Omnibus Digital : comprendre la nouvelle réforme numérique européenne

Depuis plusieurs années, les entreprises évoluent dans un environnement numérique où les réglementations s’accumulent : RGPD, ePrivacy, Data Act, Data Governance Act, NIS2, DORA, eIDAS, directive CER… et on s’y perd.

Cet superposition des obligations a rendu la conformité numérique européenne complexe, coûteuse et difficile à mettre en œuvre, notamment pour les PME.

Pour remédier à cette sur-complexité, la Commission européenne a présenté en novembre 2025 une réforme majeure : l’Omnibus Digital, un texte destiné à simplifier l’ensemble du cadre numérique de l’UE.

Dans cet article nous détaillerons tout l’Omnibus Digital, ses changements, les impactes sur votre entreprises. Et nous ouvrirons sur ses points de vigilances et notre avis en tant qu’experts GRC pour vous accompagner au mieux face à l’Omnibus.

C’est quoi l’Omnibus Digital ?

Définissons la base : L’Omnibus Digital est une proposition de règlement de l’Union européenne, présenté en novembre 2025, qui vise à harmoniser les règles numériques en fusionnant et en ajustant plusieurs textes existants.

Il s’agit d’une réforme numérique européenne conçue pour réduire la charge administrative des entreprises et rendre les réglementations plus cohérentes.

Ce texte modifie ou regroupe notamment :

le Data Act, le RGPD, la directive ePrivacy, le Data Governance Act, NIS2, DORA, eIDAS et la directive CER.

En d’autres termes, l’Omnibus Digital est la nouvelle architecture du droit numérique européen. Ça fait rêver n’est-ce pas ?

Pourquoi l’Omnibus Digital était devenu indispensable

Au fil des années, l’Union européenne a produit une série de règlements numériques qui ont chacun leur utilité, mais qui manquaient d’articulation.

Résultat : un écosystème réglementaire dense, parfois contradictoire, où les obligations varient d’un texte à l’autre.

L’Omnibus Digital répond à un double objectif :

1. clarifier la gouvernance des données et réduire les chevauchements entre RGPD, Data Act, DGA et Open Data ;

2. simplifier la conformité numérique pour toutes les entreprises opérant dans l’UE. Alors non, Omnibus ne crée pas un nouveau texte. Elle réorganise intelligement l’existant.
   

   
   

Qui est concerné par l’Omnibus Digital ?

On va la faire simple : toutes les organisations concernées par le RGPD, le Data Act, l’IA Act, la cybersécurité UE ou les obligations de notification d’incidents, sont concernés par l’Omnibus Digital.

• entreprises de toutes tailles, y compris PME et SMC

• fournisseurs cloud

• entreprises traitant des données personnelles ou professionnelles

• opérateurs soumis à NIS2, DORA, eIDAS ou CER

• éditeurs et intégrateurs de systèmes d’IA

• administrations publiques.

Les changements majeurs du règlement Omnibus Digital

1 - Un Data Act consolidé au cœur de la réforme numérique européenne

L’Omnibus Digital fait du Data Act la pièce maîtresse de la gouvernance des données.

Il intègre le DGA (Data Governance Act), la directive Open Data et certaines règles du Free Flow of Non-Personal Data.

Ce regroupement permet :

• une meilleure cohérence dans la circulation des données

• une protection renforcée des secrets d’affaires

• un cadre clarifié pour l’accès et le partage des données des obligations adaptées aux PME, notamment pour le cloud switching.

Le Data Act consolidé devient ainsi le référentiel central du marché européen de la donnée.

2 - Un RGPD simplifié et une fusion avec ePrivacy

L’Omnibus Digital apporte plusieurs ajustements clés au RGPD, dont :

• la redéfinition de la donnée personnelle via la notion de “réidentification raisonnable”

• une réduction des notifications de violations (déclenchement au risque élevé, délai porté à 96h)

• l’intégration complète des règles ePrivacy dans le RGPD, mettant fin à deux régimes parallèles

• un consentement cookies simplifié, avec mémorisation du refus pendant six mois

• un encadrement renforcé du droit d’accès, pour lutter contre les demandes abusives.

Ces ajustements renforcent l’idée d’un RGPD comme socle unique du droit européen de la protection des données.

3 - Un guichet unique cybersécurité : la fin du double reporting

Aujourd’hui, un incident cyber peut déclencher des notifications multiples : RGPD, NIS2, DORA, eIDAS, CER…

Avec l’Omnibus Digital, toutes les notifications passent par un guichet unique européen opéré par l’ENISA.

Ce guichet central :

• simplifie la déclaration d’incidents

• améliore la coordination entre autorités nationales et européennes

• réduit la charge administrative des entreprises

• fluidifie la circulation des informations critiques.

  
  

C’est l’un des changements les plus concrets du texte.

4 - IA et AI Act : un assouplissement stratégique

L’Omnibus ajuste également le AI Act, avec :

• un report des obligations de conformité pour les systèmes à haut risque (2027)

• un report pour les systèmes sectoriels (2028)

• une évolution majeure : l’utilisation de l’intérêt légitime comme base légale pour entraîner des systèmes d’IA

Ce point relie directement l’Omnibus Digital au RGPD et ouvre des marges d’innovation plus larges pour les entreprises développant de l’intelligence artificielle.

Comment l’Omnibus Digital sera mis en œuvre : un calendrier structuré

L’Omnibus Digital devrait être mis en œuvre en trois temps, “devrait”, parce que les négociations européennes et leurs calendriers savent être… flexibles.

2026 Adoption politique et stabilisation du cadre juridique Omnibus digital

L’année 2026 marque l’adoption formelle du règlement Omnibus Digital, à l’issue des négociations en trilogue.

Cette étape est décisive, même si ses effets concrets ne sont pas immédiats :

• le cadre juridique est figé

• les textes existants (RGPD, Data Act, NIS2, DORA, AI Act…) sont officiellement réarticulés

• la Commission prépare les actes d’exécution qui rendront l’Omnibus opérationnel.

  
  

Pour les entreprises, c’est le moment où la trajectoire devient lisible.

Ne rien faire à ce stade, c’est attendre que les nouvelles règles tombent sans préparation.

2026–2028 Déploiement opérationnel et nouveaux outils européens

Période clé pour les entreprises :

• mise en service du guichet unique de notification ENISA ;

• publication des actes d’exécution du Data Act et du RGPD modifié ;

lancement progressif des Portefeuilles d’Entreprise Européens (European Business Wallets).

C’est la phase la plus structurante pour les organisations.

Plusieurs chantiers s’ouvrent en parallèle :

• la mise en service du guichet unique européen de notification des incidents, opéré par l’ENISA

• la publication progressive des actes d’exécution du RGPD modifié et du Data Act consolidé

• et surtout, le lancement des Portefeuilles d’Entreprise Européens (European Business Wallets)

2025–2029 Révisions continues via le Digital Fitness Check

Dernier point clé : l’Omnibus Digital n’est pas figé dans le marbre.

La Commission prévoit une série de révisions continues via le Digital Fitness Check, qui permettra d’ajuster les grands textes numériques existants :

• DMA en 2026

• DSA en 2027

• Data Act en 2028

• AI Act en 2029

Autrement dit, l’Omnibus n’est pas une fin, mais une nouvelle colonne vertébrale autour de laquelle le droit numérique européen va continuer d’évoluer.

Les zones de vigilance de l’Omnibus Digital, notre avis d’expert GRC

L’intérêt légitime pour l’IA : un changement à suivre de près

L’introduction de l’intérêt légitime comme base juridique d’entraînement des systèmes d’IA est un changement de paradigme. Cette flexibilité peut accélérer l’innovation… mais elle ouvre aussi la porte à des usages discutables des données personnelles. Combien d’entreprise IA pourront pretexter l’interet légtime pour utiliser de la data ?

Le texte autorise explicitement le traitement de données personnelles pour entraîner, tester ou améliorer des systèmes d’IA…sur la base du légitime intérêt.

C’est un tournant, pas un détail. Le légitime intérêt est de loin la base juridique la plus souple du RGPD.

Lui confier un rôle central dans le développement de l’IA, c’est déplacer les lignes :

on passe d’un modèle pensé pour limiter les collectes à un modèle qui peut désormais les justifier au nom du progrès technologique.

Ça veut dire : changement de philosophie, et ce changement mérite d’être assumé plutôt que camouflé sous le mot “simplification”.

Une pseudonymisation qui pourrait sortir du RGPD

Le texte introduit une idée simple… en apparence :

“si une entité n’a pas “les moyens raisonnablement accessibles” pour identifier une personne, alors les données pseudonymisées pourraient ne plus être traitées comme des données personnelles.”

On voit très bien ce que cela implique dans la vraie vie :

Une entreprise pourra dire “Pour nous, ce ne sont plus des données personnelles → le RGPD ne s’applique plus.”

Et du coup, qui définit ce qui est “raisonnablement” identifiable ? Quels critères ?Quel niveau d’expertise technique ? Et quelles garanties que cette définition ne soit pas exploitée pour contourner la protection ?

La pseudonymisation n’a jamais été une anonymisation.

Flouter la frontière entre les deux, c’est créer une zone d’interprétation que certains sauront utiliser.

Notre position sur l’Omnibus Digital

L’Omnibus Digital est une réorganisation bienvenue du cadre numérique européen. Mais disons le clairement :

Oui, l’Omnibus numérique apporte de vraies avancées en termes de cohérence et de coûts de conformité.

Oui, certaines mesures étaient indispensables.

Mais non, ce texte ne se limite pas à “simplifier”. Il réoriente subtilement le modèle européen : moins rigide, plus flexible… mais aussi plus perméable.

Le numérique européen peut (et doit) être compétitif. Mais, ce ne sont pas des détails techniques : ce sont des choix politiques sur la manière dont l’Europe veut articuler innovation et protection. Mais il ne doit jamais l’être au prix de la clarté et de la maîtrise sur les données.