Le Digital Omnibus demeure, à ce stade, une proposition de règlement. Il n’a pas encore été adopté par le Parlement européen ni par le Conseil. En pratique, le texte final peut encore évoluer de manière significative au cours de la procédure législative. L’avis conjoint du CEPD et du Contrôleur européen de la protection des données du 10 février 2026 porte d’ailleurs bien sur une proposition de la Commission publiée le 19 novembre 2025.

Pour autant, s’agissant de la définition de la donnée personnelle, il serait erroné de considérer que le débat est purement excessif ou secondaire. Certes, la proposition ne remplace pas formellement la définition actuelle de l’article 4 du RGPD : elle la complète par l’ajout de plusieurs phrases visant à préciser qu’une information ne serait pas nécessairement une donnée personnelle “pour toute autre personne ou entité” dès lors qu’une autre entité pourrait identifier la personne concernée.

L’intention affichée par la Commission est de consacrer une lecture plus contextuelle du caractère personnel d’une information, notamment à partir de situations de pseudonymisation. L’idée sous-jacente est relativement simple : une même information pourrait être considérée comme “personnelle” pour un acteur disposant de moyens raisonnables d’identification, et “non personnelle” pour un autre acteur qui n’en disposerait pas. Ce raisonnement correspond en partie à des difficultés réelles de qualification dans certains flux de données pseudonymisées.

En pratique, cette logique peut sembler cohérente à première vue. Il existe en effet des informations dont le caractère personnel est presque évident dans la plupart des cas, tandis que d’autres dépendent beaucoup plus du contexte, des moyens de recoupement disponibles et de la capacité réelle d’identification. Autrement dit, la proposition cherche à rendre plus explicite une dimension déjà présente en pratique : le caractère personnel d’une donnée ne se comprend pas toujours de manière totalement abstraite.

Néanmoins, c’est précisément sur ce point que l’avis conjoint CEPD/EDPS est particulièrement sévère. Les autorités européennes considèrent que la proposition va bien au-delà d’une simple modification technique ou d’une codification fidèle de la jurisprudence de la CJUE.

Elles estiment qu’elle réduit significativement la notion de donnée personnelle, qu’elle risque d’affaiblir le droit fondamental à la protection des données, et qu’elle pourrait inciter certains responsables de traitement à rechercher artificiellement des failles de contournement du RGPD.

Elles visent notamment le risque de structures organisationnelles créées pour séparer “nominalement” certaines capacités d’identification du reste du traitement, tout en maintenant des usages problématiques des données.

Le CEPD et le Contrôleur européen critiquent également la rédaction elle-même. Selon eux, la proposition introduit une définition “négative”, disant davantage ce qu’une donnée n’est pas que ce qu’elle est, en utilisant en plus des notions insuffisamment définies, comme celle "d’entity”.

Ils soulignent aussi que la dernière phrase ajoutée par la Commission ne reflète pas fidèlement la jurisprudence de la Cour, notamment en ce qu’elle tend à nier qu’une donnée puisse redevenir personnelle du fait de sa mise à disposition d’un destinataire capable de réidentifier la personne.

L’un des prolongements les plus problématiques de cette logique est le nouvel article 41a proposé, qui permettrait à la Commission d’adopter, par acte d’exécution, des critères et moyens destinés à déterminer si des données issues de la pseudonymisation ne constituent plus des données personnelles pour certaines entités.

Sur ce point, l’avis conjoint est là encore très critique : le CEPD et le Contrôleur européen considèrent qu’un tel mécanisme pourrait, en pratique, redéfinir le champ matériel d’application du droit européen de la protection des données, tout en créant davantage de complexité au lieu de simplifier. Ils recommandent donc la suppression de cet article.

D’un point de vue opérationnel, la proposition ne signifie pas pour autant que le RGPD cesserait soudainement de s’appliquer à la majorité des traitements. Dans les organisations, les données sont rarement exploitées de manière totalement isolée. Plus un jeu de données est riche, croisé ou volumineux, plus les possibilités de réidentification augmentent.

En outre, les acteurs économiques qui disposent déjà d’un dispositif de conformité ont, dans la plupart des cas, peu d’intérêt pratique à segmenter artificiellement leurs flux entre données “personnelles” et “non personnelles”, dès lors que cette opération risque surtout de complexifier leur gouvernance plutôt que de la simplifier.

En revanche, la réforme pourrait nourrir certains usages plus stratégiques. Elle pourrait, par exemple, favoriser des dispositifs de data clean rooms ou la commercialisation de jeux de données présentés comme “non personnels” auprès d’acteurs souhaitant réduire artificiellement leur exposition au RGPD. C’est d’ailleurs exactement le type de dérive que l’avis conjoint redoute lorsqu’il évoque le risque de voir certains acteurs chercher des “loopholes” ou organiser artificiellement la séparation des moyens d’identification.

En définitive, il serait excessif de dire que le Digital Omnibus “vide le RGPD de sa substance” dans son ensemble. En revanche, il serait tout aussi inexact de présenter la réforme de la définition de la donnée personnelle comme une simple précision neutre. Sur ce point précis, le projet constitue un véritable point de tension juridique et politique.

Le CEPD et le Contrôleur européen considèrent d’ailleurs que cette modification ne devrait pas être adoptée. Dès lors, la question n’est plus seulement de savoir si la définition est “complétée” plutôt que “remplacée”, mais de savoir si cette complétion ne conduit pas, en pratique, à réduire le champ du RGPD de manière contraire à l’équilibre général du droit européen de la protection des données.