La Commission européenne a présenté un paquet nommé « Digital Omnibus » qui vise à assouplir certains aspects du **RGPD**, du **AI Act** et des règles européennes sur les **cookies**, au nom de la compétitivité et de la simplification réglementaire.

Si votre activité implique du trafic depuis l’**UE** ou dépend de données européennes pour l’**analyse**, la publicité ou l’amélioration de fonctionnalités basées sur l’**IA**, il est pertinent de suivre l’évolution de ce texte, même s’il ne constitue pas encore une modification légale.

Ce que proposerait le « Digital Omnibus »

Le paquet « **Digital Omnibus** » tend à réviser plusieurs cadres législatifs en parallèle pour harmoniser ou modifier des obligations pratiques et des échéances.

En matière d’**intelligence artificielle**, la proposition repousse l’entrée en vigueur de mesures plus strictes concernant les systèmes à **haut risque** : la date prévue pour certaines obligations passerait d’août 2026 à décembre 2027. Parallèlement, le texte envisage d’alléger certaines obligations de documentation et de notification pour certains systèmes, et de confier davantage de responsabilités de contrôle et d’orientation à l’**Office européen de l’IA**.

Sur la question de la **protection des données**, l’intention affichée est d’éclaircir les conditions dans lesquelles une information cesse d’être considérée comme « **donnée personnelle** ». L’objectif déclaré est de faciliter le partage et la réutilisation de jeux de données **anonymisés** ou **pseudonymisés**, notamment pour l’**entraînement** de modèles d’**IA**.

Des associations de défense de la vie privée, comme **noyb**, estiment que la nouvelle rédaction ne se limite pas à clarifier la loi. Elles pointent une approche plus **subjective**, reposant sur les déclarations des responsables de traitement quant à leurs intentions et usages futurs. Selon ces acteurs, cela pourrait conduire à exclure certaines parties de l’écosystème **adtech** et des **courtiers en données** des protections prévues par le **RGPD**.

Cookies, consentement et signaux de navigateur

La partie relative aux **cookies** est probablement celle qui aura l’impact le plus visible au quotidien, si le texte devait être adopté dans sa forme actuelle.

La Commission souhaite réduire le phénomène dit de « fatigue des bannières » en dispensant d’affichage de certains **bannières de consentement** pour des cookies jugés non risqués, et en transférant davantage de contrôles vers des paramètres gérés au niveau des **navigateurs** qui s’appliqueraient de façon transverse aux sites.

Concrètement, cela signifierait moins d’invites de consentement pour des usages considérés comme peu intrusifs — par exemple certains outils d’**analyse** ou des stockages strictement **fonctionnels** — dès lors que des catégories précises sont définies.

Le projet rend également obligatoire, lorsqu’ils existent, le respect de **signaux de vie privée standardisés** et lisibles par machine émis par les **navigateurs**. Autrement dit, lorsque des standards techniques seront adoptés, les sites devraient tenir compte de ces indicateurs automatiques pour ajuster l’affichage des options de consentement ou les traitements associés.

Sur le terrain, cela soulève plusieurs questions pratiques pour les responsables de conformité et les équipes techniques : comment mapper les catégories de cookies des plateformes de gestion du consentement (**CMP**) aux signaux de navigateur ; comment ajuster les flux d’activation des balises ; et quelles implications pour des outils comme **Google Analytics** et d’autres solutions d’**analytics** ou de mesure publicitaire ?

Entraînement des modèles d’IA et droits des personnes

L’un des points les plus débattus du texte concerne le traitement des **données** utilisées pour l’**entraînement** des systèmes d’**IA**.

La proposition ouvrirait la possibilité pour des acteurs majeurs — citons à titre d’exemple **Google**, **Meta** ou **OpenAI** — d’utiliser des données personnelles européennes pour entraîner des modèles, en se fondant sur un **fondement juridique** élargi. Ce mécanisme viserait à fournir plus de souplesse aux entreprises qui exploitent de larges corpus pour développer ou améliorer des modèles de langage et autres systèmes d’IA.

Les organisations de défense des libertés et de la vie privée jugent que ces usages devraient reposer sur un **consentement explicite** (opt-in) plutôt que sur des bases plus flexibles et généralement interprétées comme des opt-outs. Elles alertent notamment sur l’utilisation de longues séries de données comportementales — historiques des réseaux sociaux, logs de navigation, profils d’engagement — qui, selon elles, pourraient être incorporées aux jeux d’entraînement par le biais de mécanismes d’exclusion difficiles à actionner concrètement pour les personnes concernées.

Le débat porte donc sur l’équilibre entre innovation et respect des droits individuels : comment permettre la création et l’amélioration de services basés sur l’**IA** tout en conservant des garanties effectives sur la **protection** des personnes et la traçabilité des traitements ?

Pourquoi ces évolutions ont de l’importance

Pour les professionnels de l’**analyse de données**, de la **publicité numérique**, de la conformité et des produits incorporant de l’**IA**, les changements proposés peuvent modifier les pratiques opérationnelles et la gestion du risque juridique :

• Des ajustements dans la présentation du **consentement** pourraient réduire le nombre de bannières affichées, mais imposer une coordination plus étroite avec les **navigateurs** et les fournisseurs de CMP ;
• Un assouplissement sur la nature des données utilisées pour l’**entraînement** des modèles pourrait élargir l’accès à des corpus plus riches, tout en augmentant les risques liés à la **confidentialité** et à la responsabilité juridique ;
• La redéfinition de ce qui constitue une **donnée personnelle** — notamment après **pseudonymisation** ou **anonymisation** — aura des répercussions sur les politiques de **partage** et de réutilisation des données au sein des entreprises européennes et de leurs partenaires externes.

En conséquence, même si aucune action immédiate n’est requise (les textes doivent encore suivre un processus législatif), il est probable que les équipes en charge des flux de données, de l’architecture analytique et de la conformité commencent à repenser la gouvernance des jeux de données, la documentation des traitements et les processus d’évaluation d’impact.

Aspects pratiques et points de vigilance pour les organisations

Les organisations qui traitent des données d’utilisateurs situés dans l’**UE** devraient envisager plusieurs pistes d’adaptation pour limiter l’incertitude et préparer un éventuel changement de cadre :

• Renforcer les inventaires de données (« data inventories ») et cartographier précisément les usages de données pour l’**IA**, en distinguant données strictement **fonctionnelles**, données d’**analyse**, et données utilisées pour l’**entraînement** ;
• Clarifier et documenter les fondements juridiques appliqués à chaque usage (consentement, intérêt légitime, exécution d’un contrat, etc.), en particulier pour les traitements entrant dans le périmètre d’entraînement des modèles ;
• Mettre en place des mesures techniques de **pseudonymisation** et d’**anonymisation** conformes aux meilleures pratiques, et documenter leur robustesse face aux risques de ré-identification ;
• Préparer des mécanismes de respect des signaux techniques émis par les **navigateurs**, en collaboration avec les fournisseurs de CMP et les équipes de tagging/analytics ;
• Actualiser les évaluations d’impact sur la protection des données (DPIA) pour les projets d’**IA** classés à risque, en anticipant des modifications futures des obligations de documentation et de notification ;
• Suivre les positions des autorités de contrôle nationales et de la Commission européenne pour interpréter les nouveaux textes et recommandations techniques qui accompagneront probablement la réforme.

Ces actions relèvent davantage de la **préparation** et de la gouvernance interne que de modifications immédiates de flux opérationnels. Elles visent à réduire le temps et le coût de mise en conformité si le cadre devait effectivement évoluer.

Réactions et controverses

Plusieurs acteurs ont déjà exprimé des positions contrastées :

• Les partisans de l’assouplissement estiment que des règles plus permissives favoriseront la **compétitivité**, permettront de réduire les frictions techniques et encourageront l’innovation liée à l’**IA** en Europe ;
• Les défenseurs des droits numériques, tels que **noyb**, craignent une dilution des garanties du **RGPD** et une augmentation du recours à des bases juridiques moins protectrices pour des traitements à grande échelle ;
• Les acteurs du secteur technologique observent les possibilités d’un cadre plus flexible, tout en demandant des clarifications opérationnelles sur la mise en œuvre pratique des signaux de **navigateur** et des catégories de cookies exemptés.

Ces tensions reflètent un dilemme structurel : concilier ambitions industrielles et garanties individuelles dans un contexte où les modèles d’**IA** demandent des volumes de données toujours plus importants.

Calendrier prévisionnel et étapes à suivre

Le « Digital Omnibus » est une proposition de la Commission. Pour devenir droit, il doit passer par l’adoption du Parlement européen et du Conseil, puis être transposé ou appliqué selon les modalités décidées. Quelques éléments de calendrier et d’étapes :

• Débat et amendements au Parlement européen : les députés peuvent proposer des modifications, notamment sur les points relatifs à l’**entraînement IA** et aux règles de **consentement** ;
• Négociations interinstitutionnelles (trilogues) entre Parlement, Conseil et Commission : phase décisive pour déterminer le texte final ;
• Publication et entrée en vigueur : si adopté, le règlement ou la directive pourrait prévoir des délais d’application, comme le glissement des obligations **IA** de 2026 à 2027 tel que proposé ;
• Publication d’actes d’exécution et de recommandations techniques : ces documents préciseront les formats de signaux de **navigateur**, les critères d’**anonymisation** et autres aspects opérationnels.

Il est donc raisonnable d’attendre plusieurs mois — voire plus d’un an — avant d’avoir une visibilité complète sur la forme finale du cadre et ses implications pratiques.

Questions fréquentes (FAQ)

Q : Dois-je modifier mes bannières de consentement immédiatement ?
R : Non. Tant que le texte n’est pas adopté, il n’y a pas d’obligation nouvelle. Cependant, il est utile de suivre l’évolution et de préparer des scénarios techniques pour intégrer d’éventuels signaux de **navigateur** ou nouvelles catégories d’exemption.

Q : L’**IA** pourra-t-elle utiliser toutes les données européennes ?
R : Le projet élargit les possibilités juridiques pour l’**entraînement** des modèles, mais des limites et garanties sont encore débattues. Des voix appellent à maintenir un niveau élevé de protection, notamment via un **consentement explicite** pour certains usages sensibles.

Q : Qu’entend-on par « données anonymisées » dans ce contexte ?
R : L’**anonymisation** renvoie à des techniques visant à rendre impossible la ré-identification d’une personne à partir de données. Le texte ambitionne de clarifier quand une donnée cesse d’être « personnelle », mais les autorités et experts insistent sur la robustesse nécessaire des techniques pour éviter la ré-identification.

Q : Les navigateurs imposeront-ils un format unique de signaux ?
R : La proposition prévoit le respect de **signaux standardisés** lorsque ceux-ci existeront. Le contenu technique et l’adoption d’un format unique dépendront d’accords entre acteurs techniques et autorités.

Glossaire synthétique

• Digital Omnibus : proposition de la Commission européenne visant à ajuster plusieurs régimes juridiques numériques simultanément ;
• RGPD : Règlement général sur la protection des données ;
• AI Act : proposition de règlement européen encadrant l’**IA**, notamment les systèmes à **haut risque** ;
• Cookies : petits fichiers déposés par un site ou une application pour stocker des informations côté utilisateur ;
• Pseudonymisation : transformation des données pour réduire le lien direct avec la personne, tout en permettant potentiellement une ré-identification par traitement complémentaire ;
• Anonymisation : retrait irréversible des éléments permettant l’identification d’une personne ;
• Signaux de navigateur : indicateurs techniques émis par les **navigateurs** (ou extensions) pour exprimer des préférences de vie privée lisibles par les sites ;
• Adtech / Courtiers en données : acteurs spécialisés dans la collecte, l’agrégation et la fourniture de données pour le ciblage publicitaire et d’autres usages commerciaux.

Conclusion — contexte et perspectives

Le paquet « **Digital Omnibus** » illustre une volonté manifeste de la Commission de rééquilibrer le droit numérique européen, en plaçant davantage l’accent sur la compétitivité et l’**innovation** autour de l’**IA**, tout en prétendant rationaliser certaines obligations de conformité. Les débats à venir porteront sur le juste niveau de protection des **droits** individuels face aux nécessités industrielles et techniques.

Pour les responsables techniques et juridiques, la recommandation pratique consiste à renforcer la gouvernance des données, à documenter les usages et fondements juridiques, et à se préparer à prendre en compte des signaux techniques de **navigateur** ainsi qu’à clarifier les pratiques d’**anonymisation** et de **pseudonymisation**. Ces préparatifs faciliteront l’adaptation si la réglementation évolue effectivement dans le sens proposé.

Featured Image: HJBC/Shutterstock