catégorie : les small mid-caps (SMC) (entreprises de moins de 750 salariés et respectant certains seuils financiers).
Le Registre des traitements allégé (Art. 30)
C’est l’un des changements les plus concrets pour les organisations concernées.
Aujourd’hui, les petites structures peuvent être dispensées de registre si leurs traitements sont “peu risqués” et ne concernent pas certaines catégories de données
Omnibus IV propose que les PME et SMC ne soient tenues de tenir un registre que pour les traitements “à haut risque” pour les droits et libertés (profilage, grande échelle, données sensibles, etc.).
Par exemple : Si votre organisation compte moins de 750 salariés et n’effectue pas de traitements considérés comme à haut risque, l’obligation de tenir un registre exhaustif pourrait disparaître. Cependant, toutes les autres obligations de fond du RGPD restent inchangées.
Digital Omnibus : cookies, IA et redéfinition des données
Le Digital Omnibus est la partie la plus visible (et la plus polémique) des propositions. Il entend revoir le droit du numérique dans son ensemble, incluant les règles sur les cookies, le RGPD, l’IA et la cybersécurité.
Vers la fin des bandeaux cookies ?
La FAQ officielle de la Commission résume les grands changements envisagés :
Un clic pour dire oui ou non : les sites devront proposer un bouton unique pour accepter ou refuser l’ensemble des cookies, et respecter ce choix pendant au moins six mois.
Préférences centralisées : les utilisateurs pourront définir leurs préférences (par exemple dans le navigateur), et les sites devront les respecter.
Moins de bannières : certains usages jugés “peu risqués” (statistiques, mesure d’audience agrégée…) n’entraîneraient plus de pop-ups de consentement.
Pour beaucoup d’acteurs, cela répond à une vraie difficulté (la lassitude des bandeaux).
Pseudonymisation : une nouvelle approche de la donnée personnelle
La Commission souhaite clarifier la notion de donnée personnelle, en intégrant dans la loi une décision récente de la CJUE :
Pour un tiers qui reçoit des données pseudonymisées, et qui ne dispose d’aucun moyen permettant de ré-identifier les personnes, ces données ne seraient pas considérées comme personnelles à son niveau.
En revanche, pour l’organisme qui a réalisé la pseudonymisation, et qui possède donc la clé ou les informations permettant de ré-identifier les personnes, les données restent des données personnelles. Il demeure donc pleinement soumis au RGPD.
Point de friction : Des experts craignent que cette approche permette à des acteurs comme la publicité ciblée ou les data brokers de s’extraire du champ d’application du RGPD en déclarant ne pas « viser » l’identification.
IA : l’intérêt légitime pour l’entraînement des modèles
C’est une modification potentiellement majeure : l’intérêt légitime pourrait devenir une base légale valide pour certains traitements nécessaires à l’entraînement des modèles d’intelligence artificielle (IA), sous réserve de garanties spécifiques et d’un droit d’opposition inconditionnel.
Des critiques estiment que cela pourrait autoriser de très grandes plateformes à utiliser massivement des données issues de réseaux sociaux (jusqu’à 15 ans d’historique) pour entraîner leurs IA, sans un véritable contrôle effectif de l’utilisateur.
Incidents de sécurité : vers un guichet unique
Le projet propose un « single-entry point »(un point d’entrée unique) géré par l’ENISA pour la notification des incidents de sécurité, couvrant les obligations du RGPD, de NIS2 et de DORA. L’objectif est la simplification administrative, mais le risque est une complexification opérationnelle si les exigences de fond restent hétérogènes.
Une réforme sous forte contestation politique
Les projets Omnibus font face à une vive opposition :
États membres : La majorité n’était pas favorable à une réouverture du RGPD.
Parlement européen : Des groupes politiques influents ont demandé à la Commission de cesser des modifications jugées « trop intrusives ».
Société civile : Plus de 127 organisations dénoncent une réécriture du RGPD menée sans analyse d’impact et selon une procédure accélérée, y voyant une perte de garanties pour les droits fondamentaux.
Les experts soulignent notamment quatre risques majeurs :
Définition « subjective » des données personnelles : Risque que des secteurs (comme l’adtech ou les data brokers) déclarent ne pas « viser » l’identification pour sortir du champ du RGPD.
Utilisation massive des données pour l’IA : Le recours à l’intérêt légitime pourrait permettre l’utilisation sans contrôle effectif des données issues des réseaux sociaux par de grandes plateformes.
Accès étendu aux appareils des utilisateurs : De nouvelles exceptions sont jugées trop larges, permettant des accès pour des fins « statistiques » ou de « sécurité ».
Réduction du droit d’accès des personnes : La limitation du droit d’accès à la seule « finalité de protection des données » pourrait nuire aux litiges, aux enquêtes journalistiques et à la jurisprudence de la CJUE.
Que doit faire votre organisation ?
Bien qu’il ne s’agisse encore que de propositions, l’instabilité réglementaire appelle à la veille active et à l’anticipation !
Si le projet laisse penser à certains allégements gardez un haut niveau d’exigence en matière de protection des données, en application des principes de privacy by design et by default. Qui peut le plus, peut le moins !
Cela vaut particulièrement :
Pour les traitements à risque : en effet, même dans l’hypothèse d’un Digital Omnibus qui réduit considérablement les obligations (notamment pour les PME ou SMC), vous serez toujours soumis à des exigences de documentation de la conformité (cf. accountability) plus strictes.
Pour les projets IA : Si vous utilisez des données personnelles pour l’entraînement d’IA, commencez à documenter les garanties que vous pourriez mettre en place (pseudonymisation, cloisonnement, chiffrage de la données), et anticiper la nature/ l’objet de votre intérêt légitime à développer cette IA, si l’intérêt légitime devenait la base légale.
Notre rôle : vous accompagner dans un environnement instable
Notre rôle n’est pas d’affirmer la disparition du RGPD, ce qui serait faux, mais de vous aider à naviguer dans un environnement réglementaire qui, avec ces projets, devient plus instable.
Chez Actecil, nous vous accompagnons concrètement pour :
Traduire les textes en impacts opérationnels pour vos processus internes.
Mettre à jour vos documents (bannières cookies, registre, notices) au bon moment, sans précipitation.
Former vos équipes pour comprendre ce qui change… et surtout ce qui ne changera pas : la nécessité d’un cadre solide, opérationnel et réellement utile au quotidien.
Nous sommes là pour transformer ces incertitudes réglementaires en une stratégie de conformité claire et pérenne pour votre organisation.
OpenAI lance ChatGPT Atlas : le navigateur qui agit à votre place
OpenAI vient de dévoiler ChatGPT Atlas, son tout nouveau navigateur web intégrant directement son célèbre chatbot. Avec Atlas, OpenAI réunit deux outils en un seul : un navigateur web et un assistant conversationnel. Le résultat ? Un compagnon d’écran qui ne se contente plus de vous aider dans une fenêtre dédiée, mais vous suit partout sur le Web.
L’IA sur LinkedIn, entre promesse et réalité de la conformité
Sur LinkedIn, les promesses avec l’intelligence artificielle se multiplient. On vous assure un gain de temps spectaculaire simplement grâce à un « petit prompt » bien formulé dans un assistant IA. Séduisant non ? Qui ne rêve pas de gagner du temps sur son travail ? Cependant, la promesse de rapidité cache un point essentiel : le cadre de la conformité.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
