Écrit le 30/01/2026
Le 19 novembre 2025, la Commission européenne a publié une réforme de simplification, au nom de la compétitivité, de la réglementation européenne dans le domaine du numérique intitulée « Omnibus numérique ».
En application de l’obligation issue de l’article 91 du règlement européen sur les services numériques (DSA), la Commission européenne a publié, le 17 novembre 2025, un rapport dans lequel elle évalue l’interaction de ce règlement avec d’autres législations de l’Union européenne. A cette occasion, la Commission a identifié un chevauchement de réglementations.
Deux propositions de règlements pour simplifier et harmoniser le cadre numérique
Le 19 novembre 2025, la Commission européenne a publié deux propositions de règlements portant réforme du cadre juridique européen dans le domaine du numérique : un règlement sur l’acquis numérique et un règlement spécifique sur l’IA, l’objectif étant de simplifier et d’harmoniser le cadre numérique européen existant, qui comprend notamment le règlement européen sur l’intelligence artificielle (IA Act), le règlement européen pour la protection des données (RGPD), la directive ePrivacy et la réglementation horizontale et sectorielle sur la cybersécurité.
Le report de certaines obligations prévues par l’IA Act
En ce qui concerne l’IA, de manière à lier l’entrée en application des règles régissant les systèmes d’IA à haut risque à la disponibilité d’outils de soutien, notamment les normes nécessaires, le report de certaines obligations prévues par l’IA Act est prévu. Plus précisément, les systèmes d’intelligence artificielle à haut risque ne seront soumis à leurs nouvelles obligations qu’à partir de décembre 2027, soit seize mois plus tard qu’initialement prévu.
Des ajustements ciblés pour favoriser l’innovation en matière d’IA
La Commission propose aussi des modifications ciblées de l’IA Act. Elle envisage d’étendre aux petites entreprises à moyenne capitalisation certaines mesures de simplification dont bénéficient les petites et moyennes entreprises (PME). Aussi, il est prévu d’élargir la base des mesures de conformité afin qu'un plus grand nombre d'innovateurs puisse utiliser des bacs à sable réglementaires. Enfin, elle propose de renforcer les pouvoirs du Bureau de l'IA dans une démarche de centralisation de la surveillance des systèmes d'IA, pour réduire la fragmentation de la gouvernance.
RGPD : des évolutions envisagées pour stimuler l’innovation
En ce qui concerne le RGPD, des modifications ciblées sont proposées dans une logique de stimulation de l’innovation et pour faciliter le respect des règles, tout en préservant les principes matriciels du RGPD et en assurant la protection le plus élevée des données personnelles. A cet égard, il est notamment envisagé une opération de clarification de la définition de la donnée personnelle.
Plus particulièrement, les données pseudonymisées pourraient venir à être exclues du champ d’application du RGPD, afin d’en faciliter et d’en assouplir l’utilisation pour l’entraînement des modèles d’IA. Pour rappel, là où les données anonymisées sont des données rendues anonymes afin que l’individu ne soit pas ou plus identifiable par tout moyen raisonnablement susceptible d’être utilisé, le RGPD n’y étant alors pas applicable, les données pseudonymisées sont toujours des données personnelles et soumises au RGPD (la pseudonymisation est une technique conduisant à transformer des données personnelles pour qu’elles ne puissent plus être attribuées à une personne spécifiquement sans l’utilisation d’informations complémentaires, à condition que celles-ci soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles visant à garantir que les données ne sont pas attribuées à des personnes physiques).
En outre, une simplification du consentement aux cookies a été mise en avant, dans l’objectif d’améliorer l’expérience des utilisateurs en ligne. De manière concrète, il est question de réduire le nombre d’apparition des bandeaux relatifs aux cookies, permettant notamment d’exprimer le consentement à travers un unique clic, ainsi que de permettre une sauvegarde des préférences via un paramétrage centralisé.
Vers un guichet unique européen pour la notification des incidents de cybersécurité
Par ailleurs, la Commission envisage la création d’un guichet unique par l’intermédiaire duquel les entreprises pourront signaler les incidents de cybersécurité, afin de leur éviter de multiplier les notifications aux autorités nationales. Cet outil offrira des garanties en termes de sécurité et fera l’objet d’expérimentations pour évaluer sa fiabilité et son efficacité. Pour rappel, en l’état actuel de la réglementation dans le domaine du numérique, les entreprises sont tenues de signaler les incidents de cybersécurité en vertu de plusieurs actes législatifs, notamment la directive SRI 2, le RGPD et le règlement sur la résilience opérationnelle numérique du secteur financier (DORA).
Une première étape d’une réforme appelée à se poursuivre
Enfin, de manière générale, il est question d’améliorer l’accès aux données, notamment par la consolidation de règles via la fusion de quatre actes législatifs dans le Data Act, par la formulation de nouvelles orientations sur le respect du règlement sur les données et en rendant accessibles à l'IA, des ensembles de données nouveaux et de grande qualité afin de stimuler les entreprises européennes du secteur de l'IA et de renforcer ainsi le potentiel global d'innovation des entreprises dans l'ensemble de l'Union européenne.
En définitive, le Digital Omnibus de la Commission européenne marque la première étape de la réforme de simplification initiée du cadre juridique européen dans le domaine du numérique. A présent il doit être soumis au Parlement européen et au Conseil.