Le débat public autour du Digital Omnibus a souvent été mal posé. Présenté par certains comme un texte qui “viderait le RGPD de sa substance”, il s’agit en réalité d’un projet beaucoup plus subtil, et sans doute plus politique, de reconfiguration que de démantèlement. Il faut d’abord rappeler qu’à ce stade, il ne s’agit encore que d’une proposition de la Commission européenne, qui devra être discutée, amendée le cas échéant, puis adoptée par le Parlement européen et le Conseil.

Sur le fond, le Digital Omnibus ne supprime ni les principes cardinaux du RGPD, ni sa logique d’accountability, ni l’existence des principaux droits reconnus aux personnes concernées. Il conserve l’architecture générale du règlement, tout en déplaçant plusieurs curseurs pratiques. En ce sens, la bonne lecture n’est pas celle d’une “mort du RGPD”, mais celle d’un texte qui cherche à le rendre plus standardisable, plus gouvernable, et plus compatible avec certaines réalités industrielles contemporaines, en particulier autour de l’IA, de la circulation des données et de l’architecture du consentement en ligne.

Pour autant, tous les points ne se valent pas. La réforme proposée de la définition de la donnée personnelle constitue un point de tension majeur. Certes, la Commission ne remplace pas formellement la définition actuelle de l’article 4 du RGPD : elle la complète en introduisant une lecture davantage contextualisée, fondée sur les moyens raisonnablement disponibles pour identifier une personne.

Mais c’est précisément sur ce point que l’avis conjoint du CEPD et du Contrôleur européen est le plus sévère. Les deux autorités considèrent que cette réforme va au-delà d’une simple codification de la jurisprudence, qu’elle réduit la notion de donnée personnelle, accroît l’insécurité juridique et peut favoriser des stratégies de contournement. Elles recommandent d’ailleurs explicitement que cette modification ne soit pas adoptée, ainsi que la suppression de l’article 41a proposé sur la pseudonymisation.

Le volet IA du projet appelle une lecture plus nuancée. Le texte ne “sort” pas l’intelligence artificielle du RGPD ; il tente plutôt d’encadrer juridiquement des difficultés déjà très concrètes, notamment la présence incidentelle et résiduelle de données sensibles dans certains datasets ou modèles, ainsi que la possibilité de mobiliser, dans certains cas, l’intérêt légitime pour le développement ou l’exploitation de systèmes d’IA. Sur ce terrain, le CEPD et le Contrôleur européen ne rejettent pas frontalement l’orientation retenue. Ils admettent que l’intérêt légitime puisse, dans certains cas, être utilisé, mais rappellent que cette possibilité existait déjà dans le droit actuel.

Leur critique porte avant tout sur la rédaction du texte, jugée trop floue, notamment sur les notions d’“effort disproportionné”, de “résiduel”, d’“operation”, ou encore sur la mise en œuvre concrète d’un droit d’opposition renforcé dans des environnements techniques où le retrait effectif des données demeure particulièrement complexe.

Sur les droits des personnes, le projet poursuit une logique de simplification plus que de suppression. Le droit d’accès demeure, mais la Commission tente de mieux cerner les demandes abusives ou excessives. Le droit à l’information est également allégé dans certains contextes relationnels simples et peu intensifs en données. Là encore, l’avis conjoint n’écarte pas l’objectif de simplification, notamment pour les petites structures, mais il refuse clairement que cette simplification se transforme en facilité de refus ou en opacité déguisée.

Il recommande de maintenir un standard probatoire exigeant pour le rejet des demandes d’accès, de ne pas assimiler des demandes larges à des demandes automatiquement excessives, et d’encadrer plus rigoureusement les nouvelles dérogations de l’article 13. En d’autres termes, le texte avance bien vers une simplification, mais les autorités européennes rappellent qu’une simplification ne doit jamais devenir le prétexte d’une érosion discrète des droits.

Le volet violations de données et AIPD est probablement celui où la logique de rationalisation est la plus lisible. Le relèvement du seuil de notification à l’autorité vers le haut risque, l’extension du délai à 96 heures, la mise en place d’un futur point d’entrée unique articulé avec NIS2, ainsi que l’harmonisation européenne des listes et méthodologies d’AIPD traduisent une volonté claire de réduire la fragmentation et la surcharge procédurale. Sur ces points, le CEPD et le Contrôleur européen sont globalement favorables, tout en rappelant qu’il faudra surveiller de très près le contenu concret des futurs modèles, listes et standards.

C’est d’ailleurs ici qu’apparaît une autre limite importante du projet. Le Digital Omnibus se présente comme un texte favorable à la simplification pour les PME, mais cette promesse mérite d’être fortement nuancée. Certes, le CEPD et l’EDPS accueillent favorablement certaines mesures susceptibles de réduire la charge administrative, notamment au bénéfice des SMEs.

Mais, en pratique, le texte semble surtout pensé pour des acteurs déjà structurés, capables d’absorber des listes communes, des méthodologies harmonisées, des templates européens et des actes d’exécution successifs. Autrement dit, il est sans doute davantage mature-actor friendly ou “big PME friendly” que véritablement accessible aux petites structures les plus éloignées de la conformité. Pour ces dernières, la simplification reste largement suspendue à ce que le CEPD préparera demain et à ce que la Commission adoptera ensuite.

Mais c’est précisément ici que se situe le véritable enjeu du texte. Le Digital Omnibus ne se contente pas de modifier certains mécanismes du RGPD : il déplace une partie importante du pouvoir normatif depuis les autorités nationales vers le couple CEPD / Commission européenne. Le CEPD serait appelé à préparer listes, méthodologies et modèles communs ; la Commission, elle, en assurerait l’adoption par actes d’exécution.

Or l’avis conjoint se montre très clair sur ce point : s’il soutient l’objectif d’harmonisation, il exprime aussi une méfiance nette envers la possibilité pour la Commission de revoir ou modifier unilatéralement les instruments préparés par le CEPD. Les autorités y voient un risque institutionnel réel : celui de soumettre des standards essentiels du RGPD à des arbitrages plus politiques qu’indépendants. Elles recommandent donc de renforcer le rôle du CEPD, précisément parce qu’il constitue un organe indépendant composé des autorités de protection des données.

Autrement dit, le vrai débat n’est pas seulement de savoir ce que le Digital Omnibus change, mais qui écrira demain les standards concrets de la conformité européenne. C’est là que le texte révèle sa dimension la plus sensible. Derrière les ajustements techniques, il organise une transformation du mode de gouvernement du RGPD. Et c’est probablement sur ce terrain institutionnel, plus encore que sur les modifications ponctuelles de tel ou tel article, que se jouera l’avenir réel de la régulation européenne des données.

Enfin, le volet RGPD / ePrivacy confirme cette impression générale. Les nouveaux articles 88a et 88b cherchent à réorganiser le consentement en ligne autour d’une architecture plus structurée : consentement comme principe, exceptions mieux bornées, refus simple et intelligible, impossibilité de re-solliciter en permanence après un refus, et développement de signaux automatisés et lisibles par machine. L’avis conjoint soutient fortement cette orientation, notamment dans sa lutte contre la fatigue du consentement et les dark patterns.

Mais il relève aussi plusieurs fragilités : articulation incomplète entre RGPD et directive ePrivacy, définition encore trop floue de certaines exceptions, question de la mémorisation des refus, rôle exact des acteurs concernés et critique explicite de l’exception accordée aux media service providers. Là encore, l’objectif est soutenu, mais la mécanique demeure juridiquement instable.

En définitive, le Digital Omnibus ne marque pas la fin du RGPD. Il révèle plutôt la fin d’une certaine illusion : celle d’un droit de la protection des données qui pourrait rester inchangé alors même que l’économie numérique, l’IA et les architectures techniques du web se transforment rapidement. Le texte contient certes des simplifications parfois utiles et des ajustements parfois bienvenus. Mais son enjeu principal ne réside peut-être pas là. Son enjeu majeur est institutionnel : il organise une recentralisation de la production des standards européens, et ouvre la voie à une régulation potentiellement plus pilotée politiquement.

Et s’il revendique une ambition de simplification favorable aux PME, celle-ci apparaît, dans sa rédaction actuelle, beaucoup plus convaincante pour les acteurs déjà matures que pour les petites structures réellement éloignées de la conformité. Le vrai débat n’est donc pas de savoir si le RGPD est mort, mais de savoir dans quel sens il sera désormais gouverné, et au bénéfice de qui il sera réellement simplifié.