ARTICLE
16 January 2026

[Série Omnibus] Article 4 : L'omnibus Et Les Évolutions Pratiques Du RGPD

DA
Delsol Avocats

Contributor

Delsol Avocats logo
DELSOL Avocats is an entrepreneurial firm dedicated to entrepreneurs and businesses. Attentive to the needs of economic players, we provide a genuine business strategy beyond legal and judicial advice. Our cross-practice and sector-specific expertise allow us to deliver tailored assistance for transactions in France, Belgium and abroad.
Explore Firm Details
Ce quatrième article de notre série consacrée à la proposition de Règlement Omnibus numérique vous propose de revenir sur différentes évolutions pratiques apportées par le texte...
France Privacy
Jeanne Bossi Malafosse,Aura Braun,Guillaume Buhagiar
+1 Authors
 Your Author LinkedIn Connections
Jeanne Bossi Malafosse’s articles from Delsol Avocats are most popular:
  • within Privacy topic(s)
  • in Australia
  • with readers working within the Securities & Investment industries
Delsol Avocats are most popular:
  • within Privacy, Wealth Management and Tax topic(s)

Ce quatrième article de notre série consacrée à la proposition de Règlement Omnibus numérique vous propose de revenir sur différentes évolutions pratiques apportées par le texte, ayant vocation à simplifier la gestion de la conformité au RGPD.

Conduite des AIPD

Le Digital Omnibus renvoie au Comité Européen de Protection des Données (CEPD) le soin de définir une liste de traitements pour lesquels une analyse d'impact est requise, et une liste pour lesquels cette analyse n'est pas requise.

La CNIL a déjà publié ces listes pour la France. Attribuer cette compétence au CEPD vise donc certainement à avoir une position commune à l'ensemble des pays européens en réduisant les écarts d'interprétation entre les pays membres de l'UE.

En outre, le Digital Omnibus prévoit que le CEPD élabore une méthodologie commune pour la réalisation des analyses d'impact, évolution au niveau européen qui serait effectivement bienvenue.

Notification des violations de données

La proposition Digital Omnibus augmente le délai de notification auprès de l'autorité de contrôle en cas de violation de données à 96 heures à compter de sa découverte, contre 72 heures actuellement.

Cet allongement de délai est bienvenu en pratique. En effet, le délai actuel de 72 heures implique souvent d'effectuer une notification initiale auprès de l'autorité de contrôle, puis, une notification complémentaire après les investigations informatiques menées. Cet allongement du délai laissera un temps plus important aux responsables de traitement pour mener leurs analyses et ainsi espérer n'avoir à effectuer qu'une seule déclaration auprès de l'autorité de contrôle.

En outre, le Digital Omnibus fait référence à la mise en place du point d'entrée unique pour notifier les violations, introduit par la directive (UE) 2022/2555 et toujours attendu en pratique pour répondre aux différentes obligations de notification imposées par les textes européens (RGPD, directive NIS 2 notamment).

Enfin, le Digital Omnibus renvoie au comité européen de protection des données (CEPD) pour l'élaboration d'un modèle commun de notification ainsi qu'une liste des circonstances dans lesquelles une violation de données à caractère personnel est susceptible d'entraîner un risque élevé pour les droits et libertés d'une personne.

Ce point sera particulièrement attendu dans la mesure où cette notion de risque élevé est peu claire pour le moment et engendre toujours un questionnement sur la nécessité de notifier la violation de données aux personnes concernées ou non, bien que les exemples déjà développés par le CEPD soient déjà utiles en la matière.

Présomption de compatibilité élargie

Le Digital Omnibus propose une modification de l'article 5, paragraphe 1 point b du RGPD en indiquant qu'il existe une présomption de compatibilité (là où le texte actuel fait état d'une présomption de non incompatibilité) entre un traitement ultérieur de données et le traitement initial lorsque le traitement est réalisé à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques (et dès lors que les dispositions de l'article 89 paragraphe 1 seraient respectées).

Surtout, le Digital Omnibus, à l'inverse de la rédaction actuelle du RGPD, précise que cette compatibilité s'apprécie indépendamment de l'article 6 paragraphe 4 du RGPD.

En d'autres termes, il ne serait plus nécessaire pour ces traitements de données de mettre en œuvre un test de compatibilité entre le traitement initial et le traitement ultérieur.

Pour rappel, ce test de compatibilité impose au responsable de traitement de vérifier :

  • l'existence d'un lien entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur ;
  • le contexte dans lequel les données ont été collectées et en particulier la relation entre les personnes concernées et le responsable de traitement ;
  • la nature des données traitées, et en particulier la présence de données sensibles ;
  • les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
  • l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Il s'agit donc ici d'une évolution importante, permettant une plus grande liberté dans la réutilisation des données pour un traitement ultérieur, sans pour autant abaisser le niveau de protection pour les droits et libertés des personnes concernées.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]
Authors
Photo of Jeanne Bossi Malafosse
Jeanne Bossi Malafosse
Photo of Aura Braun
Aura Braun
Photo of Valentin Mottelay
Valentin Mottelay
Photo of Guillaume Buhagiar
Guillaume Buhagiar
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More