[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$f3fXxPEWVOeoEjGq6bneNYpNG2-zK3uN5CsIU9BL6JPU":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":16,"featured":4,"state":17,"author":18,"authorId":19,"datePublication":23,"dateCreation":24,"dateUpdate":25,"mainCategory":26,"categories":41,"metaDatas":47,"imageUrl":48,"imageThumbUrls":49,"id":57},false,"Depuis quelques jours, [une fuite fait beaucoup parler d’elle à Bruxelles : un brouillon du futur règlement « Digital Omnibus », ](https://noyb.eu/sites/default/files/2025-11/EU-Kommission-Digital-Omnibus-A-Data-Act-und-DSGVO.pdf)que la Commission européenne **doit présenter officiellement le 19 novembre 2025.**\r\n\r\nL’objectif affiché du projet Omnibus est de simplifier et d’« harmoniser » le cadre numérique européen (RGPD, AI Act, ePrivacy, Data Act, etc.) : supprimer les doublons, clarifier les obligations et alléger la charge pour certaines entreprises, en particulier les PME.\r\n\r\nInitialement, la Commission prévoyait de mener en 2026 un **« bilan de santé numérique » (Digital Fitness Check),** de rassembler des preuves solides, puis de proposer une révision ciblée et rigoureusement préparée du RGPD et des autres textes numériques.\r\n\r\nLa démarche actuelle est toute autre : une **procédure accélérée**, dans laquelle les services de l’UE ne disposent que de cinq jours ouvrables pour examiner un projet de texte. On s’éloigne clairement d’une approche fondée sur l’analyse et l’évidence.\r\n\r\nDans cet article, on décrypte donc ce que contient réellement le projet Omnibus qui a fuité, ses impacts potentiels sur le RGPD et l’AI Act, et ce que les DPO / juristes doivent commencer à anticiper – sans céder à la panique.\r\n\r\nImportant : **ce n’est qu’un brouillon**. Le texte officiel pourra être différent et devra encore être discuté et amendé par le Parlement européen et le Conseil. Autrement dit, rien n’est figé.\r\n\r\n---\r\n\r\n## 1. Qu'est-ce que le « projet Omnibus numérique » ?\r\n\r\nLe « Digital Omnibus » est un projet de règlement horizontal qui vise à retoucher, en un seul texte, plusieurs grandes lois numériques européennes :\r\n\r\n- RGPD\r\n\r\n- Directive ePrivacy\r\n\r\n- Data Act\r\n\r\n- Certaines règles liées à la cybersécurité et aux données sectorielles\r\n\r\n- Et un texte séparé qui cible spécifiquement l’AI Act et son calendrier d'application.\r\n\r\n> L’argument de la Commission : Trop de textes, trop de chevauchements, trop de charge administrative – surtout pour les PME. Réponse : un « ménage » dans l’acquis numérique, via des « ajustements ciblés ».\r\n\r\nProblème : le brouillon qui a fuité ne se contente pas de clarifier. Il touche à des *notions structurantes* du RGPD (définition de donnée personnelle, données sensibles, décisions automatisées, accès aux terminaux, etc.).\r\n\r\n---\r\n\r\n## 2. Ce que la fuite changerait pour la protection des données\r\n\r\n### 2.1. Une définition plus « subjective » des données personnelles\r\n\r\nAujourd’hui, une donnée personnelle, c’est toute information se rapportant à une personne *identifiée ou identifiable*, en tenant compte des moyens raisonnablement accessibles à *n’importe quel* acteur susceptible de traiter ces données.\r\n\r\nLe projet Omnibus introduirait une approche beaucoup plus subjective :\r\n\r\n> Une information ne serait plus une donnée personnelle pour une entité qui **n’a pas, elle-même, les moyens raisonnables d’identifier la personne**, même si un tiers peut le faire.\r\n>\r\n> Cette interprétation a été récemment celle de l'arrêt de la CJUE EDPS vs SRB, qui a rompu avec l’approche longtemps présumée « absolue » de la notion de données personnelles.\r\n>\r\n> Pour en savoir plus sur cet arrêt, [consultez notre article par ici.](https://www.dastra.eu/fr/article/cjue-2025-donnees-pseudonymisees-toujours-personnelles/59570)\r\n\r\nConséquences possibles :\r\n\r\n- Des identifiants pseudonymes, cookies, IDs marketing ou logs, pourraient être qualifiés de « non personnels » pour certains acteurs.\r\n\r\n- Une partie de l’écosystème pourrait sortir du champ du RGPD… alors même que la CJUE a, depuis 20 ans, adopté une interprétation *large* de la notion de donnée personnelle.\r\n\r\nPour les DPO, cela crée un vrai risque de fragmentation : un même dataset pourrait être soumis au RGPD pour A, mais pas pour B.\r\n\r\n---\r\n\r\n### 2.2. Données sensibles : une protection limitée à ce qui est « directement révélé »\r\n\r\nAutre glissement important : les « catégories particulières de données » (article 9 RGPD).\r\n\r\nLe projet Omnibus :\r\n\r\n- Réduit la définition de « données de santé » à celles qui révèlent **directement** l’état de santé.\r\n\r\n- Applique la même logique aux autres catégories sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses, orientation sexuelle, etc.) : seules les données les révélant *directement* seraient protégées au titre de l’article 9.\r\n\r\nTout ce qui peut être **déduit** (profilage, inférences, corrélations) basculerait dans un régime beaucoup moins protecteur. C’est exactement l’inverse de la position constante de la CJUE et de la Convention 108 modernisée.\r\n\r\nEn plus, le texte **ajoute de nouveaux motifs pour traiter des données sensibles, notamment pour :**\r\n\r\n- Le développement de systèmes d’IA\r\n\r\n- Et, dans certains cas, leur « opération », sur la base de l’intérêt légitime, avec des « mesures appropriées ».\r\n\r\n👉 Dit autrement : traiter de la donnée très sensible dans des modèles d’IA pourrait devenir beaucoup plus simple, dès lors qu’on invoque l’innovation et quelques « *safeguards* » génériques.\r\n\r\n---\r\n\r\n### 2.3. Droits des personnes : une érosion par petites touches\r\n\r\nLes critiques parlent de « death by a thousand cuts » : ce ne sont pas forcément des révolutions isolées, mais un affaiblissement progressif de plusieurs garde-fous.\r\n\r\nParmi les points notables du brouillon :\r\n\r\n- **alléger le registre des traitements pour les PME de moins de 750 salariés,**\r\n\r\n- **Les demandes de droit abusives peut être rejetées si considérées excessives ou réalisées pour d'autres finalités (ex préparer un meilleur dossier en contentieux)**\r\n\r\n- **Article 13 RGPD (information)**\r\n\r\n  - Dispense d’information possible lorsque le traitement est mis en œuvre dans le cadre d’une relation « claire et délimitée », si l’on peut raisonnablement supposer que la personne connaît déjà les finalités, la base légale et l’identité du responsable.\r\n\r\n  - Limites : cela ne jouerait pas en cas de transferts vers d’autres destinataires, de transferts hors UE ou de traitements à risque élevé.\r\n\r\n- **Décisions individuelles automatisées (article 22)**\r\n\r\n  - Le fond resterait proche, mais la rédaction passerait d’une logique « interdit sauf si… » à « autorisé sauf si… ». Un basculement symbolique mais important dans l’interprétation future.\r\n\r\n- **Notifications de violation de données (article 33)**\r\n\r\n  - Seules les violations entraînant un *risque élevé* pour les personnes seraient notifiables à l’autorité.\r\n\r\n  - Délai porté de 72h à 96h.\r\n\r\n- **Listes de traitements nécessitant une AIPD**\r\n\r\n  - Elles seraient établies directement par le CEPD, non plus par chaque autorité nationale (CNIL, etc.), puis remontées au CEPD.\r\n\r\nÀ chaque fois, la logique est la même : moins de notifications, moins de paperasse… mais aussi moins de visibilité pour les personnes et moins de contrôle local.\r\n\r\n---\r\n\r\n### 2.4. Terminal, cookies et ePrivacy : vers un « super-consentement » navigateur ?\r\n\r\nLe projet Omnibus fusionne en partie la logique ePrivacy dans le RGPD, via de nouveaux articles (88a, 88b, 88c) sur :\r\n\r\n- L’accès aux données stockées sur les terminaux (ordinateur, smartphone, objets connectés).\r\n\r\n- La possibilité d’exprimer le consentement via des signaux *automatisés* (type « Do Not Track » / Privacy Signal).\r\n\r\nConcrètement :\r\n\r\n- Certains accès au terminal seraient « toujours » possibles sans consentement (acheminer une communication, fournir un service demandé, mesurer l’audience, assurer la sécurité).\r\n\r\n- Pour les autres usages (pub, tracking, entraînement IA…), les bases de l’article 6 RGPD s’appliqueraient, **y compris l’intérêt légitime** dans certains cas, alors qu’aujourd’hui, la directive ePrivacy impose en pratique le consentement pour la plupart des cookies.\r\n\r\n- Les navigateurs devraient implémenter un signal de consentement/objection standardisé, lisible par les sites ; les responsables devraient le respecter au moins 6 mois.\r\n\r\n- Les médias pourraient bénéficier d’exceptions compte tenu de leur dépendance aux revenus publicitaires.\r\n\r\n---\r\n\r\n## 3. Et l’AI Act dans tout ça ?\r\n\r\nLe Digital Omnibus ne réécrit pas l’AI Act, mais il le **retouche** sur deux axes majeurs :\r\n\r\n1. **Alléger certaines obligations procédurales**\r\n\r\n   - Exemption possible d’inscription dans la base de données des systèmes d’IA à haut risque lorsque ceux-ci sont utilisés uniquement pour des tâches étroites ou procédurales.\r\n\r\n2. **Assouplir le calendrier d’application**\r\n\r\n   - Introduction d’une **période de grâce d’un an** où les autorités ne pourraient pas infliger de sanctions avant août 2027.\r\n\r\n   - Les obligations de marquage des contenus générés par l’IA (lutte contre les deepfakes, désinformation) bénéficieraient également de périodes transitoires.\r\n\r\nPar ailleurs, le projet prévoit un deuxième texte spécifique AI Act dans le « package » digital, davantage orienté sur l’interprétation et la mise en œuvre plutôt que sur une réécriture profonde des règles de fond.\r\n\r\n👉 En résumé : on ne « stoppe » pas l’AI Act, mais on en **adoucie la pente** et on réduit la friction pour certains cas d’usage, dans un contexte où l’on veut clairement donner de l’air aux acteurs de l’IA en Europe.\r\n\r\n---\r\n\r\n## 4. Un projet compatible avec la Charte et la jurisprudence de la CJUE ?\r\n\r\nVu depuis la pratique du droit des données personnelles, plusieurs points posent question :\r\n\r\n### 4.1. Notion de donnée personnelle\r\n\r\n- La CJUE a toujours retenu une interprétation large (Breyer, Nowak, etc.), en considérant non seulement les moyens d’un acteur donné, mais aussi ceux d’un tiers raisonnable.\r\n\r\n- Le glissement vers une approche « purement subjective » semble difficilement conciliable avec l’article 8 de la Charte des droits fondamentaux et la Convention 108 modernisée.\r\n\r\n### 4.2. Données sensibles et inférences\r\n\r\n- Limiter la protection aux seules données qui « révèlent directement » un état de santé, une orientation sexuelle, une opinion politique, etc., revient à laisser sans protection renforcée tout le champ des **inférences** – alors que ce sont justement elles qui alimentent le plus souvent les discriminations.\r\n\r\n### 4.3. AI training & intérêt légitime\r\n\r\n- Faire de l’**entraînement et de l’exploitation des systèmes d’IA** une sorte de base autonome, privilégiée, fondée sur l’intérêt légitime, rompt avec le principe de neutralité technologique du RGPD : même traitement, quelle que soit la technologie.\r\n\r\nPlusieurs ONG (noyb, EDRi, Amnesty, etc.), ainsi qu’une centaine d’organisations de la société civile, ont déjà appelé la Commission à revoir sa copie, parlant d’un « RGPD vidé de sa substance ».\r\n\r\n---\r\n\r\n## 5. Que doivent faire les DPO et juristes *maintenant* ?\r\n\r\nSpoiler : **rien ne change juridiquement aujourd’hui**. Le RGPD et l’AI Act restent applicables dans leur version actuelle. Mais c’est le moment d’anticiper intelligemment.\r\n\r\n### 5.1. Ne pas « relâcher » sa conformité sur la base d’une fuite\r\n\r\n- Tant que le Digital Omnibus n’est pas adopté, **toute stratégie qui anticiperait un allègement** (par exemple, s’autoriser plus de tracking ou d’usages d’IA sur données sensibles) est juridiquement risquée.\r\n\r\n- Au contraire, mieux vaut **documenter** vos contraintes actuelles : si le cadre s’assouplit vraiment, vous serez prêt à réévaluer vos risques et vos bases légales.\r\n\r\n### 5.2. Cartographier vos usages d’IA dès maintenant\r\n\r\nProfitez de ce moment pour :\r\n\r\n- Identifier clairement :\r\n\r\n  - Les systèmes d’IA utilisés (internes / SaaS / API),\r\n\r\n  - Les traitements impliqués (entrainement, fine-tuning, inférence),\r\n\r\n  - Les types de données (dont données sensibles ou inférentielles).\r\n\r\n- Vérifier vos bases légales **actuelles** (consentement, exécution du contrat, intérêt légitime) et vos AIPD.\r\n\r\n- Anticiper les obligations AI Act (classification du risque, obligations de gouvernance des données, documentation, logs).\r\n\r\n### 5.3. Suivre de près les discussions sur :\r\n\r\n- La redéfinition des données personnelles (impact énorme sur la qualification de vos datasets, logs, IDs).\r\n\r\n- Le nouveau régime des terminaux & cookies (signal de consentement machine-readable, éventuels modèles « do not track »).\r\n\r\n- Les marges de manœuvre offertes pour l’entraînement des modèles d’IA à partir de données personnelles.\r\n\r\nL’idée n’est pas de refaire toute votre conformité à chaque rumeur, mais d’**intégrer Omnibus dans votre veille structurée**.\r\n\r\n---\r\n\r\n## 6. Comment une plateforme comme Dastra peut aider à rester « Omnibus-proof »\r\n\r\nSi ce projet va au bout (même partiellement), la complexité ne va pas disparaître – elle va juste *changer de forme*. Concrètement, une plateforme de gouvernance comme Dastra peut vous aider à :\r\n\r\n- **Centraliser vos traitements « IA »** dans le registre, avec des tags spécifiques (entraînement, inférence, haut risque / non haut risque).\r\n\r\n- **Lier vos traitements aux bases légales et aux données utilisées** (y compris données pseudonymisées, inférées, sensibles), pour pouvoir réévaluer rapidement l’impact d’un changement de définition.\r\n\r\n- **Suivre les AIPD et, demain, les exigences AI Act** (documentation, mesures de mitigation, preuves).\r\n\r\n- **Tracer vos décisions de conformité** (par exemple : pourquoi vous considérez tel dataset comme personnel ou non, telle base légale comme applicable).\r\n\r\n- **Automatiser la gestion des droits** même dans un contexte où les traitements deviennent plus complexes (notamment si l’usage IA se généralise).\r\n\r\n---\r\n\r\n## À retenir\r\n\r\n- Le projet Omnibus **n’est pas encore du droit positif**, mais il marque clairement une volonté politique : alléger le RGPD et ajuster l’AI Act pour soutenir l’IA.\r\n\r\n- Les changements proposés touchent à des **piliers** (définition de donnée personnelle, données sensibles, ePrivacy, décisions automatisées).\r\n\r\n- Ils suscitent de **fortes critiques** et devront franchir plusieurs étapes législatives, il est probable que le texte évolue.\r\n\r\n- Pour les DPO, le bon réflexe n’est pas de lever le pied, mais de **documenter**, **cartographier les usages d’IA** et se préparer à adapter la conformité sans sacrifier les droits des personnes.","\u003Cp>Depuis quelques jours, \u003Ca href=\"https://noyb.eu/sites/default/files/2025-11/EU-Kommission-Digital-Omnibus-A-Data-Act-und-DSGVO.pdf\" rel=\"nofollow\">une fuite fait beaucoup parler d’elle à Bruxelles : un brouillon du futur règlement « Digital Omnibus », \u003C/a>que la Commission européenne \u003Cstrong>doit présenter officiellement le 19 novembre 2025.\u003C/strong>\u003C/p>\r\n\u003Cp>L’objectif affiché du projet Omnibus est de simplifier et d’« harmoniser » le cadre numérique européen (RGPD, AI Act, ePrivacy, Data Act, etc.) : supprimer les doublons, clarifier les obligations et alléger la charge pour certaines entreprises, en particulier les PME.\u003C/p>\r\n\u003Cp>Initialement, la Commission prévoyait de mener en 2026 un \u003Cstrong>« bilan de santé numérique » (Digital Fitness Check),\u003C/strong> de rassembler des preuves solides, puis de proposer une révision ciblée et rigoureusement préparée du RGPD et des autres textes numériques.\u003C/p>\r\n\u003Cp>La démarche actuelle est toute autre : une \u003Cstrong>procédure accélérée\u003C/strong>, dans laquelle les services de l’UE ne disposent que de cinq jours ouvrables pour examiner un projet de texte. On s’éloigne clairement d’une approche fondée sur l’analyse et l’évidence.\u003C/p>\r\n\u003Cp>Dans cet article, on décrypte donc ce que contient réellement le projet Omnibus qui a fuité, ses impacts potentiels sur le RGPD et l’AI Act, et ce que les DPO / juristes doivent commencer à anticiper – sans céder à la panique.\u003C/p>\r\n\u003Cp>Important : \u003Cstrong>ce n’est qu’un brouillon\u003C/strong>. Le texte officiel pourra être différent et devra encore être discuté et amendé par le Parlement européen et le Conseil. Autrement dit, rien n’est figé.\u003C/p>\r\n\u003Chr />\r\n\u003Ch2 id=\"quest-ce-que-le-projet-omnibus-numerique\">1. Qu'est-ce que le « projet Omnibus numérique » ?\u003C/h2>\r\n\u003Cp>Le « Digital Omnibus » est un projet de règlement horizontal qui vise à retoucher, en un seul texte, plusieurs grandes lois numériques européennes :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>RGPD\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Directive ePrivacy\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Data Act\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Certaines règles liées à la cybersécurité et aux données sectorielles\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Et un texte séparé qui cible spécifiquement l’AI Act et son calendrier d'application.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cblockquote>\r\n\u003Cp>L’argument de la Commission : Trop de textes, trop de chevauchements, trop de charge administrative – surtout pour les PME. Réponse : un « ménage » dans l’acquis numérique, via des « ajustements ciblés ».\u003C/p>\r\n\u003C/blockquote>\r\n\u003Cp>Problème : le brouillon qui a fuité ne se contente pas de clarifier. Il touche à des \u003Cem>notions structurantes\u003C/em> du RGPD (définition de donnée personnelle, données sensibles, décisions automatisées, accès aux terminaux, etc.).\u003C/p>\r\n\u003Chr />\r\n\u003Ch2 id=\"ce-que-la-fuite-changerait-pour-la-protection-des-donnees\">2. Ce que la fuite changerait pour la protection des données\u003C/h2>\r\n\u003Ch3 id=\"une-definition-plus-subjective-des-donnees-personnelles\">2.1. Une définition plus « subjective » des données personnelles\u003C/h3>\r\n\u003Cp>Aujourd’hui, une donnée personnelle, c’est toute information se rapportant à une personne \u003Cem>identifiée ou identifiable\u003C/em>, en tenant compte des moyens raisonnablement accessibles à \u003Cem>n’importe quel\u003C/em> acteur susceptible de traiter ces données.\u003C/p>\r\n\u003Cp>Le projet Omnibus introduirait une approche beaucoup plus subjective :\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Une information ne serait plus une donnée personnelle pour une entité qui \u003Cstrong>n’a pas, elle-même, les moyens raisonnables d’identifier la personne\u003C/strong>, même si un tiers peut le faire.\u003C/p>\r\n\u003Cp>Cette interprétation a été récemment celle de l'arrêt de la CJUE EDPS vs SRB, qui a rompu avec l’approche longtemps présumée « absolue » de la notion de données personnelles.\u003C/p>\r\n\u003Cp>Pour en savoir plus sur cet arrêt, \u003Ca href=\"https://www.dastra.eu/fr/article/cjue-2025-donnees-pseudonymisees-toujours-personnelles/59570\">consultez notre article par ici.\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Cp>Conséquences possibles :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Des identifiants pseudonymes, cookies, IDs marketing ou logs, pourraient être qualifiés de « non personnels » pour certains acteurs.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Une partie de l’écosystème pourrait sortir du champ du RGPD… alors même que la CJUE a, depuis 20 ans, adopté une interprétation \u003Cem>large\u003C/em> de la notion de donnée personnelle.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Pour les DPO, cela crée un vrai risque de fragmentation : un même dataset pourrait être soumis au RGPD pour A, mais pas pour B.\u003C/p>\r\n\u003Chr />\r\n\u003Ch3 id=\"donnees-sensibles-une-protection-limitee-a-ce-qui-est-directement-revele\">2.2. Données sensibles : une protection limitée à ce qui est « directement révélé »\u003C/h3>\r\n\u003Cp>Autre glissement important : les « catégories particulières de données » (article 9 RGPD).\u003C/p>\r\n\u003Cp>Le projet Omnibus :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Réduit la définition de « données de santé » à celles qui révèlent \u003Cstrong>directement\u003C/strong> l’état de santé.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Applique la même logique aux autres catégories sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses, orientation sexuelle, etc.) : seules les données les révélant \u003Cem>directement\u003C/em> seraient protégées au titre de l’article 9.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Tout ce qui peut être \u003Cstrong>déduit\u003C/strong> (profilage, inférences, corrélations) basculerait dans un régime beaucoup moins protecteur. C’est exactement l’inverse de la position constante de la CJUE et de la Convention 108 modernisée.\u003C/p>\r\n\u003Cp>En plus, le texte \u003Cstrong>ajoute de nouveaux motifs pour traiter des données sensibles, notamment pour :\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Le développement de systèmes d’IA\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Et, dans certains cas, leur « opération », sur la base de l’intérêt légitime, avec des « mesures appropriées ».\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>👉 Dit autrement : traiter de la donnée très sensible dans des modèles d’IA pourrait devenir beaucoup plus simple, dès lors qu’on invoque l’innovation et quelques « \u003Cem>safeguards\u003C/em> » génériques.\u003C/p>\r\n\u003Chr />\r\n\u003Ch3 id=\"droits-des-personnes-une-erosion-par-petites-touches\">2.3. Droits des personnes : une érosion par petites touches\u003C/h3>\r\n\u003Cp>Les critiques parlent de « death by a thousand cuts » : ce ne sont pas forcément des révolutions isolées, mais un affaiblissement progressif de plusieurs garde-fous.\u003C/p>\r\n\u003Cp>Parmi les points notables du brouillon :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>alléger le registre des traitements pour les PME de moins de 750 salariés,\u003C/strong>\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Les demandes de droit abusives peut être rejetées si considérées excessives ou réalisées pour d'autres finalités (ex préparer un meilleur dossier en contentieux)\u003C/strong>\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Article 13 RGPD (information)\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Dispense d’information possible lorsque le traitement est mis en œuvre dans le cadre d’une relation « claire et délimitée », si l’on peut raisonnablement supposer que la personne connaît déjà les finalités, la base légale et l’identité du responsable.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Limites : cela ne jouerait pas en cas de transferts vers d’autres destinataires, de transferts hors UE ou de traitements à risque élevé.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Décisions individuelles automatisées (article 22)\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Le fond resterait proche, mais la rédaction passerait d’une logique « interdit sauf si… » à « autorisé sauf si… ». Un basculement symbolique mais important dans l’interprétation future.\u003C/li>\r\n\u003C/ul>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Notifications de violation de données (article 33)\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Seules les violations entraînant un \u003Cem>risque élevé\u003C/em> pour les personnes seraient notifiables à l’autorité.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Délai porté de 72h à 96h.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Listes de traitements nécessitant une AIPD\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Elles seraient établies directement par le CEPD, non plus par chaque autorité nationale (CNIL, etc.), puis remontées au CEPD.\u003C/li>\r\n\u003C/ul>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>À chaque fois, la logique est la même : moins de notifications, moins de paperasse… mais aussi moins de visibilité pour les personnes et moins de contrôle local.\u003C/p>\r\n\u003Chr />\r\n\u003Ch3 id=\"terminal-cookies-et-eprivacy-vers-un-super-consentement-navigateur\">2.4. Terminal, cookies et ePrivacy : vers un « super-consentement » navigateur ?\u003C/h3>\r\n\u003Cp>Le projet Omnibus fusionne en partie la logique ePrivacy dans le RGPD, via de nouveaux articles (88a, 88b, 88c) sur :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>L’accès aux données stockées sur les terminaux (ordinateur, smartphone, objets connectés).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>La possibilité d’exprimer le consentement via des signaux \u003Cem>automatisés\u003C/em> (type « Do Not Track » / Privacy Signal).\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Concrètement :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Certains accès au terminal seraient « toujours » possibles sans consentement (acheminer une communication, fournir un service demandé, mesurer l’audience, assurer la sécurité).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Pour les autres usages (pub, tracking, entraînement IA…), les bases de l’article 6 RGPD s’appliqueraient, \u003Cstrong>y compris l’intérêt légitime\u003C/strong> dans certains cas, alors qu’aujourd’hui, la directive ePrivacy impose en pratique le consentement pour la plupart des cookies.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Les navigateurs devraient implémenter un signal de consentement/objection standardisé, lisible par les sites ; les responsables devraient le respecter au moins 6 mois.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Les médias pourraient bénéficier d’exceptions compte tenu de leur dépendance aux revenus publicitaires.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Chr />\r\n\u003Ch2 id=\"et-lai-act-dans-tout-ca\">3. Et l’AI Act dans tout ça ?\u003C/h2>\r\n\u003Cp>Le Digital Omnibus ne réécrit pas l’AI Act, mais il le \u003Cstrong>retouche\u003C/strong> sur deux axes majeurs :\u003C/p>\r\n\u003Col>\r\n\u003Cli>\u003Cp>\u003Cstrong>Alléger certaines obligations procédurales\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Exemption possible d’inscription dans la base de données des systèmes d’IA à haut risque lorsque ceux-ci sont utilisés uniquement pour des tâches étroites ou procédurales.\u003C/li>\r\n\u003C/ul>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Assouplir le calendrier d’application\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Introduction d’une \u003Cstrong>période de grâce d’un an\u003C/strong> où les autorités ne pourraient pas infliger de sanctions avant août 2027.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Les obligations de marquage des contenus générés par l’IA (lutte contre les deepfakes, désinformation) bénéficieraient également de périodes transitoires.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003C/li>\r\n\u003C/ol>\r\n\u003Cp>Par ailleurs, le projet prévoit un deuxième texte spécifique AI Act dans le « package » digital, davantage orienté sur l’interprétation et la mise en œuvre plutôt que sur une réécriture profonde des règles de fond.\u003C/p>\r\n\u003Cp>👉 En résumé : on ne « stoppe » pas l’AI Act, mais on en \u003Cstrong>adoucie la pente\u003C/strong> et on réduit la friction pour certains cas d’usage, dans un contexte où l’on veut clairement donner de l’air aux acteurs de l’IA en Europe.\u003C/p>\r\n\u003Chr />\r\n\u003Ch2 id=\"un-projet-compatible-avec-la-charte-et-la-jurisprudence-de-la-cjue\">4. Un projet compatible avec la Charte et la jurisprudence de la CJUE ?\u003C/h2>\r\n\u003Cp>Vu depuis la pratique du droit des données personnelles, plusieurs points posent question :\u003C/p>\r\n\u003Ch3 id=\"notion-de-donnee-personnelle\">4.1. Notion de donnée personnelle\u003C/h3>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>La CJUE a toujours retenu une interprétation large (Breyer, Nowak, etc.), en considérant non seulement les moyens d’un acteur donné, mais aussi ceux d’un tiers raisonnable.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Le glissement vers une approche « purement subjective » semble difficilement conciliable avec l’article 8 de la Charte des droits fondamentaux et la Convention 108 modernisée.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"donnees-sensibles-et-inferences\">4.2. Données sensibles et inférences\u003C/h3>\r\n\u003Cul>\r\n\u003Cli>Limiter la protection aux seules données qui « révèlent directement » un état de santé, une orientation sexuelle, une opinion politique, etc., revient à laisser sans protection renforcée tout le champ des \u003Cstrong>inférences\u003C/strong> – alors que ce sont justement elles qui alimentent le plus souvent les discriminations.\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"ai-training-interet-legitime\">4.3. AI training &amp; intérêt légitime\u003C/h3>\r\n\u003Cul>\r\n\u003Cli>Faire de l’\u003Cstrong>entraînement et de l’exploitation des systèmes d’IA\u003C/strong> une sorte de base autonome, privilégiée, fondée sur l’intérêt légitime, rompt avec le principe de neutralité technologique du RGPD : même traitement, quelle que soit la technologie.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Plusieurs ONG (noyb, EDRi, Amnesty, etc.), ainsi qu’une centaine d’organisations de la société civile, ont déjà appelé la Commission à revoir sa copie, parlant d’un « RGPD vidé de sa substance ».\u003C/p>\r\n\u003Chr />\r\n\u003Ch2 id=\"que-doivent-faire-les-dpo-et-juristes-maintenant\">5. Que doivent faire les DPO et juristes \u003Cem>maintenant\u003C/em> ?\u003C/h2>\r\n\u003Cp>Spoiler : \u003Cstrong>rien ne change juridiquement aujourd’hui\u003C/strong>. Le RGPD et l’AI Act restent applicables dans leur version actuelle. Mais c’est le moment d’anticiper intelligemment.\u003C/p>\r\n\u003Ch3 id=\"ne-pas-relacher-sa-conformite-sur-la-base-dune-fuite\">5.1. Ne pas « relâcher » sa conformité sur la base d’une fuite\u003C/h3>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Tant que le Digital Omnibus n’est pas adopté, \u003Cstrong>toute stratégie qui anticiperait un allègement\u003C/strong> (par exemple, s’autoriser plus de tracking ou d’usages d’IA sur données sensibles) est juridiquement risquée.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Au contraire, mieux vaut \u003Cstrong>documenter\u003C/strong> vos contraintes actuelles : si le cadre s’assouplit vraiment, vous serez prêt à réévaluer vos risques et vos bases légales.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"cartographier-vos-usages-dia-des-maintenant\">5.2. Cartographier vos usages d’IA dès maintenant\u003C/h3>\r\n\u003Cp>Profitez de ce moment pour :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Identifier clairement :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Les systèmes d’IA utilisés (internes / SaaS / API),\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Les traitements impliqués (entrainement, fine-tuning, inférence),\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Les types de données (dont données sensibles ou inférentielles).\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Vérifier vos bases légales \u003Cstrong>actuelles\u003C/strong> (consentement, exécution du contrat, intérêt légitime) et vos AIPD.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Anticiper les obligations AI Act (classification du risque, obligations de gouvernance des données, documentation, logs).\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"suivre-de-pres-les-discussions-sur\">5.3. Suivre de près les discussions sur :\u003C/h3>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>La redéfinition des données personnelles (impact énorme sur la qualification de vos datasets, logs, IDs).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Le nouveau régime des terminaux &amp; cookies (signal de consentement machine-readable, éventuels modèles « do not track »).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Les marges de manœuvre offertes pour l’entraînement des modèles d’IA à partir de données personnelles.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>L’idée n’est pas de refaire toute votre conformité à chaque rumeur, mais d’\u003Cstrong>intégrer Omnibus dans votre veille structurée\u003C/strong>.\u003C/p>\r\n\u003Chr />\r\n\u003Ch2 id=\"comment-une-plateforme-comme-dastra-peut-aider-a-rester-omnibus-proof\">6. Comment une plateforme comme Dastra peut aider à rester « Omnibus-proof »\u003C/h2>\r\n\u003Cp>Si ce projet va au bout (même partiellement), la complexité ne va pas disparaître – elle va juste \u003Cem>changer de forme\u003C/em>. Concrètement, une plateforme de gouvernance comme Dastra peut vous aider à :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Centraliser vos traitements « IA »\u003C/strong> dans le registre, avec des tags spécifiques (entraînement, inférence, haut risque / non haut risque).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Lier vos traitements aux bases légales et aux données utilisées\u003C/strong> (y compris données pseudonymisées, inférées, sensibles), pour pouvoir réévaluer rapidement l’impact d’un changement de définition.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Suivre les AIPD et, demain, les exigences AI Act\u003C/strong> (documentation, mesures de mitigation, preuves).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Tracer vos décisions de conformité\u003C/strong> (par exemple : pourquoi vous considérez tel dataset comme personnel ou non, telle base légale comme applicable).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Automatiser la gestion des droits\u003C/strong> même dans un contexte où les traitements deviennent plus complexes (notamment si l’usage IA se généralise).\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Chr />\r\n\u003Ch2 id=\"a-retenir\">À retenir\u003C/h2>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Le projet Omnibus \u003Cstrong>n’est pas encore du droit positif\u003C/strong>, mais il marque clairement une volonté politique : alléger le RGPD et ajuster l’AI Act pour soutenir l’IA.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Les changements proposés touchent à des \u003Cstrong>piliers\u003C/strong> (définition de donnée personnelle, données sensibles, ePrivacy, décisions automatisées).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Ils suscitent de \u003Cstrong>fortes critiques\u003C/strong> et devront franchir plusieurs étapes législatives, il est probable que le texte évolue.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Pour les DPO, le bon réflexe n’est pas de lever le pied, mais de \u003Cstrong>documenter\u003C/strong>, \u003Cstrong>cartographier les usages d’IA\u003C/strong> et se préparer à adapter la conformité sans sacrifier les droits des personnes.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n","Omnibus : tout savoir sur la fuite !","Projet Omnibus : que révèle la fuite sur l’avenir du RGPD et de l’AI Act ? Analyse claire des enjeux pour la protection des données et les DPO.",2121,12,"Omnibus, RGPD, AI Act : que révèle la fuite ?",0,null,"fr","projet-omnibus-rgpd-ai-act-que-revele-la-fuite","Fuite du projet Omnibus : découvrez ce que ce texte pourrait changer pour le RGPD, l’AI Act et le travail des DPO, entre simplification et risques pour la Privacy.","Published",{"id":19,"displayName":20,"avatarUrl":21,"bio":13,"blogUrl":13,"color":13,"userId":19,"creationDate":22},20352,"Leïla Sayssa","https://static.dastra.eu/tenant-3/avatar/20352/TDYeY3C8Rz1lLE/dpo-avatar-h01-150.png","2025-03-03T11:08:22","2025-11-14T08:52:00","2025-11-14T08:52:53.8386524","2025-11-20T10:38:39.6911782",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":32},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[33,35,38],{"lang":14,"name":28,"description":34},"Une liste d'articles rédigés par la communauté",{"lang":36,"name":28,"description":37},"es","Una lista de artículos escritos por la comunidad",{"lang":39,"name":28,"description":40},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[42],{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":43},[44,45,46],{"lang":14,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},[],"https://static.dastra.eu/content/f0b7ba1d-b374-4fbe-af1e-41e567f5b090/visuel-article-6-original.jpg",[50,51,52,53,54,55,56],"https://static.dastra.eu/content/f0b7ba1d-b374-4fbe-af1e-41e567f5b090/visuel-article-6-1000.webp","https://static.dastra.eu/content/f0b7ba1d-b374-4fbe-af1e-41e567f5b090/visuel-article-6.webp","https://static.dastra.eu/content/f0b7ba1d-b374-4fbe-af1e-41e567f5b090/visuel-article-6-1500.webp","https://static.dastra.eu/content/f0b7ba1d-b374-4fbe-af1e-41e567f5b090/visuel-article-6-800.webp","https://static.dastra.eu/content/f0b7ba1d-b374-4fbe-af1e-41e567f5b090/visuel-article-6-600.webp","https://static.dastra.eu/content/f0b7ba1d-b374-4fbe-af1e-41e567f5b090/visuel-article-6-300.webp","https://static.dastra.eu/content/f0b7ba1d-b374-4fbe-af1e-41e567f5b090/visuel-article-6-100.webp",59728]