L’Omnibus numérique RGPD est le chantier législatif européen le plus structurant de 2026 pour les professionnels de la conformité. Proposé par la Commission européenne en novembre 2025 pour simplifier le cadre réglementaire numérique, ce règlement omnibus modifie simultanément le RGPD, la directive ePrivacy, la directive NIS 2, le Data Act et plusieurs autres textes. Le Parlement européen est désormais en phase d’examen : les rapporteurs ont publié leur projet de rapport fin juin 2026, et la date limite de dépôt d’amendements est fixée au 15 juillet 2026.
Qu’est-ce que l’Omnibus numérique RGPD et pourquoi est-il prioritaire ?
La proposition d’Omnibus numérique de la Commission européenne, adoptée le 19 novembre 2025, vise deux objectifs déclarés : simplifier les obligations qui pèsent sur les organisations (réduction des charges administratives) et renforcer la compétitivité des entreprises européennes face aux acteurs américains et asiatiques.
Le texte touche simultanément :
- Le RGPD : modifications de la définition des données personnelles, du régime des violations de données, des analyses d’impact, de la prise de décision automatisée, de la transparence.
- La directive ePrivacy : régime des cookies, automatisation des choix de confidentialité, publicité comportementale vs contextuelle.
- Le Data Act : intégration du Data Governance Act et de la directive Open Data.
- La directive NIS 2 : certaines obligations de cybersécurité.
Au Parlement européen, deux commissions sont rapporteures : ITRE (Industrie, Recherche et Énergie) et LIBE (Libertés civiles, Justice et Affaires intérieures). Leur projet de rapport trace les lignes d’un compromis politique qui peut diverger significativement de la proposition initiale de la Commission.
Ce que l’EDPB et l’EDPS demandent de préserver
L’EDPB (Comité européen de la protection des données) et l’EDPS (Contrôleur européen de la protection des données) ont publié un avis conjoint sur l’Omnibus numérique RGPD (Opinion 2/2026, adoptée le 10 février 2026 et publiée le lendemain). Leur position est nuancée : ils soutiennent certaines mesures de simplification, mais alertent sur des risques graves pour les droits fondamentaux, une tension déjà identifiée par les premiers retours d’experts sur la réforme.
Points de préoccupation majeurs de l’EDPB :
- Définition des données personnelles : la Commission propose de modifier la définition pour exclure certaines données pseudonymisées lorsque l’identification est raisonnablement impossible pour l’entité qui les détient. L’EDPB s’y oppose fermement, estimant que cette modification affaiblirait significativement le concept de données personnelles et demande aux co-législateurs de ne pas adopter les modifications proposées.
- Prise de décision automatisée : les modifications apportées à l’article 22 du RGPD (droit à l’intervention humaine face aux décisions automatisées) doivent être clarifiées pour rester significatives et juridiquement solides.
- Intérêt légitime pour l’IA : l’EDPB juge inutile l’introduction d’une disposition spécifique sur l’intérêt légitime comme base légale pour le développement de l’IA, son Opinion 28/2024 ayant déjà traité ce sujet.
Points soutenus par l’EDPB :
- L’augmentation du seuil de risque déclenchant l’obligation de notification d’une violation de données : simplification bienvenue sans atteinte aux droits.
- L’extension du délai de notification des violations au-delà des 72 heures actuelles.
- Les modèles communs pour les violations de données et les analyses d’impact (AIPD).
- La dérogation pour l’authentification biométrique sous contrôle exclusif de l’individu.
- La solution aux bandeaux cookies : les choix automatisés lisibles par les machines pour mettre fin à la fatigue du consentement.
Omnibus numérique RGPD : les enjeux ePrivacy et cookies
L’une des modifications les plus attendues par les professionnels du digital concerne la fin des bandeaux cookies. La Commission propose d’introduire des mécanismes d’indication automatisée des choix des utilisateurs, lisibles par les machines. Concrètement, un navigateur pourrait exprimer les préférences de l’utilisateur en matière de cookies une fois pour toutes, sans que chaque site web ait à afficher son propre bandeau.
L’EDPB soutient cet objectif mais formule des réserves sur la coexistence de deux régimes distincts pour les données personnelles et non personnelles. Il recommande également que le texte encourage la publicité contextuelle plutôt que comportementale, en créant une exception spécifique entourée de garanties.
Un calendrier parallèle : où en est le volet IA Act du paquet Omnibus ?
Le Digital Omnibus RGPD n’avance pas seul. Son texte jumeau consacré à l’IA, le Digital Omnibus IA Act, a pris une avance nette dans le calendrier législatif : le Parlement européen l’a adopté en plénière le 16 juin 2026 (423 voix pour, 57 contre, 174 abstentions), et l’adoption formelle par le Conseil était attendue le 29 juin 2026, avant publication au Journal officiel. Ce texte fixe des dates définitives pour les obligations IA à haut risque : 2 décembre 2027 pour les systèmes autonomes (Annexe III), 2 août 2028 pour les systèmes intégrés à des produits (Annexe I), et 2 décembre 2026 pour les obligations de marquage des contenus générés par IA (watermarking).
Ce décalage de calendrier illustre bien la situation : la partie IA du paquet, jugée plus urgente en raison de l’échéance du 2 août 2026 pour l’AI Act, a été traitée en priorité et est quasiment bouclée. Le volet RGPD/ePrivacy/NIS2, plus sensible politiquement sur la définition des données personnelles, reste en discussion — d’où l’importance de la fenêtre d’amendements du 15 juillet.
Ce que les DPO doivent faire avant le 15 juillet 2026
La fenêtre d’influence sur le texte final est courte. Voici les actions concrètes pour les professionnels de la conformité :
- Lire le projet de rapport ITRE-LIBE : porté par les rapporteurs Aura Salla et Marina Kaljurand, il est disponible sur le site du Parlement européen (commissions ITRE et LIBE, documents récents). Les modifications proposées peuvent différer de la position de la Commission et préfigurer le texte final.
- Identifier les dispositions qui affectent votre organisation : définition des données personnelles, seuil de notification des violations, prise de décision automatisée, ePrivacy.
- Contribuer via vos fédérations professionnelles : plusieurs fédérations et associations professionnelles collectent des positions avant la deadline du 15 juillet.
- Préparer des scénarios de conformité : selon les modifications qui seront finalement adoptées, votre registre des traitements, vos procédures de notification de violations et vos politiques de cookies devront être révisés. Mais attention : une convergence législative ne produit pas mécaniquement une convergence opérationnelle, la simplification des textes ne dispense pas de structurer une gestion continue de la conformité en interne.
FAQ – Omnibus numérique RGPD
Quand l’Omnibus numérique entrera-t-il en vigueur ?
Le calendrier législatif européen prévoit un processus de trilogue entre le Parlement européen, le Conseil de l’UE et la Commission. Après l’adoption par le Parlement de sa position (prévue fin 2026 ou début 2027), des négociations interinstitutionnelles s’ouvriront. L’entrée en vigueur effective est probable à l’horizon 2027-2028, avec des périodes de transition pour certaines dispositions.
La définition de « données personnelles » va-t-elle vraiment changer ?
C’est l’une des propositions les plus controversées. La Commission européenne propose d’exclure de la définition certaines données pseudonymisées lorsque l’identification est raisonnablement impossible. L’EDPB s’y oppose fermement. Le Parlement européen examine cette disposition, et les amendements déposés avant le 15 juillet 2026 influenceront directement la position finale du Parlement.
Les bandeaux cookies vont-ils disparaître grâce à l’Omnibus ?
L’objectif est de réduire la fatigue du consentement via des mécanismes automatisés de signalement des préférences. En pratique, cela signifierait que les navigateurs ou applications pourraient exprimer les choix de l’utilisateur de façon standardisée, sans que chaque site affiche son propre bandeau. Ce mécanisme reste à préciser techniquement et politiquement, et son déploiement prendra du temps après l’entrée en vigueur du règlement.
Le volet RGPD suit-il le même calendrier que le volet IA Act ?
Non. Le Digital Omnibus IA Act a été adopté par le Parlement dès le 16 juin 2026 et finalisé fin juin, poussé par l’échéance du 2 août 2026 de l’AI Act. Le volet RGPD/ePrivacy/NIS2 est plus en retrait : le rapport ITRE-LIBE vient seulement d’être publié, avec une deadline d’amendements au 15 juillet 2026, et son adoption en plénière n’est pas attendue avant fin 2026 au plus tôt.
La notification des violations de données sera-t-elle simplifiée ?
Oui, c’est l’un des points sur lesquels l’EDPB et la Commission s’accordent. Le seuil de risque déclenchant l’obligation de notification à l’autorité de contrôle serait relevé, et le délai de 72 heures serait étendu. Cette simplification est jugée proportionnée : elle réduit la charge administrative sans compromettre la protection des individus. Les DPO pourraient donc gérer moins de notifications de violations mineures.
🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.
En résumé
L’Omnibus numérique RGPD est le texte le plus structurant pour la conformité des cinq prochaines années. Le projet de rapport ITRE-LIBE est en cours d’examen au Parlement européen, avec une date limite d’amendements au 15 juillet 2026, alors que le volet IA Act du même paquet est déjà quasiment finalisé. Les enjeux principaux sont la définition des données personnelles, la simplification des notifications de violations, la fin des bandeaux cookies et le régime de la prise de décision automatisée. Les DPO doivent agir maintenant pour influencer le texte via leurs fédérations professionnelles.
Anticiper l’impact sur votre organisation !
Sources
- Digital Omnibus : EDPB and EDPS support simplification and competitiveness while raising key concerns — EDPB, 11 février 2026
- Derniers documents ITRE — Parlement européen
- EU Briefing – Facts and Analysis of the Week — Public Policy Europe, 3 juillet 2026
Pour aller plus loin
- CNIL - Nouvelle édition : Guide 2024 de la sécurité des données personnelles
- MDP Data Protection - Logiciel RGPD : comment choisir la solution idéale pour votre entreprise
Les solutions MDP Data Protection
MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.
- SimplyRGPD : Pilotage de votre conformité au quotidien.
- MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
- MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.
Notre Méthode : le Continuous Compliance Operating System - CCOS
Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?
À propos de l’auteur
Christophe SAINT-PIERRE – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.


