RGPD et paquet Omnibus 2025 : allègements pour les PME, nouveaux risques pour vos données — ce que doivent anticiper les DPO

Le paquet Omnibus numérique européen prépare une révision substantielle du RGPD, avec des allègements ciblés pour les PME mais aussi de nouveaux risques pour la protection des données personnelles. Proposé par la Commission européenne fin 2025, ce texte suscite autant d'espoir que d'inquiétude parmi les DPO, juristes d'entreprise et défenseurs des droits numériques. Dans cet article, nous décryptons les principales évolutions annoncées, leur articulation avec l'AI Act entré en vigueur en août 2024, et les points de vigilance concrets pour les acteurs français.

Vous découvrirez : ce que le paquet Omnibus modifie concrètement dans le RGPD, pourquoi le Sénat français s'y oppose partiellement, et ce que doivent anticiper les DPO dès maintenant.

Contexte juridique

Le paquet Omnibus numérique, proposé fin 2025, vise à simplifier plusieurs règlements européens dont le RGPD, pour alléger la charge des entreprises.

Le paquet Omnibus numérique (Digital Omnibus Package) est une initiative législative de la Commission européenne, officiellement présentée le 8 décembre 2025. Son objectif déclaré : réduire la charge réglementaire pesant sur les entreprises européennes, en particulier les PME, en révisant simultanément plusieurs textes fondamentaux du droit numérique européen.

Parmi les textes concernés figure en bonne place le Règlement général sur la protection des données (RGPD), adopté en 2016 et applicable depuis le 25 mai 2018. Le RGPD n'avait jusqu'ici jamais fait l'objet d'une révision formelle, malgré plusieurs rapports d'évaluation de la Commission. C'est une première.

Conformément à l'article 42, paragraphe 2, du RPDUE (Règlement sur le fonctionnement des institutions de l'Union européenne), la Commission a officiellement consulté le 11 février 2026 l'EDPB (Comité européen de la protection des données) et le CEPD (Contrôleur européen de la protection des données). Ces deux autorités ont globalement soutenu la démarche de simplification, tout en posant des conditions strictes pour préserver le niveau de protection des données.

Du côté français, le rapport d'information du Sénat sur l'Omnibus numérique européen, publié le 13 mai 2026, souligne que le volet "données" du texte « modifie de manière substantielle » le RGPD. Le 19 mai 2026, la commission des affaires européennes du Sénat a officiellement appelé le gouvernement à « défendre fermement l'acquis européen du RGPD » dans les négociations à Bruxelles.

Analyse approfondie

Le texte assouplit les obligations des PME, modifie le régime des données sensibles et repositionne les responsabilités entre responsables de traitement et sous-traitants.

Les principaux allègements proposés

Le projet de règlement introduit plusieurs mesures d'allègement ciblées :

1. Seuil de désignation du DPO relevé La proposition envisage de relever le seuil obligatoire de désignation d'un délégué à la protection des données (DPO) pour les PME. Actuellement, l'article 37 du RGPD impose cette désignation dès lors que les activités de base impliquent un suivi régulier et à grande échelle. Le nouveau texte introduirait un critère quantitatif (nombre de salariés, volume de données traités) pour exempter une partie des petites structures.

2. Allègement du registre des activités de traitement L'article 30 du RGPD impose à tout responsable de traitement de tenir un registre détaillé. Le paquet Omnibus envisage une version simplifiée pour les entreprises de moins de 500 salariés ne traitant pas de données sensibles, réduisant le nombre d'informations obligatoires à documenter.

3. Révision du régime des données sensibles (article 9) Point le plus controversé : la proposition touche à l'article 9 du RGPD, qui prévoit une interdiction expresse du traitement des données dites « sensibles » (santé, origine ethnique, convictions religieuses, orientation sexuelle, données biométriques, etc.), sauf dans des cas très limités. Le texte envisagerait d'élargir les bases légales autorisant ces traitements, notamment dans un contexte professionnel ou de recherche, ce qui inquiète fortement les associations de protection des droits.

4. Simplification des analyses d'impact (AIPD) Les analyses d'impact relatives à la protection des données (AIPD), obligatoires en vertu de l'article 35 du RGPD pour les traitements à risque élevé, pourraient être allégées ou standardisées via des modèles sectoriels pré-approuvés.

Articulation avec l'AI Act

L'articulation entre le paquet Omnibus et l'AI Act (Règlement UE 2024/1689, entré en vigueur en août 2024) est l'un des points de tension majeurs. L'AI Act impose des évaluations de conformité et des obligations de transparence pour les systèmes d'IA à haut risque — obligations qui reposent en grande partie sur le RGPD pour la gestion des données d'entraînement et d'utilisation.

Si le RGPD est assoupli sur le régime des données sensibles, des incohérences pourraient apparaître : un système d'IA utilisant des données biométriques pourrait se retrouver dans une zone grise entre les deux règlements. Les DPO devront naviguer entre deux corpus réglementaires dont la cohérence n'est pas pleinement assurée.

Tableau comparatif : RGPD actuel vs. propositions Omnibus

Les oppositions institutionnelles

La résistance au texte est forte. Le rapport sénatorial du 13 mai 2026 estime que certaines modifications « fragilisent des droits fondamentaux durement acquis ». L'EDPB, dans son avis du 11 février 2026, soutient la simplification administrative mais s'oppose explicitement à toute révision qui « réduirait le niveau de protection substantielle » garanti par le RGPD.

Des organisations de la société civile, comme celles relayées dans l'épisode podcast "Omnibus : la directive européenne inquiétante" (27 février 2026), alertent sur le risque d'un affaiblissement du consentement éclairé et d'une marchandisation accrue des données personnelles sous couvert de simplification.

Implications pratiques

Pour les DPO et juristes d'entreprise, le paquet Omnibus exige dès maintenant une veille active et une double lecture RGPD/AI Act sur tous les traitements sensibles.

Pour les entreprises (perspective employeur / responsable de traitement)

Les allègements annoncés sont séduisants sur le papier : moins de documentation obligatoire, DPO non imposé pour les petites structures, AIPD standardisées. Pour une TPE-PME française traitant des données clients classiques, la charge administrative pourrait effectivement diminuer.

Cependant, la vigilance reste de mise : - Les sanctions de l'article 83 du RGPD (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel) ne sont pas modifiées dans les propositions actuelles. - Les entreprises qui auront réduit leur conformité en anticipant les allègements s'exposeront si le texte final est moins libéral que prévu — le processus législatif européen est encore long. - La CNIL, dans ses prises de position récentes, a indiqué qu'elle maintiendrait un niveau d'exigence élevé quelle que soit l'issue des négociations.

Pour les salariés et personnes concernées (perspective individuelle)

L'élargissement potentiel des bases légales pour le traitement des données sensibles en contexte professionnel est un signal préoccupant. Des données de santé, des données biométriques ou des données relatives à la vie privée pourraient être traitées plus facilement par les employeurs, avec un risque accru de profilage ou de surveillance au travail.

Le droit au retrait du consentement (article 7 RGPD) et le droit à l'effacement (article 17 RGPD) ne sont pas remis en cause formellement, mais leur effectivité pratique dépendra de la robustesse des mécanismes de contrôle maintenus.

Points clés à retenir

• Le paquet Omnibus numérique, proposé en décembre 2025, prépare la première révision formelle du RGPD depuis son adoption en 2016.
• Les allègements ciblent principalement les PME : seuils de désignation du DPO, registre simplifié, AIPD standardisées.
• La révision de l'article 9 sur les données sensibles est le point le plus controversé, opposant Commission européenne et autorités de protection des données.
• Le Sénat français, dans son rapport du 13 mai 2026, demande au gouvernement de défendre l'acquis RGPD face aux risques d'affaiblissement.
• L'articulation avec l'AI Act crée des zones de tension juridique non résolues, notamment sur les données d'entraînement des systèmes d'IA à haut risque.
• Les sanctions financières du RGPD restent inchangées dans les propositions actuelles : les entreprises imprudentes s'exposent toujours aux mêmes risques.
• Les DPO doivent engager dès maintenant une veille législative et ne pas anticiper des allègements dont le contenu final reste incertain.

Questions fréquentes

Qu'est-ce que le paquet Omnibus numérique européen ?

Le paquet Omnibus numérique est une initiative législative de la Commission européenne, présentée le 8 décembre 2025, visant à simplifier plusieurs règlements du droit numérique européen dont le RGPD. Il s'agit de la première tentative de révision formelle du RGPD depuis son application en 2018, principalement pour alléger la charge réglementaire des PME.

Le RGPD va-t-il être supprimé ou remplacé par l'Omnibus numérique ?

Non, le RGPD ne sera pas supprimé. Le paquet Omnibus propose des modifications ciblées de certains articles (notamment les articles 9, 30, 35 et 37), mais le règlement reste en vigueur dans sa structure fondamentale. Les droits essentiels des personnes concernées — accès, rectification, effacement — ne sont pas remis en cause.

Les PME françaises vont-elles vraiment être exemptées de désigner un DPO ?

Pas nécessairement. La proposition envisage de relever les seuils de désignation obligatoire du DPO (article 37 RGPD) en introduisant des critères quantitatifs. Mais le texte final n'est pas encore adopté, et la CNIL a indiqué qu'elle resterait vigilante. Les PME traitant des données sensibles resteraient probablement soumises à l'obligation.

Quelles sont les sanctions encourues si une entreprise ne respecte pas le RGPD en 2026 ?

Les sanctions de l'article 83 du RGPD restent inchangées dans les propositions actuelles : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel pour les violations les plus graves. En France, la CNIL peut également prononcer des avertissements, des mises en demeure et rendre publiques ses sanctions.

Comment le paquet Omnibus s'articule-t-il avec l'AI Act ?

L'AI Act, entré en vigueur en août 2024, impose des obligations de transparence et d'évaluation pour les systèmes d'IA à haut risque, qui s'appuient en grande partie sur le RGPD pour la gestion des données. Un assouplissement du régime des données sensibles dans le RGPD pourrait créer des incohérences avec les exigences de l'AI Act, notamment pour les systèmes utilisant des données biométriques ou de santé.

Quel est le calendrier législatif prévu pour l'adoption du paquet Omnibus ?

À la date de juin 2026, le texte est en cours de négociation entre la Commission européenne, le Parlement européen et le Conseil de l'UE. Le processus de codécision européen prend généralement 18 à 36 mois. Une adoption avant fin 2027 serait optimiste ; les entreprises ne doivent pas anticiper d'allègements immédiats.

Pourquoi le Sénat français s'oppose-t-il à certaines dispositions de l'Omnibus numérique ?

Dans son rapport du 13 mai 2026, le Sénat estime que le volet "données" de l'Omnibus « modifie de manière substantielle » le RGPD au risque de fragiliser des droits fondamentaux. Le 19 mai 2026, la commission des affaires européennes a formellement demandé au gouvernement français de « défendre fermement l'acquis européen du RGPD » dans les négociations bruxelloises, craignant notamment un affaiblissement de la protection des données sensibles.

Que doivent faire concrètement les DPO en attendant l'adoption du texte ?

Les DPO doivent maintenir leur niveau de conformité actuel, sans anticiper d'allègements non encore adoptés. Il est recommandé : (1) d'engager une veille régulière sur l'avancement du texte Omnibus ; (2) de cartographier les traitements qui pourraient être affectés par la révision de l'article 9 ; (3) de préparer une double analyse de conformité RGPD/AI Act pour tout nouveau projet impliquant de l'intelligence artificielle.

Sources : Rapport d'information du Sénat sur l'Omnibus numérique européen (13 mai 2026) ; Résolution de la commission des affaires européennes du Sénat (19 mai 2026) ; Avis EDPB/CEPD (11 février 2026) ; Proposition de règlement Digital Omnibus, Commission européenne (8 décembre 2025) ; Dalloz Actualité, podcast "RGPD à bord de l'Omnibus numérique".