Le Legal Spot
La Commission européenne a publié sa proposition digital omnibus le 19 novembre 2025, destinée à simplifier plusieurs textes phares relatifs aux activités numériques, dont le RGPD, le règlement sur l’intelligence artificielle ou la directive NIS 2 en matière de cybersécurité.
L’objectif affiché est de « soulager » les entreprises et de « stimuler la compétitivité », tout en prenant en compte des évolutions technologiques, en particulier l’intelligence artificielle.
En l’état, cette proposition doit encore être soumise au Parlement européen et au Conseil : elle peut donc encore évoluer, et n’est pas définitive.
Voici en synthèse les principales modifications du RGPD envisagées par cette proposition.
La Commission européenne propose tout d’abord de clarifier la définition de la notion de données personnelles. Une donnée ne serait ainsi pas considérée comme ayant un caractère personnel lorsque l’entreprise qui en est destinataire n’est pas en mesure de réidentifier la personne concernée, quand bien même une autre entreprise serait en mesure de réidentifier cette personne à partir de cette donnée.
Concrètement, lorsque des données personnelles (données client par exemple) sont transmises à des tiers n’ayant pas la possibilité de réidentifier la personne concernée (à un prestataire qui ne pourra pas identifier le client par exemple), celles-ci ne seraient pas considérées comme des données personnelles du point de vue de ce tiers.
Cette première évolution n’est toutefois pas entièrement nouvelle : la Cour de justice de l'Union européenne a en effet déjà pu se prononcer sur une question similaire.
Elle a ainsi estimé que des données pseudonymisées ne doivent pas nécessairement être considérées comme étant des données personnelles pour toute entité qui en est rendue destinataire, notamment lorsque celle-ci n’a pas la possibilité de réidentifier la personne concernée.
En principe, le traitement de données sensibles (données de santé, biométriques, relatives aux opinions politiques ou convictions religieuses, à l’orientation sexuelle, etc.) est interdit par le RGPD, qui prévoit cependant des exceptions limitativement énumérées.
Par exemple, il est possible de traiter des données sensibles lorsque la personne concernée a consenti au traitement de ses données ou lorsque le traitement est rendu nécessaire par une obligation légale.
La proposition Digital omnibus introduirait deux nouvelles exceptions :
La proposition de la Commission européenne entend poser des conditions plus restrictives pour l’exercice du droit d’accès. En effet, le responsable de traitement pourrait refuser de répondre ou exiger le paiement de frais raisonnables lorsque la personne concernée chercherait à détourner son droit d’accès à des fins autres que la protection de ses données personnelles.
En l’état, cette restriction aurait pour effet d’empêcher ou de limiter l’exercice du droit d’accès à des fins journalistiques, de recherche, ou afin de défendre ses droits en justice. Par exemple, ces limitations pourraient s’appliquer au cas d’un salarié qui exerce son droit d’accès afin de disposer d’informations dans le cadre d’un contentieux l’opposant à son employeur.
En pratique, l’on voit mal comment distinguer les demandes de droit d’accès ayant pour seul objectif la protection des données personnelles des demandes ayant d’autres finalités, d’autant que celles-ci sont très courantes (cas du salarié par exemple).
Il faudra donc rester attentif aux éventuelles évolutions sur ce point.
Il est déjà prévu que le responsable de traitement n’est pas tenu d’informer la personne concernée lorsque celle-ci dispose déjà des informations devant obligatoirement lui être fournies sur le traitement de ses données (par exemple, par le biais de votre politique de confidentialité).
La proposition viendrait ajouter à cette exception, en prévoyant que le responsable de traitement n’est pas tenu d’informer la personne concernée lorsque les données ont été collectées dans le cadre strict de leur relation, et lorsque les données personnelles ne sont pas au cœur de son activité.
Cette nouvelle exception ne devrait toutefois pas devoir s’appliquer lorsque les données sont transmises à des tiers (sous-traitants ou autres destinataires), font l’objet d’un transfert de données hors UE, ou permettent une prise de décision automatisée.
Concrètement, les cas dans lesquels cette exception pourrait être appliquée semblent assez restreints. En effet, les données collectées par les entreprises sont très souvent transmises à des sous-traitants (par exemple un éditeur de solution SaaS), de sorte qu’elles ne pourraient pas se prévaloir de cette exception.
La proposition vise à aligner les cas dans lesquels les violations de données doivent être notifiées aux personnes concernées et à la CNIL.
La notification à l’autorité compétente serait ainsi obligatoire lorsque la violation de données est susceptible d’engendrer un risque élevé pour les personnes concernées, et non plus simplement un simple risque pour celles-ci.
Par ailleurs, la notification ne serait plus réalisée directement auprès de la CNIL, mais auprès du guichet unique mis en place dans le cadre de la directive NIS 2 en matière de cybersécurité.
Le RGPD prévoit déjà, dans sa version actuelle, que les personnes concernées doivent être informées lorsqu’une violation de données est susceptible d’engendrer un risque élevé pour elles. Il faudrait ainsi notifier la CNIL dans les mêmes conditions quant à la gravité du risque.
Le délai dans lequel votre entreprise devrait notifier la violation au guichet unique passerait également de 72 heures à 96 heures.
Une liste des types de traitements de données pouvant donner lieu à la réalisation d’une analyse d’impact sur la protection des données (privacy impact assessment, PIA ou AIPD) pourrait être adoptée au niveau européen, ainsi qu’une liste de traitements ne nécessitant pas une telle analyse.
La CNIL et les autorités nationales de protection des données dans l’UE étaient jusqu’alors chargées d’établir ces listes. Cette responsabilité serait ainsi transmise au Comité européen de la protection des données pour harmoniser ces listes au sein de l’Union.
La Commission propose de revenir sur les règles applicables en matière de cookies, notamment lorsque ceux-ci impliquent le traitement de données personnelles.
En clair, le recueil du consentement ne serait pas nécessaire lorsque les cookies sont nécessaires à la transmission d’une communication électronique, à la fourniture d’un service explicitement demandé par la personne concernée, à la réalisation de mesures d’audience ou pour assurer la sécurité d’un service demandé par la personne concernée.
Dans les autres cas, lorsque le consentement est obligatoire, la personne concernée devrait pouvoir refuser de le donner aisément, à partir d’un simple clic, et, en cas de refus, le responsable de traitement ne pourrait demander le consentement que six mois après le refus.
Des nouvelles règles relatives aux interfaces de collecte du consentement seraient également prévues.
En définitive, restons mesuré et prudent sur la portée de la proposition de la Commission européenne : les modifications du RGPD envisagées pourront encore évoluer, être précisées voire abandonnées.
Il faudra néanmoins suivre avec attention les prochaines étapes de la discussion et de l’adoption d’une réforme du RGPD.
Legal Spot Avocats vous accompagne dans la mise en conformité RGPD de votre entreprise. Contactez-nous.
