Le 19 novembre 2025, la Commission européenne a présenté un nouveau paquet législatif numérique, dénommé « Digital Omnibus »[1], destiné à simplifier les dispositions des textes européens en matière d’intelligence artificielle, de cybersécurité et de protection des données à caractère personnel[2] et favoriser / faciliter l’innovation et l’expansion des entreprises européennes. En voici quelques-unes :
- En matière d’intelligence artificielle : Le report de seize mois maximum de l’entrée en vigueur des règles relatives aux systèmes d’IA à haut risque, c’est-à-dire lorsque les normes et les outils de soutien nécessaires seront disponibles et accessibles aux entreprises en ayant besoin ;
- En matière de cookies : La simplification du consentement des personnes aux cookies en un clic et la sauvegarde de leurs préférences par un paramétrage centralisé des préférences dans les navigateurs ;
- En matière de cybersécurité : La création d’un guichet unique par l’intermédiaire duquel les entreprises pourront satisfaire à toutes leurs obligations de signalement des incidents de cybersécurité, évitant aux entreprises de procéder à de multiples signalements en vertu de l’existence de nombreux actes législatifs ;
- En matière de protection des données à caractère personnel : Des modifications ciblées seront introduites dans le RGPD afin d’harmoniser, clarifier et simplifier certaines règles et définitions prévues dans le RGPD et notamment celle des « données à caractère personnel » qui préciserait que « les informations ne sont pas considérées comme des données à caractère personnel pour une entité donnée lorsqu’elle ne dispose pas de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle ces informations se rapportent ». A l’instar de la décision de la CJUE du 4 septembre 2025[3], les données pseudonymisées ne sont pas automatiquement qualifiées de données à caractère personnel « en toutes hypothèses » et « pour toute personne »[4].
Ce train de mesures « Omnibus » doit toutefois être soumis au Parlement européen et au Conseil avant son adoption. Un article de fond vous sera prochainement proposé par le sujet par les équipes de Clairmont Novus !
[1] Simplification des règles de l’UE dans le domaine du numérique et nouveaux portefeuilles numériques: faire économiser des milliards d’euros aux entreprises et stimuler l’innovation
[2] Le RGPD, le AI Act, la directive ePrivacy et la règlementation sur la cybersécurité
[3] CJUE, 04-09-2025, aff. C-413/23 P, Contrôleur européen de la protection des données (CEPD) c/ Conseil de résolution unique (CRU).
[4] Il est ajouté dans la proposition DIGITAL OMNIBUS que « Compte tenu de la jurisprudence de la Cour de justice de l’Union européenne concernant la définition des données à caractère personnel, il est nécessaire de préciser davantage à partir de quand une personne physique doit être considérée comme identifiable ».
