Omnibus numérique – Accent sur les dispositions relatives aux données personnelles

Le 19 novembre 2025, la Commission européenne a présenté son nouveau  train de mesures dans le domaine du numérique. Même si l'Union européenne est une pionnière de la réglementation numérique, avec la mise en place de la norme la plus élevée de protection des droits fondamentaux, de la sécurité des consommateurs et des valeurs européennes, ses nombreuses publications réglementaires (p. ex. RGPD, Règlement sur la gouvernance des données, Règlement sur les données, Règlement sur l'intelligence artificielle) ont ajouté beaucoup de complexité, notamment pour les PME.

Ce train de mesures comprend la  proposition « omnibus numérique » qui constitue la première étape pour optimiser l'application du corpus réglementaire numérique. L'objectif immédiat est de veiller à ce que le respect des règles se fasse à moindre coût, atteigne les mêmes objectifs et apporte un avantage concurrentiel aux entreprises responsables.

Ce bulletin fournit un aperçu des principales modifications qui pourraient être apportées en matière de protection des données, notamment au RGPD et à la directive vie privée et communications électroniques. Gardons toutefois à l'esprit que cet omnibus numérique est à l'étape de projet et que son contenu peut être modifié jusqu'à son adoption.

Clarification de la définition de « données à caractère personnel » conformément à l'article 4 du RGPD :  Les renseignements ne sont pas considérés comme des données personnelles pour une entité en particulier lorsqu'elle ne dispose pas de moyens raisonnablement susceptibles d'être utilisés pour identifier la personne physique à laquelle ces renseignements correspondent. Cette modification vise à tenir compte de l'affaire  Contrôleur européen de la protection des données (CEPD) c. Conseil de résolution unique (CRU), C 413/23 P, de la Cour de justice de l'Union européenne (la « CJUE »), dans laquelle la CJUE a précisé que, dans certains cas, les données pseudonymisées peuvent ne pas être considérées comme des données personnelles pour une partie, notamment lorsque la pseudonymisation empêche cette partie d'identifier les personnes concernées. Dans ce contexte, le caractère personnel des données dépend du point de vue et des capacités d'identification de la partie qui les traite.
Notons que la Commission adoptera alors des lois de mise en œuvre pour préciser les moyens et les critères permettant de déterminer si les données pseudonymisées constituent ou non des données personnelles. Le CEPD sera alors impliqué.

Notons que la Commission adoptera alors des lois de mise en œuvre pour préciser les moyens et les critères permettant de déterminer si les données pseudonymisées constituent ou non des données personnelles. Le CEPD sera alors impliqué.

Deux exemptions supplémentaires à l'interdiction générale d'utilisation de données de catégories particulières :

• L'utilisation de renseignements biométriques est permise lorsqu'elle est nécessaire à la vérification de l'identité de la personne concernée et lorsque les données et les moyens utilisés sont sous le contrôle exclusif du sujet des données.
• L'utilisation de données personnelles de catégories particulières est permise pour le développement et le fonctionnement de système ou modèle d'IA, sous certaines conditions, y compris des mesures organisationnelles ou techniques appropriées pour éviter la collecte de données personnelles de catégories particulières.

Demandes d'accès excessives :  Clarification, conformément à l'article 12 du RGPD, des situations où le droit d'accès est utilisé de manière abusive par les personnes concernées à des fins autres que la protection de leurs données personnelles. Dans ces cas, l'organisation peut refuser de donner suite à la demande ou exiger des frais raisonnables. Dans un tel contexte, l'organisation devra démontrer que la demande est manifestement non fondée ou qu'il est raisonnable de croire qu'elle est excessive. Cette disposition est semblable aux lois québécoises sur la protection des renseignements personnels.

Il n'est pas nécessaire d'informer les personnes concernées dans la mesure où on peut raisonnablement supposer qu'elles disposent déjà de ces renseignements, sauf si le responsable du traitement partage les données avec d'autres destinataires, les transfère vers un pays tiers ou procède à une prise de décision automatisée, ou si le traitement présente un risque élevé d'atteinte aux droits des personnes concernées.

Clarification des exigences relatives à la prise de décision individuelle automatisée conformément à l'article 22 du RGPD, dans le cadre de la conclusion ou de l'exécution d'un contrat entre la personne concernée et le responsable du traitement, notamment pour préciser que le fait que la décision pourrait être prise autrement que par des moyens uniquement automatisés ne doit pas être pris en compte pour en déterminer la nécessité.

Nouvelles exigences en matière de notification des atteintes à la protection des données : Le processus de notification sera simplifié par l'harmonisation de l'obligation du responsable du traitement, conformément à l'article 33 du RGPD, de notifier toute violation de données à l'autorité de contrôle compétente et aux personnes concernées seulement si la violation est susceptible d'engendrer un risque élevé pour les droits de ces personnes. Actuellement, une violation de données doit être notifiée i) à l'autorité de contrôle compétente si la violation est susceptible d'engendrer un risque pour les droits des personnes concernées et ii) aux personnes concernées si la violation est susceptible d'engendrer un risque élevé pour les droits de ces personnes. Ce processus de notification à deux seuils n'existera donc plus et sera en phase avec les exigences canadiennes.

En outre, la notification devra être effectuée dans un délai de 96 heures (actuellement 72 heures). La proposition prévoit également que les responsables du traitement utilisent un point d'entrée unique pour signaler les violations de données à l'autorité de contrôle. De plus, le CEPD serait obligé de préparer et de soumettre une proposition de modèle de notification des violations de données à la Commission.

Notons que l'utilisation d'un point d'entrée unique pour le signalement des incidents est également une exigence du règlement eIDAS, de la directive SRI 2 et du règlement DORA.

Analyse d'impact relative à la protection des données (AIPD) : Actuellement, chaque État membre de l'UE dispose de sa propre liste d'activités de traitement soumises ou non à l'obligation de réaliser une AIPD. Une telle liste serait harmonisée à l'échelle de l'UE, contribuant ainsi à une définition cohérente de ce qu'est un risque important.

Nouveaux règlements relatifs aux témoins : Le régime légal applicable à l'utilisation de données personnelles sur de l'équipement terminal (des « appareils connectés »), actuellement prévu par la directive 2002/58/CE (directive vie privée et communications électroniques), serait intégré au RGPD et reposerait sur le consentement. Entre autres changements, la proposition permettrait le stockage de données personnelles, ou l'accès à des données personnelles déjà stockées dans de l'équipement terminal, sans consentement, dans diverses circonstances, par exemple lorsque le responsable du traitement a besoin d'y accéder à ses propres fins pour mesurer l'audience en vue de maintenir ou de rétablir la sécurité.

Notons que la directive vie privée et communications électroniques serait modifiée pour refléter une telle modification.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.