La Commission européenne propose plusieurs modifications majeures pour le RGPD avec son Digital Omnibus. Au menu : une refonte complète des règles sur les cookies, une nouvelle approche de la pseudonymisation, des IA qui exploiteront vos donnée personnelles et un point d'entrée unique pour signaler les incidents de cybersécurité.

Bannières cookies, données personnelles, IA, ce qui pourrait changer dans le RGPD ©Shutterstock
Bannières cookies, données personnelles, IA, ce qui pourrait changer dans le RGPD ©Shutterstock
Proton Business SuiteProton Business Suite
8.7/10

Offre partenaire

Des solutions simples et chiffrées pour protéger votre entreprise

Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.

Essayer Proton Business Suite gratuitement !

Offre partenaire

Le Digital Package européen annoncé hier 19 novembre 2025 s'attaque directement à plusieurs piliers du RGPD. Si la Commission promet de préserver les standards de protection, les modifications proposées touchent au cœur du règlement entré en vigueur en 2018. Ces changements visent à alléger les contraintes administratives pour les entreprises, mais qu'en est-il de la protection de nos données personnelles ?

Les cookies gérés depuis le navigateur

Le changement le plus concret pour la majorité des internautes concerne les fameuses "cookie banners". Avec l'article 88a, le consentement aux cookies ne passerait plus systématiquement par des bannières ou pop-ups, mais pourrait être géré de façon centralisée au niveau du navigateur ou du système d'exploitation.​

Le projet de texte mentionne plusieurs exceptions où le consentement n'est pas demandé. Quatre cas sont concernés :

  • La transmission strictement nécessaire à la fourniture du service.
  • Les services explicitement demandés par l'utilisateur.
  • La mesure d'audience agrégée à usage exclusif du site.
  • Le maintien de la sécurité du service ou de l'équipement.

Pour le reste - le suivi publicitaire, l'analytics tiers - le consentement reste obligatoire. Mais les modalités changent.​

Les sites web devront reconnaître les signaux standardisés de consentement ou de refus transmis automatiquement par le navigateur. Ils devront permettre à l'utilisateur de consentir ou de refuser en un seul clic, et respecter ce choix pendant au moins six mois.

Toute violation peut désormais entraîner une amende jusqu'à 4% du chiffre d'affaires annuel mondial.​ Concrètement, il s'agit de fournir une dimension juridique au standard Do Not Track implémenté dans les navigateurs entre 2011 et 2012 et largement ignoré par les sites aujourd'hui.

La pseudonymisation selon qui reçoit les données

La Commission entend également revoir la définition d'une donnée personnelle. Une donnée pseudonymisée peut rester personnelle pour celui qui la collecte, comme une entreprise, mais devenir non personnelle pour le tiers - comme un sous-traitant - qui la reçoit, à condition que ce dernier ne dispose d'aucun moyen pour ré-identifier les individus.​

Ce qui change vraiment, c'est donc que le caractère personnel de la donnée devient relatif au destinataire. Si une entreprise ôte les noms et les coordonnées des utilisateurs, puis transmet les données à un consultant externe qui n'a aucun accès aux clés de correspondance, ces informations ne sont donc plus considérées comme personnelles. En revanche, l'entreprise qui procède à cette pseudonymisation reste responsable du traitement et garde l'intégralité de ses obligations.​

La Commission précise qu'avec le temps, elle est susceptible de faire évoluer la définition d'une donnée suffisamment pseudonymisée, par exemple, si un jour de nouveaux algorithmes sont capable de simplifient la ré-identification d'un individu.

©Shutterstock

Oui, vos données personnelles pourront entrainer les IA

Les entreprises pourront traiter des données personnelles pour entraîner des modèles d'IA sans recueillir le consentement explicite des personnes concernées. Deux conditions doivent être remplies : l'utilisation ne doit violer aucune loi européenne ou nationale, et le traitement doit respecter toutes les exigences du RGPD.​

Pour la Commission européenne, il s'agit évidemment de mieux se positionner sur le secteur de l'intelligence artificielle en cherchant à mettre en place un équilibre entre innovation et protection. La Commission prévoit un droit d'opposition, mais donc concrètement, l'UE met en place un système d'opt-out, privilégiant les algorithmes d'une entreprise sur les données personnelles du citoyen. À l'instar du droit à l'oubli, chacun peut demander à une entreprise de cesser d'utiliser ses données pour entraîner une IA. Combien de temps cela prendra-t-il ? Quelles seront les obligations de ces sociétés ? Comment faudra-t-il prouver que nos données personnelles sont bel et bien exploitées ? Et surtout, comment retirer effectivement les données d'un modèle déjà entraîné ? Plusieurs questions restent en suspens et pour l'heure, aucune solution technique n'est proposée. Le droit à l'oubli devient tout de suite très théorique.​

Mais ce n'est pas tout. Ce projet de loi autorise les développeurs d'IA à exploiter des données ultra-sensibles, comme les origines ethniques, les données de santé, ou les orientations politiques. La Commission explique qu'il s'agit de permettre aux entreprises de tester leurs systèmes et de vérifier qu'il n'y a pas de discrimination.

Concrètement, pour savoir si une IA discrimine les personnes d'une certaine origine, ou donne des diagnostics erronés pour un groupe d'âge spécifique, les développeurs estiment qu'il faut forcément analyser les résultats en comparant les décisions par rapport à ces catégories sensibles. Impossible, donc, de détecter la discrimination sans utiliser les données qui caractérisent les groupes concernés.

En revanche, le texte ne détaille pas les garanties qui encadreront ce traitement. Comment s'assurer que ces données sensibles ne sont pas conservées plus longtemps que nécessaire, voire réutilisées à d'autres fins ?

Simplifier les rapports des cyber-attaques

Face à la multiplication des incidents de cybersécurité, le Digital Package souhaite aussi créer un point d'entrée unique. Aujourd'hui, une entreprise victime d'une cyberattaque doit multiplier les déclarations et les formulaires selon différents textes, avec des destinataires différents.

  • RGPD pour les violations de données ;
  • directive NIS2 pour les services essentiels ;
  • règlement DORA pour les entités financières ;
  • directive CER pour les infrastructures critiques ;
  • règlement eIDAS pour l'identité numérique.

Le système proposé permet de soumettre un unique signalement via une interface centralisée gérée par l'Agence de l'Union européenne pour la cybersécurité (ENISA). Cette plateforme dispatcherait automatiquement les informations vers les autorités compétentes selon chaque réglementation applicable.

Source : Commission européenne