Javascript is required
logo-dastralogo-dastra

Projet Omnibus, RGPD, AI Act : que révèle la fuite ?

Projet Omnibus, RGPD, AI Act : que révèle la fuite ?
Leïla Sayssa
Leïla Sayssa
14 novembre 2025·12 minutes de lecture

Depuis quelques jours, une fuite fait beaucoup parler d’elle à Bruxelles : un brouillon du futur règlement « Digital Omnibus », que la Commission européenne doit présenter officiellement le 19 novembre 2025.

L’objectif affiché du projet Omnibus est de simplifier et d’« harmoniser » le cadre numérique européen (RGPD, AI Act, ePrivacy, Data Act, etc.) : supprimer les doublons, clarifier les obligations et alléger la charge pour certaines entreprises, en particulier les PME.

Initialement, la Commission prévoyait de mener en 2026 un « bilan de santé numérique » (Digital Fitness Check), de rassembler des preuves solides, puis de proposer une révision ciblée et rigoureusement préparée du RGPD et des autres textes numériques.

La démarche actuelle est toute autre : une procédure accélérée, dans laquelle les services de l’UE ne disposent que de cinq jours ouvrables pour examiner un projet de texte. On s’éloigne clairement d’une approche fondée sur l’analyse et l’évidence.

Dans cet article, on décrypte donc ce que contient réellement le projet Omnibus qui a fuité, ses impacts potentiels sur le RGPD et l’AI Act, et ce que les DPO / juristes doivent commencer à anticiper – sans céder à la panique.

Important : ce n’est qu’un brouillon. Le texte officiel pourra être différent et devra encore être discuté et amendé par le Parlement européen et le Conseil. Autrement dit, rien n’est figé.

1. C’est quoi, ce « projet Omnibus numérique » ?

Le « Digital Omnibus » est un projet de règlement horizontal qui vise à retoucher, en un seul texte, plusieurs grandes lois numériques européennes :

  • RGPD

  • Directive ePrivacy

  • Data Act

  • Certaines règles liées à la cybersécurité et aux données sectorielles

  • Et un texte séparé qui cible spécifiquement l’AI Act et son calendrier d'application.

L’argument de la Commission : Trop de textes, trop de chevauchements, trop de charge administrative – surtout pour les PME. Réponse : un « ménage » dans l’acquis numérique, via des « ajustements ciblés ».

Problème : le brouillon qui a fuité ne se contente pas de clarifier. Il touche à des notions structurantes du RGPD (définition de donnée personnelle, données sensibles, décisions automatisées, accès aux terminaux, etc.).

2. Ce que la fuite changerait pour la protection des données

2.1. Une définition plus « subjective » des données personnelles

Aujourd’hui, une donnée personnelle, c’est toute information se rapportant à une personne identifiée ou identifiable, en tenant compte des moyens raisonnablement accessibles à n’importe quel acteur susceptible de traiter ces données.

Le projet Omnibus introduirait une approche beaucoup plus subjective :

Une information ne serait plus une donnée personnelle pour une entité qui n’a pas, elle-même, les moyens raisonnables d’identifier la personne, même si un tiers peut le faire.

Cette interprétation a été récemment celle de l'arrêt de la CJUE EDPS vs SRB, qui a rompu avec l’approche longtemps présumée « absolue » de la notion de données personnelles.

Pour en savoir plus sur cet arrêt, consultez notre article par ici.

Conséquences possibles :

  • Des identifiants pseudonymes, cookies, IDs marketing ou logs, pourraient être qualifiés de « non personnels » pour certains acteurs.

  • Une partie de l’écosystème pourrait sortir du champ du RGPD… alors même que la CJUE a, depuis 20 ans, adopté une interprétation large de la notion de donnée personnelle.

Pour les DPO, cela crée un vrai risque de fragmentation : un même dataset pourrait être soumis au RGPD pour A, mais pas pour B.

2.2. Données sensibles : une protection limitée à ce qui est « directement révélé »

Autre glissement important : les « catégories particulières de données » (article 9 RGPD).

Le projet Omnibus :

  • Réduit la définition de « données de santé » à celles qui révèlent directement l’état de santé.

  • Applique la même logique aux autres catégories sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses, orientation sexuelle, etc.) : seules les données les révélant directement seraient protégées au titre de l’article 9.

Tout ce qui peut être déduit (profilage, inférences, corrélations) basculerait dans un régime beaucoup moins protecteur. C’est exactement l’inverse de la position constante de la CJUE et de la Convention 108 modernisée.

En plus, le texte ajoute de nouveaux motifs pour traiter des données sensibles, notamment pour :

  • Le développement de systèmes d’IA

  • Et, dans certains cas, leur « opération », sur la base de l’intérêt légitime, avec des « mesures appropriées ».

👉 Dit autrement : traiter de la donnée très sensible dans des modèles d’IA pourrait devenir beaucoup plus simple, dès lors qu’on invoque l’innovation et quelques « safeguards » génériques.

2.3. Droits des personnes : une érosion par petites touches

Les critiques parlent de « death by a thousand cuts » : ce ne sont pas forcément des révolutions isolées, mais un affaiblissement progressif de plusieurs garde-fous.

Parmi les points notables du brouillon :

  • alléger le registre des traitements pour les PME de moins de 750 salariés,

  • Les demandes de droit abusives peut être rejetées si considérées excessives ou réalisées pour d'autres finalités (ex préparer un meilleur dossier en contentieux)

  • Article 13 RGPD (information)

    • Dispense d’information possible lorsque le traitement est mis en œuvre dans le cadre d’une relation « claire et délimitée », si l’on peut raisonnablement supposer que la personne connaît déjà les finalités, la base légale et l’identité du responsable.

    • Limites : cela ne jouerait pas en cas de transferts vers d’autres destinataires, de transferts hors UE ou de traitements à risque élevé.

  • Décisions individuelles automatisées (article 22)

    • Le fond resterait proche, mais la rédaction passerait d’une logique « interdit sauf si… » à « autorisé sauf si… ». Un basculement symbolique mais important dans l’interprétation future.

  • Notifications de violation de données (article 33)

    • Seules les violations entraînant un risque élevé pour les personnes seraient notifiables à l’autorité.

    • Délai porté de 72h à 96h.

  • Listes de traitements nécessitant une AIPD

    • Elles seraient établies directement par le CEPD, non plus par chaque autorité nationale (CNIL, etc.), puis remontées au CEPD.

À chaque fois, la logique est la même : moins de notifications, moins de paperasse… mais aussi moins de visibilité pour les personnes et moins de contrôle local.

2.4. Terminal, cookies et ePrivacy : vers un « super-consentement » navigateur ?

Le projet Omnibus fusionne en partie la logique ePrivacy dans le RGPD, via de nouveaux articles (88a, 88b, 88c) sur :

  • L’accès aux données stockées sur les terminaux (ordinateur, smartphone, objets connectés).

  • La possibilité d’exprimer le consentement via des signaux automatisés (type « Do Not Track » / Privacy Signal).

Concrètement :

  • Certains accès au terminal seraient « toujours » possibles sans consentement (acheminer une communication, fournir un service demandé, mesurer l’audience, assurer la sécurité).

  • Pour les autres usages (pub, tracking, entraînement IA…), les bases de l’article 6 RGPD s’appliqueraient, y compris l’intérêt légitime dans certains cas, alors qu’aujourd’hui, la directive ePrivacy impose en pratique le consentement pour la plupart des cookies.

  • Les navigateurs devraient implémenter un signal de consentement/objection standardisé, lisible par les sites ; les responsables devraient le respecter au moins 6 mois.

  • Les médias pourraient bénéficier d’exceptions compte tenu de leur dépendance aux revenus publicitaires.

3. Et l’AI Act dans tout ça ?

Le Digital Omnibus ne réécrit pas l’AI Act, mais il le retouche sur deux axes majeurs :

  1. Alléger certaines obligations procédurales

    • Exemption possible d’inscription dans la base de données des systèmes d’IA à haut risque lorsque ceux-ci sont utilisés uniquement pour des tâches étroites ou procédurales.

  2. Assouplir le calendrier d’application

    • Introduction d’une période de grâce d’un an où les autorités ne pourraient pas infliger de sanctions avant août 2027.

    • Les obligations de marquage des contenus générés par l’IA (lutte contre les deepfakes, désinformation) bénéficieraient également de périodes transitoires.

Par ailleurs, le projet prévoit un deuxième texte spécifique AI Act dans le « package » digital, davantage orienté sur l’interprétation et la mise en œuvre plutôt que sur une réécriture profonde des règles de fond.

👉 En résumé : on ne « stoppe » pas l’AI Act, mais on en adoucie la pente et on réduit la friction pour certains cas d’usage, dans un contexte où l’on veut clairement donner de l’air aux acteurs de l’IA en Europe.

4. Un projet compatible avec la Charte et la jurisprudence de la CJUE ?

Vu depuis la pratique du droit des données personnelles, plusieurs points posent question :

4.1. Notion de donnée personnelle

  • La CJUE a toujours retenu une interprétation large (Breyer, Nowak, etc.), en considérant non seulement les moyens d’un acteur donné, mais aussi ceux d’un tiers raisonnable.

  • Le glissement vers une approche « purement subjective » semble difficilement conciliable avec l’article 8 de la Charte des droits fondamentaux et la Convention 108 modernisée.

4.2. Données sensibles et inférences

  • Limiter la protection aux seules données qui « révèlent directement » un état de santé, une orientation sexuelle, une opinion politique, etc., revient à laisser sans protection renforcée tout le champ des inférences – alors que ce sont justement elles qui alimentent le plus souvent les discriminations.

4.3. AI training & intérêt légitime

  • Faire de l’entraînement et de l’exploitation des systèmes d’IA une sorte de base autonome, privilégiée, fondée sur l’intérêt légitime, rompt avec le principe de neutralité technologique du RGPD : même traitement, quelle que soit la technologie.

Plusieurs ONG (noyb, EDRi, Amnesty, etc.), ainsi qu’une centaine d’organisations de la société civile, ont déjà appelé la Commission à revoir sa copie, parlant d’un « RGPD vidé de sa substance ».

5. Que doivent faire les DPO et juristes maintenant ?

Spoiler : rien ne change juridiquement aujourd’hui. Le RGPD et l’AI Act restent applicables dans leur version actuelle. Mais c’est le moment d’anticiper intelligemment.

5.1. Ne pas « relâcher » sa conformité sur la base d’une fuite

  • Tant que le Digital Omnibus n’est pas adopté, toute stratégie qui anticiperait un allègement (par exemple, s’autoriser plus de tracking ou d’usages d’IA sur données sensibles) est juridiquement risquée.

  • Au contraire, mieux vaut documenter vos contraintes actuelles : si le cadre s’assouplit vraiment, vous serez prêt à réévaluer vos risques et vos bases légales.

5.2. Cartographier vos usages d’IA dès maintenant

Profitez de ce moment pour :

  • Identifier clairement :

    • Les systèmes d’IA utilisés (internes / SaaS / API),

    • Les traitements impliqués (entrainement, fine-tuning, inférence),

    • Les types de données (dont données sensibles ou inférentielles).

  • Vérifier vos bases légales actuelles (consentement, exécution du contrat, intérêt légitime) et vos AIPD.

  • Anticiper les obligations AI Act (classification du risque, obligations de gouvernance des données, documentation, logs).

5.3. Suivre de près les discussions sur :

  • La redéfinition des données personnelles (impact énorme sur la qualification de vos datasets, logs, IDs).

  • Le nouveau régime des terminaux & cookies (signal de consentement machine-readable, éventuels modèles « do not track »).

  • Les marges de manœuvre offertes pour l’entraînement des modèles d’IA à partir de données personnelles.

L’idée n’est pas de refaire toute votre conformité à chaque rumeur, mais d’intégrer Omnibus dans votre veille structurée.

6. Comment une plateforme comme Dastra peut aider à rester « Omnibus-proof »

Si ce projet va au bout (même partiellement), la complexité ne va pas disparaître – elle va juste changer de forme. Concrètement, une plateforme de gouvernance comme Dastra peut vous aider à :

  • Centraliser vos traitements « IA » dans le registre, avec des tags spécifiques (entraînement, inférence, haut risque / non haut risque).

  • Lier vos traitements aux bases légales et aux données utilisées (y compris données pseudonymisées, inférées, sensibles), pour pouvoir réévaluer rapidement l’impact d’un changement de définition.

  • Suivre les AIPD et, demain, les exigences AI Act (documentation, mesures de mitigation, preuves).

  • Tracer vos décisions de conformité (par exemple : pourquoi vous considérez tel dataset comme personnel ou non, telle base légale comme applicable).

  • Automatiser la gestion des droits même dans un contexte où les traitements deviennent plus complexes (notamment si l’usage IA se généralise).

À retenir

  • Le projet Omnibus n’est pas encore du droit positif, mais il marque clairement une volonté politique : alléger le RGPD et ajuster l’AI Act pour soutenir l’IA.

  • Les changements proposés touchent à des piliers (définition de donnée personnelle, données sensibles, ePrivacy, décisions automatisées).

  • Ils suscitent de fortes critiques et devront franchir plusieurs étapes législatives, il est probable que le texte évolue.

  • Pour les DPO, le bon réflexe n’est pas de lever le pied, mais de documenter, cartographier les usages d’IA et se préparer à adapter la conformité sans sacrifier les droits des personnes.

A propos de l'auteur
Dastronaut
Leïla Sayssa
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.