Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

Le Sénat français a pris officiellement position sur le Digital Omnibus. Dans un rapport d’information publié le 13 mai 2026 par la commission des affaires européennes, les sénateurs alertent sur plusieurs volets du texte et appellent le gouvernement français à défendre une position ferme dans les négociations à venir. Un rapport nourri par les auditions de l’AFCDP, de la CNIL et de l’ANSSI, qui éclaire concrètement les points de tension du rapport ITRE-LIBE actuellement en discussion au Parlement européen.

Pourquoi ce rapport du Sénat compte

Le calendrier explique l’urgence : contrairement au volet IA Act du Digital Omnibus, déjà quasi finalisé, le volet RGPD/données n’a fait l’objet à ce stade que de premières réunions techniques au Conseil de l’UE. Les trilogues entre Parlement, Conseil et Commission ne devraient s’ouvrir qu’à partir du 1er juillet 2026, sous présidence irlandaise. Le Sénat a donc voulu peser sur les négociations avant qu’elles ne s’engagent réellement, en s’appuyant sur les positions d’acteurs de terrain : l’AFCDP (Association Française des Correspondants à la Protection des Données), la CNIL (auditionnée le 28 avril 2026) et l’ANSSI (auditionnée le 29 avril 2026).

Ce que le Sénat juge positif

Les rapporteures ne rejettent pas l’ensemble du texte. Plusieurs mesures sont accueillies favorablement, notamment sur la base des retours de l’AFCDP :

  • Des modèles harmonisés d’AIPD (analyses d’impact) au niveau européen, qui répondraient à un vrai besoin d’harmonisation pour les organisations présentes dans plusieurs États membres.
  • L’extension du délai de notification des violations de données de 72 à 96 heures, jugée plus réaliste pour les DPO qui doivent d’abord gérer l’urgence avant de documenter leur notification.

L’AFCDP a d’ailleurs présenté aux sénateurs les résultats d’une enquête menée par le CEDPO (Confederation of European Data Protection Organisations) auprès de 672 professionnels de la protection des données dans les 27 États membres — un signal que la profession, dans son ensemble, ne s’oppose pas par principe à toute simplification.

Le point d’entrée unique cyber : un risque de « point de faille unique »

Le Digital Omnibus propose de créer un point d’entrée unique (SEP) géré par l’ENISA (Agence de l’Union européenne pour la cybersécurité) pour toutes les déclarations d’incidents de cybersécurité, aujourd’hui dispersées entre plusieurs textes (NIS2, RGPD, règlement eIDAS, textes sectoriels bancaires et financiers). L’objectif affiché est de réduire la lourdeur administrative liée à la multiplication des formulaires et des délais.

Mais l’ANSSI, auditionnée le 29 avril 2026, a alerté les rapporteures : concentrer en un seul endroit l’ensemble des informations sur les failles de cybersécurité européennes pourrait transformer ce point d’entrée unique en point de faille unique (« single point of failure »), contraire aux bonnes pratiques de résilience fondées sur la redondance. Les rapporteures invitent donc le gouvernement à s’opposer à cette centralisation et à privilégier une simple harmonisation des formulaires de déclaration existants, sans changer l’architecture actuelle.

Cookies et ePrivacy : la fausse bonne idée

C’est le point le plus concret pour les organisations. Le texte propose de faire migrer les règles de consentement aux cookies de la directive ePrivacy directement dans le RGPD. Si l’objectif de réduire la fatigue des bandeaux cookies est partagé, les rapporteures pointent un problème structurel : ce basculement créerait un double régime juridique pour les traceurs, selon qu’ils sont ou non adossés à des données personnelles.

La CNIL, auditionnée le 28 avril 2026, a rappelé que le RGPD et l’ePrivacy reposent sur des logiques de sanction très différentes. Le RGPD fonctionne avec un mécanisme de guichet unique, dans le pays d’établissement principal du responsable de traitement — souvent l’Irlande ou les Pays-Bas pour les grandes plateformes américaines. L’ePrivacy, elle, laisse chaque autorité nationale compétente pour sanctionner sur son propre territoire. En basculant les cookies vers le RGPD, la compétence de sanction se concentrerait donc de fait sur les autorités irlandaise et néerlandaise, au risque de les emboliser et de réduire l’effectivité des recours pour les citoyens des autres pays.

La CNIL a chiffré l’impact potentiel pour la France : près d’un milliard d’euros d’amendes cookies ont été prononcées depuis 2020 (une cinquantaine de sanctions). Si le nouveau régime avait déjà été en place, elle estime que la France aurait perdu environ 90 % de ce montant, soit près de 900 millions d’euros. Les rapporteures demandent donc au gouvernement de continuer à défendre le retrait de cette proposition, tout en reconnaissant qu’une solution à la fatigue du consentement reste nécessaire à court terme.

La redéfinition des données personnelles : un risque jugé « dangereux »

Le point le plus sensible du texte concerne la définition même de « donnée à caractère personnel » (article 4 du RGPD). La Commission propose qu’une information ne soit plus considérée comme une donnée personnelle pour une entité qui ne dispose pas des moyens raisonnables de l’identifier — une codification de la jurisprudence récente de la CJUE sur les données pseudonymisées.

Selon l’AFCDP, auditionnée sur ce point, le risque est qu’une organisation puisse classer des données identifiables comme « non personnelles » simplement parce qu’elle n’a pas l’intention ou les moyens immédiats de les ré-identifier, ouvrant la porte à un affaiblissement de la chaîne de responsabilité. Les rapporteures partagent cette analyse et la qualifient de contreproductive : la qualification d’une donnée deviendrait incertaine, dépendante des capacités techniques du destinataire plutôt que d’une analyse objective, et potentiellement réversible dans le temps.

Bonne nouvelle toutefois : le Conseil de l’UE a déjà pris ses distances avec la Commission sur ce point. Dans son deuxième compromis sur le volet « données » du 15 avril 2026, il propose de préciser que les données pseudonymisées susceptibles d’être ré-attribuées à une personne grâce à des informations supplémentaires restent bien des données personnelles — une position beaucoup plus protectrice que la proposition initiale.

Recherche scientifique et intérêt commercial : un autre point de vigilance

La Commission souhaite élargir la définition de « recherche scientifique » à toute recherche soutenant l’innovation, y compris à but commercial. L’AFCDP redoute que cette extension serve de prétexte à certaines entreprises pour traiter des données sensibles (santé, biométrie) sans évaluation de compatibilité au cas par cas, notamment via la présomption automatique de compatibilité avec la finalité initiale de collecte.

Là aussi, le Conseil a déjà tranché dans le bon sens selon les rapporteures : son compromis du 15 avril 2026 a rejeté l’inclusion des « intérêts commerciaux » dans la définition de la recherche scientifique.

Ce que ça signifie pour les DPO dès maintenant

  • Le texte n’est pas encore stabilisé : plusieurs points controversés de la proposition initiale de la Commission ont déjà été écartés par le Conseil, avant même le début des trilogues.
  • La vigilance doit rester sur les cookies/ePrivacy : c’est le point où le risque opérationnel (double régime, dilution des sanctions) est le plus concret pour les organisations qui exploitent des sites web et des traceurs.
  • Les fédérations professionnelles comme l’AFCDP restent un point de contact utile pour suivre l’évolution des négociations et faire remonter les positions du terrain, notamment avant l’ouverture des trilogues sous présidence irlandaise.

FAQ – Digital Omnibus et position du Sénat

Le rapport du Sénat a-t-il une portée juridique contraignante ?

Non. Il s’agit d’un rapport d’information de la commission des affaires européennes, assorti d’une proposition de résolution européenne. Ce type de texte vise à orienter la position du gouvernement français dans les négociations européennes, sans avoir de force contraignante directe.

Le Conseil de l’UE partage-t-il les inquiétudes du Sénat ?

Sur plusieurs points oui. Dans son compromis du 15 avril 2026, le Conseil a déjà écarté l’ajout d’une base légale spécifique pour l’entraînement de l’IA par intérêt légitime, rejeté l’inclusion des intérêts commerciaux dans la recherche scientifique, et proposé une clarification protectrice sur les données pseudonymisées.

Quand les négociations sur le volet RGPD du Digital Omnibus doivent-elles commencer ?

Les trilogues entre Parlement européen, Conseil et Commission pourraient s’ouvrir à partir du 1er juillet 2026, sous présidence irlandaise du Conseil de l’UE, après les premières réunions techniques menées jusqu’alors.

Pourquoi la migration des cookies vers le RGPD pose-t-elle problème ?

Parce que le RGPD et la directive ePrivacy ont des mécanismes de sanction différents. Le RGPD centralise les sanctions dans le pays d’établissement principal (souvent Irlande ou Pays-Bas), alors que l’ePrivacy laisse chaque autorité nationale compétente sur son territoire. Basculer les cookies vers le RGPD réduirait donc l’effectivité des sanctions pour la plupart des pays européens.

Qu’est-ce que l’AFCDP ?

L’Association Française des Correspondants à la Protection des Données (AFCDP) est l’association professionnelle de référence des délégués à la protection des données (DPO) en France. Elle a été auditionnée par le Sénat le 16 avril 2026 dans le cadre de ce rapport.

🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.

En résumé

Le Sénat français a publié le 13 mai 2026 un rapport détaillé sur le Digital Omnibus, nourri par les auditions de l’AFCDP, de la CNIL et de l’ANSSI. Les sénateurs saluent certaines simplifications (modèles d’AIPD harmonisés, délai de notification étendu) mais alertent fermement sur trois points : le risque de « point de faille unique » pour la cybersécurité, la fragilisation du régime de sanction des cookies en cas de migration vers le RGPD, et la redéfinition risquée des données personnelles. Sur plusieurs de ces points, le Conseil de l’UE a déjà pris ses distances avec la proposition initiale de la Commission, avant même l’ouverture des trilogues prévue au 1er juillet 2026.

Anticiper l’impact du Digital Omnibus sur votre organisation !

Sources


Pour aller plus loin


Les solutions MDP Data Protection

MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.

  • SimplyRGPD : Pilotage de votre conformité au quotidien.
  • MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
  • MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

Notre Méthode : le Continuous Compliance Operating System - CCOS

Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?


À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.