Digital Omnibus : un choc de simplification… pour qui ?

Paul Olivier Gibert
POG consulting

Présenté le 19 novembre 2025 par la Commission Européenne, le Digital Omnibus entend rationaliser le "rulebook" numérique européen par des modifications ciblées (RGPD, ePrivacy, AI Act, Data Act…)

Pour les organisations, la promesse de simplification ne se traduira pas par “moins de conformité”, mais par une conformité plus contextualisée et, surtout, plus démontrable. 

Une promesse politique : moins de fragmentation, moins de coûts

La Commission inscrit explicitement l’initiative dans une logique de compétitivité : faire passer du temps et du budget de l’administratif vers l’innovation, en réduisant les frictions générées par la superposition de textes, de définitions et de procédures. Le Digital Omnibus est présenté comme un ensemble d’amendements “techniques” destinés à apporter un soulagement rapide aux entreprises et administrations, sans renoncer aux objectifs de protection. Le projet peut se résumer en trois axes principaux :

  1. 1) Mieux articuler les régimes de données

Objectif : réduire les redondances qui font diverger les pratiques (gouvernance, formats, modalités de partage). 

Opportunité : industrialiser la réutilisation et le partage de données avec des règles plus lisibles. 

Contrepartie : des arbitrages plus explicites (confidentialité, secrets d’affaires, environnements sécurisés) et donc une traçabilité accrue.

  1. 2) Clarifier le RGPD et ePrivacy

Objectif : limiter les interprétations contradictoires sur des points hautement opérationnels (qualification de la donnée, interfaces et signaux de consentement, obligations d’évaluation et de documentation). 

Opportunité : rapprocher la règle des réalités produit et data. 

Contrepartie : la charge se déplace vers la capacité à prouver que les hypothèses retenues étaient raisonnables.

  1. 3) “Report once” pour certains incidents

Objectif : réduire la fragmentation déclarative (multiplication des canaux, redondances, incohérences).

Opportunité : une coordination plus cohérente des déclarations et des délais. 

Contrepartie : des dossiers d’incident plus robustes (qualification, chronologie, impacts, mesures). 

La valeur ne viendra pas de la lecture juridique, mais de l’outillage de la preuve

Pour vraiment tirer un bénéfice de ces pistes de simplification, trois chantiers opérationnels s’imposent. D’abord, cartographier les zones de “sur-conformité” nées de la fragmentation (multiplication des registres, doublons d’analyses d’impact, divergences de qualification) afin de définir un référentiel unique de décisions. 

Ensuite, passer d’une conformité “par obligations” à une conformité “par preuves” : pour chaque traitement, partage ou incident, constituer un dossier démontrant les hypothèses retenues, les contrôles appliqués et les arbitrages effectués. 

Enfin, intégrer la dynamique jurisprudentielle : l’arrêt du 4 septembre 2025 (EDPS v SRB) rappelle que la qualification de donnée personnelle peut dépendre de la capacité raisonnable du destinataire à identifier grâce à cette donnée. 

Simplifier n’est pas déréguler : un débat à assumer, une discipline à installer

Le débat public montre déjà une tension entre simplification et niveau de protection, notamment sur l’IA et certaines évolutions RGPD/ePrivacy. La meilleure stratégie pour les organisations n’est ni l’attentisme ni la sur-interprétation : c’est d’anticiper une conformité “audit-ready”, où chaque choix technique et chaque qualification sont soutenus par des éléments objectifs, partageables et vérifiables. C’est là que la promesse du Digital Omnibus peut devenir une opportunité réelle : moins de fragmentation, plus de cohérence, à condition d’investir dans la preuve.