Digital Omnibus : quand la « simplification » européenne menace le RGPD, l'ePrivacy et l'AI Act

17/4/26
👈 les autres actualités

Ce qui s'est passé

Le 15 avril 2026, l'ONG European Digital Rights (EDRi) a publié une analyse détaillée des propositions du Digital Omnibus, un paquet législatif de la Commission européenne présenté sous l'angle de la simplification réglementaire. Dans un article cosigné par les chercheuses Itxaso Domínguez de Olazábal et Chiara Casati, EDRi dresse un constat alarmant : ces propositions introduisent une logique de « move fast and break things » dans la régulation numérique européenne.

Concrètement, plusieurs modifications sont envisagées. La définition des « données personnelles » serait restreinte : une entreprise pourrait soutenir que des données pseudonymisées — un identifiant aléatoire couplé à des comportements de navigation — ne constituent pas des données personnelles, même si d'autres acteurs de l'écosystème publicitaire peuvent les relier à un individu. Le suivi en ligne via cookies et identifiants d'appareils pourrait ainsi sortir du champ d'application du RGPD.

Ensuite, les protections autour des décisions automatisées seraient assouplies. Aujourd'hui, l'article 22 du RGPD encadre strictement les décisions prises uniquement par des algorithmes — octroi d'un crédit, sélection d'un candidat. Les nouvelles règles faciliteraient la justification de ces systèmes comme « nécessaires », repoussant l'intervention humaine à une formalité.

Le traitement des données sensibles serait également touché : les entreprises pourraient invoquer la complexité technique pour justifier le maintien de données de santé ou d'opinions politiques dans leurs systèmes d'IA, sans être tenues de les supprimer.

Enfin, pour les systèmes d'IA à haut risque — recrutement, scoring crédit, services publics —, le Digital Omnibus différerait certaines obligations de conformité. Des outils pourraient être déployés et utilisés massivement avant que les garde-fous prévus par l'AI Act n'entrent pleinement en vigueur.

Pourquoi c'est important pour votre conformité

Le RGPD repose sur un principe clair : les protections doivent être intégrées dès la conception, pas ajoutées après coup. Affaiblir la définition des données personnelles fragilise directement ce principe. Pour les DPO, cela signifie une période d'incertitude juridique : quels traitements restent-ils couverts ? Quels consentements seront encore valides ?

Le glissement vers l'auto-évaluation pose un problème structurel. Les grandes plateformes disposent des ressources juridiques pour naviguer dans ce flou. Les organisations plus petites — PME, associations, acteurs publics — se retrouveraient à devoir interpréter seules une réglementation moins claire, avec un risque accru d'erreur.

Sur le profilage et la conformité au RGPD, la vigilance reste de mise : même si les règles évoluent, les sanctions pour traitement illicite demeurent. Ignorer ces changements en cours de délibération serait une erreur stratégique.

Ce que ça change pour les organisations — actions concrètes

Cartographiez vos traitements sensibles. Si votre organisation utilise des données de santé, des données biométriques ou des données relatives aux opinions dans des systèmes d'IA, documentez précisément comment elles y ont été intégrées et les mécanismes de suppression disponibles.

Anticipez la question des décisions automatisées. Les propositions en cours de débat ne sont pas encore adoptées. Mais elles indiquent une direction : si vous déployez ou envisagez de déployer des outils d'IA à haut risque (scoring RH, analyse comportementale, segmentation client), préparez vos dossiers de conformité maintenant. Notre webinaire sur l'impact de l'AI Act sur les métiers RH apporte des repères concrets sur ce terrain.

Suivez le calendrier législatif. Le Digital Omnibus est en cours de discussion. Les consultations publiques et les débats au Parlement européen constituent des moments clés pour faire entendre les préoccupations des praticiens.

Ce que Leto pense de cette décision

La simplification réglementaire peut être légitime quand elle réduit la bureaucratie sans éroder les droits. Ici, l'inquiétude est fondée. Réviser des règlements majeurs avant qu'ils aient produit leurs effets — et le faire rapidement, sans consultation démocratique approfondie — n'est pas de la simplification. C'est une prise de risque avec les droits des personnes. Pour les organisations qui ont investi dans leur conformité RGPD, affaiblir le cadre ne simplifie rien : cela crée de l'incertitude et récompense ceux qui n'avaient pas joué le jeu.

Sources : EDRi — Europe shouldn't « move fast and break things » with fundamental rights (15 avril 2026) · Tech Policy Press

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026