Dans un avis conjoint, le Contrôleur européen de la protection des données (CEPD) et le Comité européen de la protection des données (EDPS) accueillent certaines mesures de simplification du Digital Omnibus, mais alertent sur des modifications du RGPD qui pourraient réduire la portée de la protection des données en Europe et semer une insécurité juridique durable.
Alors que la proposition de règlement vise à dépoussiérer un ensemble législatif devenu complexe et fragmenté, le Contrôleur européen de la protection des données et le Comité européen de la protection des données ont souligné, dans un avis publié le 12 février 2026, que toutes les simplifications ne sont pas créatrices de clarté, et que certaines pourraient au contraire faire reculer les garanties fondamentales.
Leur analyse s’articule autour des implications de la réforme sur les principaux textes européens régissant les données personnelles, de la vie privée en ligne et la gouvernance des données. Au cœur de leurs critiques : la manière dont certaines propositions pourraient redéfinir, ou au minimum restreindre, ce qu’est une « donnée à caractère personnel », risque qu’ils jugent trop important pour être laissé sans garde-fous. Ils estiment qu’une réécriture non circonscrite de cette notion menacerait le périmètre même du Règlement général sur la protection des données et entraînerait une atomisation des protections établies depuis des années.
Quand la simplification dilue la substance ?
Plusieurs des modifications proposées ont reçu un accueil mitigé, voire froid. L’idée que la Commission européenne puisse définir, via un acte d’exécution, ce qui ne relève plus d’une donnée personnelle après pseudonymisation a particulièrement irrité les autorités. Pour elles, confier une telle capacité d’interprétation à l’exécutif européen sans contrainte claire reviendrait à déplacer arbitrairement les lignes du champ d’application des règles les plus fondamentales en matière de protection des données.
Certaines mesures suggérées pour alléger les obligations des organisations pourraient paradoxalement générer davantage d’incertitudes pour les responsables de traitement. Cela vaut par exemple pour des dispositions touchant à la prise de décision automatisée ou à la transparence des traitements, qui, sans clarification, risquent d’être difficilement applicables et source de risques juridiques accrus.
Des avancées jugées utiles, mais insuffisantes
Toutefois, l’analyse n’est pas entièrement négative. Les autorités saluent des mesures susceptibles d’alléger la charge administrative, comme l’augmentation du seuil de risque déclenchant la notification d’une violatio de données, ou encore les modèles communs pour les déclarations et les analyses d’impact. Ces évolutions, si elles sont bien cadrées, pourraient désengorger des procédures actuellement jugées trop lourdes sans entamer le niveau de protection.
Sur la question de l’authentification biométrique, l’introduction d’un régime dérogatoire limité, s’appuyant sur des moyens exclusivement contrôlés par la personne concernée, est également vue comme une piste raisonnable, à condition d’être strictement encadrée. De même, l’effort pour harmoniser la notion de recherche scientifique est accueilli comme une source potentielle de sécurité juridique, s’il contribue à réduire les divergences d’interprétation entre États membres.
En revanche, les propositions portant sur les données sensibles dans le contexte de l’intelligence artificielle rencontrent une vigilance accrue : le principe d’une dérogation spécifique est accepté en théorie, mais les autorités réclament des précisions sur son champ d’application et des garanties robustes tout au long du cycle de vie des traitements.
Vie privée en ligne, données publiques et sécurité juridique
L’avis s’étend aussi aux modifications envisagées pour la Directive 2002/58/CE, qui régit la confidentialité des communications électroniques. Les régulateurs saluent l’effort de résoudre la « fatigue du consentement » liée aux cookies et autres bannières intrusives, en mettant en avant des moyens techniques permettant aux utilisateurs d’exprimer leurs choix de manière plus fluide. Ils approuvent également certaines dérogations limitées à l’interdiction d’accès ou de stockage des données dans les terminaux des utilisateurs, à condition qu’elles soient assorties de garanties effectives.
Dans le champ plus large de l’acquis en matière de données, les autorités appuient l’idée d’un cadre unifié intégrant la gouvernance des données et les règles de réutilisation des informations publiques. Elles soulignent cependant l’importance de maintenir la clarté actuelle : les organismes publics ne doivent pas être contraints d’ouvrir l’accès à leurs données sous couvert d’une simplification. En situation d’urgence publique, elles recommandent que seules des données pseudonymisées puissent être partagées lorsque les données anonymes sont insuffisantes.
Si la compétitivité et la réduction des formalités sont des objectifs légitimes, ils ne sauraient être poursuivis au détriment de la substance des droits et libertés fondamentales que la législation européenne sur les données personnelles s’efforce de garantir depuis sa création.
