[{"@context":"https:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/mdp-data.com\/digital-omnibus-position-senat-francais-rgpd\/#BlogPosting","mainEntityOfPage":"https:\/\/mdp-data.com\/digital-omnibus-position-senat-francais-rgpd\/","headline":"Digital Omnibus : ce que le S\u00e9nat fran\u00e7ais demande de d\u00e9fendre \u00e0 Bruxelles","name":"Digital Omnibus : ce que le S\u00e9nat fran\u00e7ais demande de d\u00e9fendre \u00e0 Bruxelles","description":"Le S\u00e9nat fran\u00e7ais a pris officiellement position sur le Digital Omnibus. Dans un rapport d&rsquo;information publi\u00e9 le 13 mai 2026 par la commission des affaires europ\u00e9ennes, les s\u00e9nateurs alertent sur plusieurs volets du texte et appellent le gouvernement fran\u00e7ais \u00e0 d\u00e9fendre une position ferme dans les n\u00e9gociations \u00e0 venir. Un rapport nourri par les auditions [&hellip;]","datePublished":"2026-07-13","dateModified":"2026-07-08","author":{"@type":"Person","@id":"https:\/\/mdp-data.com\/author\/mdpdata\/#Person","name":"Christophe SAINT-PIERRE","url":"https:\/\/mdp-data.com\/author\/mdpdata\/","identifier":5,"image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"MDP DATA PROTECTION","logo":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/07\/digital_omnibus_senat_francais_rgpd_eprivacy.jpg","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/07\/digital_omnibus_senat_francais_rgpd_eprivacy.jpg","height":1080,"width":1920},"url":"https:\/\/mdp-data.com\/digital-omnibus-position-senat-francais-rgpd\/","about":["Conformit\u00e9 r\u00e9glementaire"],"wordCount":2258,"keywords":["AFCDP","ANSSI","Digital Omnibus","Donn\u00e9es personnelles","Protection Des Donn\u00e9es","RGPD","S\u00e9nat"],"articleBody":"Le S\u00e9nat fran\u00e7ais a pris officiellement position sur le Digital Omnibus. Dans un rapport d&rsquo;information publi\u00e9 le 13 mai 2026 par la commission des affaires europ\u00e9ennes, les s\u00e9nateurs alertent sur plusieurs volets du texte et appellent le gouvernement fran\u00e7ais \u00e0 d\u00e9fendre une position ferme dans les n\u00e9gociations \u00e0 venir. Un rapport nourri par les auditions de l&rsquo;AFCDP, de la CNIL et de l&rsquo;ANSSI, qui \u00e9claire concr\u00e8tement les points de tension du rapport ITRE-LIBE actuellement en discussion au Parlement europ\u00e9en.SommaireTogglePourquoi ce rapport du S\u00e9nat compteCe que le S\u00e9nat juge positifLe point d&rsquo;entr\u00e9e unique cyber : un risque de \u00ab\u00a0point de faille unique\u00a0\u00bbCookies et ePrivacy : la fausse bonne id\u00e9eLa red\u00e9finition des donn\u00e9es personnelles : un risque jug\u00e9 \u00ab\u00a0dangereux\u00a0\u00bbRecherche scientifique et int\u00e9r\u00eat commercial : un autre point de vigilanceCe que \u00e7a signifie pour les DPO d\u00e8s maintenantFAQ &#8211; Digital Omnibus et position du S\u00e9natEn r\u00e9sum\u00e9SourcesPour aller plus loinLes solutions MDP Data ProtectionNotre M\u00e9thode : le Continuous Compliance Operating System &#8211; CCOS\u00c0 propos de l&rsquo;auteurPourquoi ce rapport du S\u00e9nat compteLe calendrier explique l&rsquo;urgence : contrairement au volet IA Act du Digital Omnibus, d\u00e9j\u00e0 quasi finalis\u00e9, le volet RGPD\/donn\u00e9es n&rsquo;a fait l&rsquo;objet \u00e0 ce stade que de premi\u00e8res r\u00e9unions techniques au Conseil de l&rsquo;UE. Les trilogues entre Parlement, Conseil et Commission ne devraient s&rsquo;ouvrir qu&rsquo;\u00e0 partir du 1er juillet 2026, sous pr\u00e9sidence irlandaise. Le S\u00e9nat a donc voulu peser sur les n\u00e9gociations avant qu&rsquo;elles ne s&rsquo;engagent r\u00e9ellement, en s&rsquo;appuyant sur les positions d&rsquo;acteurs de terrain : l&rsquo;AFCDP (Association Fran\u00e7aise des Correspondants \u00e0 la Protection des Donn\u00e9es), la CNIL (auditionn\u00e9e le 28 avril 2026) et l&rsquo;ANSSI (auditionn\u00e9e le 29 avril 2026).Ce que le S\u00e9nat juge positifLes rapporteures ne rejettent pas l&rsquo;ensemble du texte. Plusieurs mesures sont accueillies favorablement, notamment sur la base des retours de l&rsquo;AFCDP :Des mod\u00e8les harmonis\u00e9s d&rsquo;AIPD (analyses d&rsquo;impact) au niveau europ\u00e9en, qui r\u00e9pondraient \u00e0 un vrai besoin d&rsquo;harmonisation pour les organisations pr\u00e9sentes dans plusieurs \u00c9tats membres.L&rsquo;extension du d\u00e9lai de notification des violations de donn\u00e9es de 72 \u00e0 96 heures, jug\u00e9e plus r\u00e9aliste pour les DPO qui doivent d&rsquo;abord g\u00e9rer l&rsquo;urgence avant de documenter leur notification.L&rsquo;AFCDP a d&rsquo;ailleurs pr\u00e9sent\u00e9 aux s\u00e9nateurs les r\u00e9sultats d&rsquo;une enqu\u00eate men\u00e9e par le CEDPO (Confederation of European Data Protection Organisations) aupr\u00e8s de 672 professionnels de la protection des donn\u00e9es dans les 27 \u00c9tats membres \u2014 un signal que la profession, dans son ensemble, ne s&rsquo;oppose pas par principe \u00e0 toute simplification.Le point d&rsquo;entr\u00e9e unique cyber : un risque de \u00ab\u00a0point de faille unique\u00a0\u00bbLe Digital Omnibus propose de cr\u00e9er un point d&rsquo;entr\u00e9e unique (SEP) g\u00e9r\u00e9 par l&rsquo;ENISA (Agence de l\u2019Union europ\u00e9enne pour la cybers\u00e9curit\u00e9) pour toutes les d\u00e9clarations d&rsquo;incidents de cybers\u00e9curit\u00e9, aujourd&rsquo;hui dispers\u00e9es entre plusieurs textes (NIS2, RGPD, r\u00e8glement eIDAS, textes sectoriels bancaires et financiers). L&rsquo;objectif affich\u00e9 est de r\u00e9duire la lourdeur administrative li\u00e9e \u00e0 la multiplication des formulaires et des d\u00e9lais.Mais l&rsquo;ANSSI, auditionn\u00e9e le 29 avril 2026, a alert\u00e9 les rapporteures : concentrer en un seul endroit l&rsquo;ensemble des informations sur les failles de cybers\u00e9curit\u00e9 europ\u00e9ennes pourrait transformer ce point d&rsquo;entr\u00e9e unique en point de faille unique (\u00ab\u00a0single point of failure\u00a0\u00bb), contraire aux bonnes pratiques de r\u00e9silience fond\u00e9es sur la redondance. Les rapporteures invitent donc le gouvernement \u00e0 s&rsquo;opposer \u00e0 cette centralisation et \u00e0 privil\u00e9gier une simple harmonisation des formulaires de d\u00e9claration existants, sans changer l&rsquo;architecture actuelle.Cookies et ePrivacy : la fausse bonne id\u00e9eC&rsquo;est le point le plus concret pour les organisations. Le texte propose de faire migrer les r\u00e8gles de consentement aux cookies de la directive ePrivacy directement dans le RGPD. Si l&rsquo;objectif de r\u00e9duire la fatigue des bandeaux cookies est partag\u00e9, les rapporteures pointent un probl\u00e8me structurel : ce basculement cr\u00e9erait un double r\u00e9gime juridique pour les traceurs, selon qu&rsquo;ils sont ou non adoss\u00e9s \u00e0 des donn\u00e9es personnelles.La CNIL, auditionn\u00e9e le 28 avril 2026, a rappel\u00e9 que le RGPD et l&rsquo;ePrivacy reposent sur des logiques de sanction tr\u00e8s diff\u00e9rentes. Le RGPD fonctionne avec un m\u00e9canisme de guichet unique, dans le pays d&rsquo;\u00e9tablissement principal du responsable de traitement \u2014 souvent l&rsquo;Irlande ou les Pays-Bas pour les grandes plateformes am\u00e9ricaines. L&rsquo;ePrivacy, elle, laisse chaque autorit\u00e9 nationale comp\u00e9tente pour sanctionner sur son propre territoire. En basculant les cookies vers le RGPD, la comp\u00e9tence de sanction se concentrerait donc de fait sur les autorit\u00e9s irlandaise et n\u00e9erlandaise, au risque de les emboliser et de r\u00e9duire l&rsquo;effectivit\u00e9 des recours pour les citoyens des autres pays.La CNIL a chiffr\u00e9 l&rsquo;impact potentiel pour la France : pr\u00e8s d&rsquo;un milliard d&rsquo;euros d&rsquo;amendes cookies ont \u00e9t\u00e9 prononc\u00e9es depuis 2020 (une cinquantaine de sanctions). Si le nouveau r\u00e9gime avait d\u00e9j\u00e0 \u00e9t\u00e9 en place, elle estime que la France aurait perdu environ 90 % de ce montant, soit pr\u00e8s de 900 millions d&rsquo;euros. Les rapporteures demandent donc au gouvernement de continuer \u00e0 d\u00e9fendre le retrait de cette proposition, tout en reconnaissant qu&rsquo;une solution \u00e0 la fatigue du consentement reste n\u00e9cessaire \u00e0 court terme.La red\u00e9finition des donn\u00e9es personnelles : un risque jug\u00e9 \u00ab\u00a0dangereux\u00a0\u00bbLe point le plus sensible du texte concerne la d\u00e9finition m\u00eame de \u00ab\u00a0donn\u00e9e \u00e0 caract\u00e8re personnel\u00a0\u00bb (article 4 du RGPD). La Commission propose qu&rsquo;une information ne soit plus consid\u00e9r\u00e9e comme une donn\u00e9e personnelle pour une entit\u00e9 qui ne dispose pas des moyens raisonnables de l&rsquo;identifier \u2014 une codification de la jurisprudence r\u00e9cente de la CJUE sur les donn\u00e9es pseudonymis\u00e9es.Selon l&rsquo;AFCDP, auditionn\u00e9e sur ce point, le risque est qu&rsquo;une organisation puisse classer des donn\u00e9es identifiables comme \u00ab\u00a0non personnelles\u00a0\u00bb simplement parce qu&rsquo;elle n&rsquo;a pas l&rsquo;intention ou les moyens imm\u00e9diats de les r\u00e9-identifier, ouvrant la porte \u00e0 un affaiblissement de la cha\u00eene de responsabilit\u00e9. Les rapporteures partagent cette analyse et la qualifient de contreproductive : la qualification d&rsquo;une donn\u00e9e deviendrait incertaine, d\u00e9pendante des capacit\u00e9s techniques du destinataire plut\u00f4t que d&rsquo;une analyse objective, et potentiellement r\u00e9versible dans le temps.Bonne nouvelle toutefois : le Conseil de l&rsquo;UE a d\u00e9j\u00e0 pris ses distances avec la Commission sur ce point. Dans son deuxi\u00e8me compromis sur le volet \u00ab\u00a0donn\u00e9es\u00a0\u00bb du 15 avril 2026, il propose de pr\u00e9ciser que les donn\u00e9es pseudonymis\u00e9es susceptibles d&rsquo;\u00eatre r\u00e9-attribu\u00e9es \u00e0 une personne gr\u00e2ce \u00e0 des informations suppl\u00e9mentaires restent bien des donn\u00e9es personnelles \u2014 une position beaucoup plus protectrice que la proposition initiale.Recherche scientifique et int\u00e9r\u00eat commercial : un autre point de vigilanceLa Commission souhaite \u00e9largir la d\u00e9finition de \u00ab\u00a0recherche scientifique\u00a0\u00bb \u00e0 toute recherche soutenant l&rsquo;innovation, y compris \u00e0 but commercial. L&rsquo;AFCDP redoute que cette extension serve de pr\u00e9texte \u00e0 certaines entreprises pour traiter des donn\u00e9es sensibles (sant\u00e9, biom\u00e9trie) sans \u00e9valuation de compatibilit\u00e9 au cas par cas, notamment via la pr\u00e9somption automatique de compatibilit\u00e9 avec la finalit\u00e9 initiale de collecte.L\u00e0 aussi, le Conseil a d\u00e9j\u00e0 tranch\u00e9 dans le bon sens selon les rapporteures : son compromis du 15 avril 2026 a rejet\u00e9 l&rsquo;inclusion des \u00ab\u00a0int\u00e9r\u00eats commerciaux\u00a0\u00bb dans la d\u00e9finition de la recherche scientifique.Ce que \u00e7a signifie pour les DPO d\u00e8s maintenantLe texte n&rsquo;est pas encore stabilis\u00e9 : plusieurs points controvers\u00e9s de la proposition initiale de la Commission ont d\u00e9j\u00e0 \u00e9t\u00e9 \u00e9cart\u00e9s par le Conseil, avant m\u00eame le d\u00e9but des trilogues.La vigilance doit rester sur les cookies\/ePrivacy : c&rsquo;est le point o\u00f9 le risque op\u00e9rationnel (double r\u00e9gime, dilution des sanctions) est le plus concret pour les organisations qui exploitent des sites web et des traceurs.Les f\u00e9d\u00e9rations professionnelles comme l&rsquo;AFCDP restent un point de contact utile pour suivre l&rsquo;\u00e9volution des n\u00e9gociations et faire remonter les positions du terrain, notamment avant l&rsquo;ouverture des trilogues sous pr\u00e9sidence irlandaise.FAQ &#8211; Digital Omnibus et position du S\u00e9natLe rapport du S\u00e9nat a-t-il une port\u00e9e juridique contraignante ?Non. Il s&rsquo;agit d&rsquo;un rapport d&rsquo;information de la commission des affaires europ\u00e9ennes, assorti d&rsquo;une proposition de r\u00e9solution europ\u00e9enne. Ce type de texte vise \u00e0 orienter la position du gouvernement fran\u00e7ais dans les n\u00e9gociations europ\u00e9ennes, sans avoir de force contraignante directe.Le Conseil de l&rsquo;UE partage-t-il les inqui\u00e9tudes du S\u00e9nat ?Sur plusieurs points oui. Dans son compromis du 15 avril 2026, le Conseil a d\u00e9j\u00e0 \u00e9cart\u00e9 l&rsquo;ajout d&rsquo;une base l\u00e9gale sp\u00e9cifique pour l&rsquo;entra\u00eenement de l&rsquo;IA par int\u00e9r\u00eat l\u00e9gitime, rejet\u00e9 l&rsquo;inclusion des int\u00e9r\u00eats commerciaux dans la recherche scientifique, et propos\u00e9 une clarification protectrice sur les donn\u00e9es pseudonymis\u00e9es.Quand les n\u00e9gociations sur le volet RGPD du Digital Omnibus doivent-elles commencer ?Les trilogues entre Parlement europ\u00e9en, Conseil et Commission pourraient s&rsquo;ouvrir \u00e0 partir du 1er juillet 2026, sous pr\u00e9sidence irlandaise du Conseil de l&rsquo;UE, apr\u00e8s les premi\u00e8res r\u00e9unions techniques men\u00e9es jusqu&rsquo;alors.Pourquoi la migration des cookies vers le RGPD pose-t-elle probl\u00e8me ?Parce que le RGPD et la directive ePrivacy ont des m\u00e9canismes de sanction diff\u00e9rents. Le RGPD centralise les sanctions dans le pays d&rsquo;\u00e9tablissement principal (souvent Irlande ou Pays-Bas), alors que l&rsquo;ePrivacy laisse chaque autorit\u00e9 nationale comp\u00e9tente sur son territoire. Basculer les cookies vers le RGPD r\u00e9duirait donc l&rsquo;effectivit\u00e9 des sanctions pour la plupart des pays europ\u00e9ens.Qu&rsquo;est-ce que l&rsquo;AFCDP ?L&rsquo;Association Fran\u00e7aise des Correspondants \u00e0 la Protection des Donn\u00e9es (AFCDP) est l&rsquo;association professionnelle de r\u00e9f\u00e9rence des d\u00e9l\u00e9gu\u00e9s \u00e0 la protection des donn\u00e9es (DPO) en France. Elle a \u00e9t\u00e9 auditionn\u00e9e par le S\u00e9nat le 16 avril 2026 dans le cadre de ce rapport.\ud83d\udd0e Vous avez une question plus g\u00e9n\u00e9rale sur la conformit\u00e9 RGPD ou la cybers\u00e9curit\u00e9 ? Consultez notre FAQ g\u00e9n\u00e9rale.En r\u00e9sum\u00e9Le S\u00e9nat fran\u00e7ais a publi\u00e9 le 13 mai 2026 un rapport d\u00e9taill\u00e9 sur le Digital Omnibus, nourri par les auditions de l&rsquo;AFCDP, de la CNIL et de l&rsquo;ANSSI. Les s\u00e9nateurs saluent certaines simplifications (mod\u00e8les d&rsquo;AIPD harmonis\u00e9s, d\u00e9lai de notification \u00e9tendu) mais alertent fermement sur trois points : le risque de \u00ab\u00a0point de faille unique\u00a0\u00bb pour la cybers\u00e9curit\u00e9, la fragilisation du r\u00e9gime de sanction des cookies en cas de migration vers le RGPD, et la red\u00e9finition risqu\u00e9e des donn\u00e9es personnelles. Sur plusieurs de ces points, le Conseil de l&rsquo;UE a d\u00e9j\u00e0 pris ses distances avec la proposition initiale de la Commission, avant m\u00eame l&rsquo;ouverture des trilogues pr\u00e9vue au 1er juillet 2026.Anticiper l&rsquo;impact du Digital Omnibus sur votre organisation !SourcesRapport d&rsquo;information n\u00b0626 (2025-2026) : Omnibus num\u00e9rique europ\u00e9en \u2014 S\u00e9nat, 13 mai 2026Omnibus num\u00e9rique : le CEPD et l&rsquo;EDPS soutiennent la simplification tout en soulevant des pr\u00e9occupations majeures \u2014 EDPB, 11 f\u00e9vrier 2026Association Fran\u00e7aise des Correspondants \u00e0 la Protection des Donn\u00e9es (AFCDP)MDP Data Protection &#8211; Omnibus num\u00e9rique : ce que le rapport ITRE-LIBE change pour les DPOMDA Data Protection &#8211; Pixels de suivi email : derni\u00e8re ligne droite avant l\u2019\u00e9ch\u00e9ance CNIL du 14 juillet 2026Pour aller plus loinCNIL -  Nouvelle \u00e9dition : Guide 2024 de la s\u00e9curit\u00e9 des donn\u00e9es personnellesMDP Data Protection - Logiciel RGPD : comment choisir la solution id\u00e9ale pour votre entrepriseLes solutions MDP Data ProtectionMDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformit\u00e9 multi-r\u00e9glementaire (RGPD, NIS2 et IA Act...), avec une approche op\u00e9rationnelle et \u00e9volutive.SimplyRGPD : Pilotage de votre conformit\u00e9 au quotidien.MDP CAMPUS : Notre parcours de sensibilisation en vid\u00e9os p\u00e9dagogiques de 3 \u00e0 7 minutes.MDP Diagnostic : Diagnostic instantan\u00e9 de votre niveau de conformit\u00e9.Notre M\u00e9thode : le Continuous Compliance Operating System - CCOSEt si votre conformit\u00e9 vivait en continu, au lieu d'\u00eatre un livrable de plus ?D\u00e9couvrir la m\u00e9thode CCOS\u00c0 propos de l&rsquo;auteur Christophe SAINT-PIERRE&nbsp; \u2013 Fort de plus de 20 ans d\u2019exp\u00e9rience, Christophe accompagne les organisations dans leur mise en conformit\u00e9 r\u00e9glementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision strat\u00e9gique et approche op\u00e9rationnelle. Au sein de MDP Data Protection, il pilote une d\u00e9marche ax\u00e9e sur l\u2019excellence, l\u2019innovation et la valorisation r\u00e9glementaire. Son objectif : transformer les contraintes l\u00e9gales en opportunit\u00e9s business pour ses clients."},{"@context":"https:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Digital Omnibus : ce que le S\u00e9nat fran\u00e7ais demande de d\u00e9fendre \u00e0 Bruxelles","item":"https:\/\/mdp-data.com\/digital-omnibus-position-senat-francais-rgpd\/#breadcrumbitem"}]}]