En Bref

• Le Digital Omnibus, présenté par la Commission européenne en novembre 2025, propose la plus grande refonte du droit numérique européen depuis le RGPD.
• Les principaux changements visent le RGPD, l’AI Act, les règles sur les cookies et la déclaration des incidents de cybersécurité, avec l’objectif de réduire la bureaucratie et de stimuler la compétitivité des entreprises.
• Parmi les propositions controversées : redéfinir la notion de « données personnelles », assouplir le consentement pour le suivi, et permettre aux entreprises de reclasser leurs systèmes d’IA à haut risque.
• Plus de 120 organisations de la société civile alertent sur le risque de remise en cause de décennies de droits numériques et de protections de la vie privée.
• La pression géopolitique, notamment des États-Unis, influence la direction et le rythme de ces réformes.

Un carrefour numérique : le pari réglementaire de l’Europe

Imaginez un labyrinthe vaste et complexe - conçu pour protéger la vie privée des citoyens, réguler l’intelligence artificielle et sécuriser les infrastructures numériques. Maintenant, imaginez des législateurs armés d’un bulldozer, promettant de dégager la voie pour l’innovation et la croissance économique. Voilà le décor alors que la Commission européenne dévoile le Digital Omnibus, un paquet législatif destiné à redessiner la carte des droits et responsabilités numériques sur tout le continent.

L’enjeu ? Rien de moins que l’avenir de la vie privée, de la cybersécurité et de la place de l’Europe dans l’ordre numérique mondial.

Ce qui change - et pourquoi c’est important

Le Digital Omnibus vise à simplifier des années de règles qui se chevauchent, promettant de réduire jusqu’à 35 % les charges administratives pour les petites entreprises. Mais sous la surface, les changements sont profonds. Au cœur du projet : une proposition pour redéfinir la notion de « données personnelles » - si une entreprise ne peut pas identifier directement un individu, ces données pourraient ne plus être protégées par le RGPD. Cela pourrait placer d’immenses pans du suivi, de la publicité et du courtage de données hors de portée de la loi européenne de référence en matière de vie privée.

Parallèlement, l’AI Act s’apprête à être remanié. Les entreprises pourraient bientôt rétrograder unilatéralement leurs propres systèmes d’IA de « haut risque » à « faible risque » - sans contrôle public. Les réformes facilitent aussi le traitement de données sensibles pour l’entraînement de l’IA, et autorisent certaines décisions automatisées avec moins de supervision humaine. Selon les critiques, ces changements pourraient ouvrir la porte à la discrimination et au profilage opaque, avec peu de recours pour les personnes concernées.

Entre fatigue du consentement et risques pour la cybersécurité

Autre réforme phare : la révision de la fameuse « loi sur les cookies ». L’Omnibus propose d’élargir les exceptions afin que davantage de suivi puisse se faire sans consentement explicite de l’utilisateur - passant du modèle actuel d’opt-in à un système plus proche de l’opt-out. Si cela peut épargner aux utilisateurs une avalanche de fenêtres contextuelles, cela risque aussi d’ouvrir de nouvelles brèches pour la surveillance et les cyberattaques, surtout si les entreprises obtiennent un accès plus poussé aux appareils des utilisateurs dans certaines conditions.

Côté cybersécurité, un nouveau système de déclaration unique promet de simplifier la notification des incidents à travers plusieurs lois européennes. Mais centraliser des données sensibles sur les incidents crée aussi une cible irrésistible pour les pirates - un « pot de miel » qui, s’il était compromis, pourrait exposer les vulnérabilités de nombreuses organisations en même temps.

Géopolitique, résistances et perspectives

Le calendrier n’a rien d’un hasard. Alors que l’Europe accuse un retard dans la course à l’IA et subit la pression des États-Unis pour alléger la régulation numérique, l’Omnibus relève autant de la compétition mondiale que de la bureaucratie locale. Pourtant, plus de 120 syndicats et groupes de défense des droits numériques avertissent que cette « simplification » masque une remise en cause historique des droits fondamentaux. Ils dénoncent un processus précipité, sans véritable débat public, à l’opposé des longues négociations qui ont donné naissance au RGPD.

Pour les professionnels de la cybersécurité, ces changements impliquent de revoir les stratégies de conformité, d’investir dans de nouveaux outils et d’assumer davantage de responsabilités dans un paysage où les certitudes juridiques s’effritent. La question désormais : le pari européen créera-t-il une économie numérique plus agile et innovante - ou sacrifiera-t-il la confiance et la sécurité sur l’autel de la compétitivité ?

WIKICROOK

• RGPD (Règlement général sur la protection des données) : Le RGPD est une loi stricte de l’UE qui donne aux citoyens le contrôle de leurs données personnelles et fixe des règles pour les organisations qui les traitent.
• AI Act : L’AI Act est un règlement européen qui fixe des règles pour une utilisation sûre et éthique de l’intelligence artificielle, y compris des standards pour les systèmes à haut risque comme les deepfakes.
• Données personnelles : Les données personnelles sont toute information permettant d’identifier une personne, comme les noms, adresses ou photos. Elles nécessitent une manipulation soigneuse pour préserver la vie privée.
• Fatigue du consentement : La fatigue du consentement désigne la lassitude ressentie par les utilisateurs face aux demandes constantes d’autorisation de collecte de données, ce qui conduit à des décisions moins réfléchies en matière de vie privée.
• Déclaration d’incident : La déclaration d’incident est le processus structuré d’alerte des autorités ou parties prenantes en cas de violation de sécurité, détaillant l’événement et les mesures prises pour y remédier.