Le 10 février 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen (EDPS) ont adopté leur avis conjoint 2/2026 sur la proposition Digital Omnibus de la Commission européenne. Ce texte, présenté le 19 novembre 2025 en procédure accélérée, modifie en profondeur le RGPD, la directive ePrivacy, le Data Act et plusieurs autres réglementations numériques.
Pour les organisations et les DPO, la question est désormais concrète : que faut-il anticiper, changement par changement, et comment s’y préparer dès aujourd’hui ?
Chez DPO FRANCE, nous avons analysé chaque modification proposée et identifié la réponse opérationnelle que notre réseau de DPO et notre plateforme DPO SUITE apportent à chacune d’entre elles.
Définition de « donnée à caractère personnel » (article 4 RGPD)
Ce que propose le Digital Omnibus
La Commission souhaite ajouter un paragraphe à l’article 4(1) du RGPD pour introduire une approche dite « subjective » de la notion de donnée personnelle. Concrètement, une information ne serait plus considérée comme une donnée personnelle pour une entité qui ne dispose pas elle-même des « moyens raisonnablement susceptibles d’être utilisés » pour identifier la personne concernée. La Commission présente cette modification comme une codification de l’arrêt de la CJUE du 4 septembre 2025 (affaire C-413/23 P, SRB c. EDPS).
Ce qu’en dit l’avis conjoint CEPD / EDPS
Rejet clair. Les deux autorités demandent expressément aux colégislateurs de ne pas adopter cette modification. Selon elles, la Commission a isolé un seul élément d’une seule décision de justice en omettant le contexte de l’espèce. Anu Talus, présidente du CEPD, et Wojciech Wiewiórowski, EDPS, ont tous deux souligné publiquement que cette modification restreindrait significativement le périmètre de la protection. Max Schrems (noyb) a salué cette prise de position, estimant que les autorités indépendantes appellent les modifications par leur nom véritable : non pas des simplifications techniques, mais des restrictions du droit à la protection des données.
Comment DPO FRANCE traite ce changement avec DPO SUITE
Le risque pour les organisations serait de bâtir dès maintenant une stratégie de conformité sur l’idée que certaines données pseudonymisées échapperaient au RGPD. Face à cette incertitude, notre approche est double.
Le registre des traitements de DPO SUITE maintient une qualification rigoureuse de chaque donnée traitée, en documentant systématiquement les moyens d’identification disponibles pour l’organisation et pour ses partenaires. Si la définition évolue, le registre permettra de réévaluer rapidement chaque fiche de traitement au regard des nouveaux critères.
Les DPO du réseau DPO FRANCE accompagnent les organisations dans une analyse au cas par cas de la qualification de leurs données. Nous recommandons de ne modifier aucune qualification existante tant que le texte n’est pas adopté, et de documenter les raisonnements retenus pour chaque catégorie de données, y compris les données pseudonymisées, afin d’être en mesure de justifier la position adoptée quelle que soit l’issue législative.
Pseudonymisation et actes d’exécution (nouvel article 41a RGPD)
Ce que propose le Digital Omnibus
La Commission propose de pouvoir adopter des actes d’exécution pour déterminer dans quelles conditions des données pseudonymisées cesseraient d’être qualifiées de données personnelles. Ce mécanisme inédit permettrait en pratique de « déclasser » des données hors du champ du RGPD sans passer par la procédure législative ordinaire.
Ce qu’en dit l’avis conjoint CEPD / EDPS
Rejet ferme. Les autorités estiment que confier à la Commission ce pouvoir revient à modifier le périmètre d’un droit fondamental par voie réglementaire. Cette opposition est d’autant plus marquée que le CEPD travaille actuellement à la finalisation de lignes directrices actualisées sur la pseudonymisation (projet publié en janvier 2025).
Comment DPO FRANCE traite ce changement avec DPO SUITE
DPO SUITE intègre un suivi dédié des mesures de pseudonymisation au sein de chaque fiche de traitement. Pour chaque jeu de données pseudonymisé, la plateforme permet de documenter les techniques employées, l’emplacement de la clé de correspondance, les mesures d’accès restreint et les engagements contractuels avec les tiers destinataires.
Cette traçabilité granulaire permet aux organisations de démontrer à tout moment que leurs données pseudonymisées sont traitées dans le respect du RGPD, sans anticiper un « déclassement » qui n’est ni acquis ni recommandé par les autorités de contrôle. Si le cadre réglementaire évolue, chaque organisation disposera de la documentation nécessaire pour ajuster sa position en toute sécurité juridique.
Intérêt légitime et intelligence artificielle (nouvel article 6 RGPD)
Ce que propose le Digital Omnibus
La Commission propose d’inscrire explicitement dans le RGPD que l’intérêt légitime peut servir de base juridique pour le développement et l’exploitation de systèmes ou modèles d’IA.
Ce qu’en dit l’avis conjoint CEPD / EDPS
Position nuancée. Les autorités rappellent, conformément à l’avis 28/2024 du CEPD sur les modèles d’IA, que l’intérêt légitime est déjà utilisable dans certains cas en contexte IA. Elles ne considèrent pas nécessaire d’ajouter une disposition spécifique. Si elle est maintenue, les autorités demandent un renvoi explicite au test en trois étapes (intérêt légitime, nécessité, mise en balance) et l’exclusion des termes vagues.
Comment DPO FRANCE traite ce changement avec DPO SUITE
DPO SUITE propose depuis 2025 un module de cartographie IA qui permet de recenser tous les systèmes d’IA utilisés par l’organisation, les données personnelles qu’ils exploitent, et les bases juridiques retenues pour chaque traitement.
Lorsque l’intérêt légitime est invoqué, la plateforme guide l’utilisateur à travers le test en trois étapes : identification de l’intérêt poursuivi, démonstration de la nécessité du traitement pour atteindre cet objectif, et mise en balance avec les droits et libertés des personnes concernées. L’assistant contextuel accompagne la rédaction de chaque étape en proposant des formulations adaptées au secteur d’activité.
Par ailleurs, le module FRIA (Fundamental Rights Impact Assessment) permet de réaliser les analyses d’impact requises par l’AI Act, en cohérence avec les AIPD du RGPD. Les DPO du réseau DPO FRANCE accompagnent les organisations dans l’articulation entre ces deux cadres réglementaires.
Traitement résiduel de données sensibles pour l’IA (article 9 RGPD)
Ce que propose le Digital Omnibus
Une nouvelle dérogation à l’interdiction de traiter des catégories particulières de données (données de santé, données biométriques, opinions politiques, etc.) couvrirait le traitement accidentel et résiduel de ces données dans le cadre du développement et de l’exploitation de systèmes d’IA, sous réserve de garanties techniques et organisationnelles.
Ce qu’en dit l’avis conjoint CEPD / EDPS
Accord sur le principe, avec des réserves importantes. Les autorités saluent l’objectif, mais demandent une clarification du périmètre de la dérogation et exigent des garanties effectives tout au long du cycle de vie du système (et pas uniquement lors du développement).
Comment DPO FRANCE traite ce changement avec DPO SUITE
Le module AIPD assistée par IA de DPO SUITE intègre déjà une analyse spécifique des traitements de données sensibles dans un contexte d’IA. Pour chaque système cartographié, la plateforme identifie les données sensibles potentiellement ingérées (y compris de manière résiduelle), évalue les risques associés selon les trois événements redoutés définis par la CNIL (accès illégitime, modification non désirée, disparition), et propose des mesures correctives adaptées.
L’outil permet de documenter les mesures organisationnelles et techniques mises en place pour éviter la collecte de données sensibles et supprimer celles qui auraient été intégrées par inadvertance, conformément aux exigences qui se dessinent dans le texte. Le rapport AIPD généré automatiquement suit la structure des modèles officiels de la CNIL et peut être exporté en PDF et Word.
Violations de données : seuil et délai de notification (articles 33 et 34 RGPD)
Ce que propose le Digital Omnibus
Deux modifications : le relèvement du seuil de risque déclenchant l’obligation de notification à l’autorité de contrôle et l’allongement du délai de notification (au-delà des 72 heures actuelles).
Ce qu’en dit l’avis conjoint CEPD / EDPS
Soutien. Les autorités jugent ces mesures favorables, estimant qu’elles réduiront significativement la charge administrative des organisations sans affecter le niveau de protection des personnes. La proposition de modèles communs pour les notifications est également saluée.
Comment DPO FRANCE traite ce changement avec DPO SUITE
Le module violations de données de DPO SUITE gère l’ensemble du cycle de vie d’un incident : détection, qualification du risque, notification à l’autorité de contrôle, information des personnes concernées le cas échéant, et suivi des mesures correctives. Le système d’alertes automatiques veille au respect des délais légaux.
Dès que les nouveaux seuils et délais seront officiellement adoptés, les paramètres de la plateforme seront mis à jour pour refléter les nouvelles exigences. En attendant, DPO SUITE applique les critères actuels (notification dans les 72 heures en cas de risque pour les droits et libertés) tout en documentant chaque incident de manière suffisamment détaillée pour répondre aux exigences actuelles comme futures.
Le module de veille Ransomfeed, intégré nativement à DPO SUITE, permet de surveiller les cyberattaques et violations publiquement connues. Cette veille active aide les organisations à détecter rapidement les incidents susceptibles de les concerner, y compris via leurs sous-traitants.
Analyses d’impact (AIPD) : modèles et listes communs
Ce que propose le Digital Omnibus
La création de modèles et de listes de traitements communs au niveau européen pour les AIPD, dans une logique d’harmonisation. Le CEPD jouerait un rôle central dans leur élaboration.
Ce qu’en dit l’avis conjoint CEPD / EDPS
Soutien. Les autorités jugent cette standardisation positive et le rôle prévu pour le CEPD dans la préparation des modèles approprié.
Comment DPO FRANCE traite ce changement avec DPO SUITE
L’AIPD assistée par IA de DPO SUITE suit déjà la méthodologie officielle de la CNIL, qui constitue la référence française. Pour chaque traitement identifié comme potentiellement à risque, l’outil analyse les réponses de l’utilisateur en temps réel, propose des scénarios de menaces pertinents, évalue la gravité et la vraisemblance des risques, et suggère des mesures de réduction du risque adaptées au contexte.
Lorsque les modèles communs européens seront publiés, DPO SUITE les intégrera dans ses questionnaires et ses trames de rapport. L’architecture modulaire de la plateforme est conçue pour absorber ces évolutions sans rupture pour les utilisateurs. Les organisations qui auront réalisé leurs AIPD avec DPO SUITE disposeront d’un socle documentaire directement transposable vers les futurs formats harmonisés.
Biométrie : dérogation pour l’authentification personnelle (article 9 RGPD)
Ce que propose le Digital Omnibus
L’introduction d’une dérogation permettant le traitement de données biométriques à des fins d’authentification, lorsque les moyens de vérification restent sous le contrôle exclusif de la personne concernée (par exemple, le déverrouillage d’un smartphone par empreinte digitale ou reconnaissance faciale).
Ce qu’en dit l’avis conjoint CEPD / EDPS
Soutien. Les autorités saluent cette nouvelle dérogation comme une réponse pragmatique à l’usage généralisé de la biométrie sur les appareils personnels.
Comment DPO FRANCE traite ce changement avec DPO SUITE
Le registre des traitements de DPO SUITE permet déjà de qualifier les traitements biométriques et de documenter la base juridique retenue. La plateforme intègre un système de classification des risques qui identifie automatiquement les traitements impliquant des données sensibles, y compris biométriques.
Si la dérogation est adoptée, les DPO du réseau DPO FRANCE accompagneront les organisations dans l’analyse au cas par cas : le critère du « contrôle exclusif de la personne » devra être vérifié avec rigueur pour chaque dispositif. DPO SUITE permettra de documenter cette vérification de manière structurée et auditable.
Recherche scientifique : harmonisation de la définition
Ce que propose le Digital Omnibus
L’introduction d’une définition harmonisée de la « recherche scientifique » à l’article 4 du RGPD, couvrant toute activité contribuant aux connaissances ou soutenant l’innovation, y compris dans un cadre commercial.
Ce qu’en dit l’avis conjoint CEPD / EDPS
Soutien, avec des recommandations. Les autorités soutiennent la clarification, mais demandent que la définition reste suffisamment précise pour éviter les abus. Elles recommandent de cantonner les références à l’innovation et aux intérêts commerciaux dans les considérants plutôt que dans le texte normatif, et de clarifier que la recherche scientifique doit suivre une méthode systématique, être menée de manière indépendante et produire des résultats transparents et vérifiables.
Comment DPO FRANCE traite ce changement avec DPO SUITE
Les organisations qui invoquent l’exemption « recherche scientifique » pour certains traitements pourront s’appuyer sur le registre des traitements de DPO SUITE pour documenter la nature scientifique de leur démarche : méthodologie, indépendance du processus, publication ou partage des résultats. Les suggestions contextuelles de l’IA intégrée aident à structurer la justification en cohérence avec les critères qui se dessinent.
Pour les établissements de santé et les SPST (services de prévention et de santé au travail) que DPO FRANCE accompagne, cette évolution est particulièrement pertinente. L’exploitation de données de santé à des fins de recherche épidémiologique ou d’amélioration des pratiques de prévention devra être qualifiée avec précision. Les DPO du réseau, experts de ces secteurs, maîtrisent les subtilités de cette qualification.
Droit d’accès et « abus » (article 15 RGPD)
Ce que propose le Digital Omnibus
La possibilité pour le responsable de traitement de refuser une demande de droit d’accès ou de facturer des frais raisonnables lorsque la personne exerce ce droit à des fins étrangères à la protection des données personnelles (par exemple dans le cadre d’un contentieux prud’homal).
Ce qu’en dit l’avis conjoint CEPD / EDPS
Accord partiel. Les autorités partagent le constat que certaines demandes peuvent être abusives, mais refusent que l’exercice du droit d’accès à d’autres fins que la protection des données soit en soi un critère d’abus. Le droit d’accès, rappellent-elles, protège l’ensemble des droits fondamentaux et non uniquement le droit à la protection des données.
Comment DPO FRANCE traite ce changement avec DPO SUITE
Le module de gestion des droits des personnes de DPO SUITE centralise toutes les demandes (accès, rectification, effacement, portabilité, opposition) et automatise le suivi des délais de réponse. Pour chaque demande, la plateforme permet de documenter l’analyse du responsable de traitement, y compris les motifs justifiant un éventuel refus ou une demande de frais.
En cas de demande jugée abusive, l’outil guide l’utilisateur dans la formalisation du refus en s’appuyant sur les critères existants (caractère manifestement infondé ou excessif) et, le cas échéant, sur les futurs critères issus du Digital Omnibus. Un historique complet des échanges est conservé, permettant de justifier la position adoptée en cas de réclamation auprès de la CNIL.
Transparence et obligations d’information (article 13 RGPD)
Ce que propose le Digital Omnibus
Un assouplissement de l’obligation d’information dans certaines situations limitées : lorsqu’on peut raisonnablement supposer que la personne dispose déjà de l’information, notamment dans le cadre d’une relation claire et circonscrite avec une activité « non intensive en données ». La suppression ne s’appliquerait pas en cas de transfert vers un pays tiers, de décision automatisée ou de risque élevé.
Ce qu’en dit l’avis conjoint CEPD / EDPS
Soutien sous réserve de clarifications. Les autorités sont favorables à la simplification des obligations d’information, en particulier pour les PME, mais demandent des garanties pour que les personnes puissent toujours obtenir une information pertinente lorsque cela s’avère nécessaire.
Comment DPO FRANCE traite ce changement avec DPO SUITE
DPO SUITE intègre un générateur de mentions d’information et de politiques de confidentialité qui s’adapte au contexte de chaque traitement. Pour les organisations éligibles à l’assouplissement (activités non intensives en données, relation claire avec la personne concernée), l’outil permettra de documenter les raisons pour lesquelles l’information simplifiée est jugée suffisante, tout en maintenant la possibilité pour la personne d’accéder à une information complète sur demande.
La documentation centralisée de DPO SUITE conserve l’ensemble des versions des mentions d’information, assurant une traçabilité complète en cas de contrôle de la CNIL.
Décisions automatisées (article 22 RGPD)
Ce que propose le Digital Omnibus
Des modifications aux dispositions sur les décisions individuelles automatisées, dont les contours précis restent à clarifier.
Ce qu’en dit l’avis conjoint CEPD / EDPS
Demande de clarification. Les autorités estiment que les modifications proposées doivent être rendues « significatives et juridiquement solides » avant d’être adoptées.
Comment DPO FRANCE traite ce changement avec DPO SUITE
Le module de cartographie IA de DPO SUITE identifie les traitements susceptibles de constituer des décisions automatisées au sens de l’article 22 : profilage, scoring, tri automatisé de candidatures, évaluation de solvabilité, etc. Pour chaque système identifié, la plateforme documente le niveau d’intervention humaine, les mécanismes de contestation prévus et les garanties mises en place.
Les DPO du réseau DPO FRANCE suivent de près l’évolution des négociations sur ce point. Dès que le texte final sera connu, les recommandations et les trames de documentation seront mises à jour dans DPO SUITE.
Cookies et ePrivacy : vers la fin des bannières (directive 2002/58/CE)
Ce que propose le Digital Omnibus
L’intégration des règles sur les cookies et traceurs au sein du RGPD (nouveaux articles 88 bis et ter). Le texte prévoit la mise en place de signaux automatisés et lisibles par machine pour exprimer les choix des utilisateurs, réduisant la nécessité de bannières omniprésentes. Certaines dérogations limitées à l’interdiction d’accès au terminal sont également envisagées.
Ce qu’en dit l’avis conjoint CEPD / EDPS
Soutien fort. Les autorités appuient l’objectif de réduire la fatigue au consentement et la prolifération des bannières. Elles accueillent favorablement les dérogations limitées et se félicitent que le contrôle soit confié aux autorités de protection des données.
Comment DPO FRANCE traite ce changement avec DPO SUITE
DPO SUITE intègre le suivi des sous-traitants et des outils tiers qui permet de cartographier l’ensemble des cookies et traceurs déposés par une organisation et par ses partenaires (analytics, publicité, réseaux sociaux). Cette cartographie est essentielle pour anticiper la transition vers les nouveaux mécanismes de gestion du consentement. De plus la fonction audit de site, intranet, portail… est incluse dans le module.
Lorsque les signaux automatisés seront techniquement disponibles, les organisations devront adapter leurs plateformes de gestion du consentement (CMP), réviser leur documentation de conformité et ajuster les preuves de consentement conservées. DPO SUITE permettra de tracer ces adaptations et de conserver l’historique des configurations successives.
Les DPO du réseau DPO FRANCE accompagneront les organisations dans l’audit de leurs pratiques actuelles en matière de cookies et dans la transition vers le nouveau cadre.
« Acquis data » : simplification du partage de données
Ce que propose le Digital Omnibus
L’intégration dans le Data Act de dispositions actuellement dispersées dans le Data Governance Act, la directive Open Data et le règlement sur la libre circulation des données non personnelles.
Ce qu’en dit l’avis conjoint CEPD / EDPS
Soutien, avec des garde-fous. Les autorités recommandent de maintenir la clarté sur l’absence d’obligation automatique d’autoriser la réutilisation de données par les organismes publics, de privilégier le partage sous forme pseudonymisée en cas d’urgence publique, et de préserver des garanties de transparence pour les services d’intermédiation.
Comment DPO FRANCE traite ce changement avec DPO SUITE
Le module de suivi des sous-traitants et le registre des traitements de DPO SUITE permettent de documenter l’ensemble des flux de données entrants et sortants, y compris les données partagées dans le cadre de réutilisations ou de partenariats. Pour chaque flux, la plateforme enregistre la base juridique du partage, les finalités autorisées, les mesures de sécurité appliquées et les engagements contractuels.
Les organismes publics accompagnés par DPO FRANCE (collectivités territoriales, établissements publics, SPST) sont particulièrement concernés par ces évolutions. La documentation structurée disponible dans DPO SUITE leur permettra de justifier leurs choix en matière de réutilisation de données et de répondre aux sollicitations dans le respect du cadre en vigueur.
En résumé : la grille de lecture DPO FRANCE
| Changement proposé | Position CEPD/EDPS | Réponse DPO FRANCE / DPO SUITE |
|---|---|---|
| Définition donnée personnelle | Rejet | Registre qualifié, documentation des raisonnements, pas de changement prématuré |
| Pseudonymisation par acte d’exécution | Rejet | Traçabilité des mesures de pseudonymisation, documentation granulaire |
| Intérêt légitime pour l’IA | Pas nécessaire, mais pas opposé | Module cartographie IA, test en trois étapes guidé, module FRIA |
| Données sensibles résiduelles (IA) | Accord avec réserves | AIPD assistée par IA, analyse spécifique des données sensibles en contexte IA |
| Seuil et délai violations | Soutien | Module violations complet, alertes automatiques, veille Ransomfeed |
| Modèles communs AIPD | Soutien | AIPD méthodologie CNIL, architecture prête pour les modèles européens |
| Biométrie (authentification) | Soutien | Registre qualifié, classification des risques, accompagnement DPO |
| Recherche scientifique | Soutien avec réserves | Documentation de la qualification scientifique, expertise sectorielle santé/SPST |
| Droit d’accès / abus | Accord partiel | Gestion centralisée des droits, documentation des refus, historique complet |
| Transparence / information | Soutien sous réserve | Générateur de mentions, documentation versionnée |
| Décisions automatisées | Demande de clarification | Cartographie IA, documentation de l’intervention humaine |
| Cookies / ePrivacy | Soutien fort | Cartographie cookies/traceurs, suivi de la transition |
| Acquis data / réutilisation | Soutien avec garde-fous | Documentation des flux de données, expertise secteur public |
Ce que nous recommandons dès maintenant
Le texte est en discussion et rien n’est définitif. Mais plusieurs principes de prudence s’imposent déjà.
Ne pas anticiper une sortie du RGPD par la pseudonymisation. Le CEPD et l’EDPS s’opposent frontalement à cette approche. Toute stratégie fondée sur l’hypothèse que des données pseudonymisées ne seraient plus personnelles serait aujourd’hui prématurée et potentiellement dangereuse.
Documenter systématiquement les choix de qualification. Quelle que soit l’issue législative, les organisations qui auront documenté leurs analyses de qualification (donnée personnelle ou non, base juridique retenue, mesures de sécurité) seront en position de force pour s’adapter.
Préparer les projets IA dès maintenant. La tendance est à l’encadrement pragmatique de l’IA dans le RGPD. Les organisations qui utilisent des données personnelles pour l’entraînement ou l’exploitation de systèmes d’IA ont tout intérêt à documenter dès aujourd’hui leurs analyses d’intérêt légitime, leurs AIPD et leurs mesures de protection.
Surveiller l’évolution des règles cookies. L’intégration de l’ePrivacy dans le RGPD et l’arrivée de signaux automatisés pourraient modifier en profondeur les pratiques en matière de consentement.
DPO SUITE est conçu pour absorber ces évolutions sans rupture. Chaque module sera mis à jour dès que le texte final sera adopté. Et les DPO du réseau DPO FRANCE assurent une veille continue pour traduire les évolutions réglementaires en actions concrètes, adaptées au secteur et à la taille de chaque organisation.
Pour en savoir plus sur DPO SUITE : dpo-france.com Pour rejoindre le réseau DPO FRANCE : dpo-france.com/annuaire Formation RGPD : focus-rgpd.fr
