La proposition Digital Omnibus promet une simplification du RGPD. Votre programme de conformité vient de se compliquer.
Le 19.11.2025, la Commission européenne a publié des projets d'amendements au RGPD portant sur les AIPD, les seuils de notification de violation, les exemptions du registre des traitements et la définition même des données à caractère personnel. La Commission parle de « simplification ». Pour les programmes de protection des données multi-entités, cela signifie de nouveaux seuils, des cadres de conformité parallèles pendant la transition et une mosaïque d'obligations entre filiales de tailles différentes.
Priverion suit déjà chaque changement proposé et prépare les mises à jour de configuration afin que votre programme de protection des données s'adapte sans repartir de zéro.
750
Nouveau seuil d'effectif proposé pour les exemptions du registre des traitements, contre 250 auparavant
Avis conjoint CEPD/CEPD-EDPS, juillet 2025
96 h
Délai de notification de violation proposé, porté de 72 heures
Proposition de règlement Digital Omnibus, art. 33
À l'échelle de l'UE
Des listes d'AIPD harmonisées pour remplacer des exigences nationales fragmentées
Amendements proposés à l'art. 35 du RGPD
Six changements du Digital Omnibus qui redéfinissent votre programme de conformité
La Commission européenne a publié son paquet Digital Omnibus le 19.11.2025, proposant des amendements ciblés au RGPD, à la directive ePrivacy, à la directive NIS2 et plus encore. Chacun des changements ci-dessous a des implications concrètes pour les programmes de protection des données multi-entités.
Seuils du registre des traitements
Exemptions du registre des traitements pour les organisations de moins de 750 employés
L'amendement proposé à l'article 30 obligerait les organisations de moins de 750 employés à tenir un registre des traitements uniquement lorsque le traitement est susceptible d'engendrer un risque élevé pour les personnes concernées. Pour les groupes multi-entités, cela crée une scission : certaines filiales pourraient bénéficier de l'exemption tandis que d'autres non, contraignant votre équipe protection des données à gérer deux standards parallèles au sein du groupe.
Analyse Considerati de l'amendement proposé à l'article 30 du RGPD, 2025
Harmonisation des AIPD
Des listes d'AIPD à l'échelle de l'UE remplacent les exigences nationales
Le CEPD établirait des listes unifiées des activités de traitement qui nécessitent ou non une AIPD, supplantant toutes les listes nationales existantes des autorités de contrôle. Un modèle et une méthodologie standardisés seraient également introduits, révisés au moins tous les trois ans. Jusqu'à ce que la Commission adopte les actes d'exécution, les listes nationales existantes restent en vigueur, créant une période transitoire de double exigence.
Analyse White & Case, projet d'art. 35 du RGPD amendé, déc. 2025
Notification de violation
Seuil relevé et délai prolongé pour les déclarations de violation
Le seuil de notification ne s'appliquerait plus qu'au « risque élevé », et le délai de déclaration passerait de 72 à 96 heures. Un point d'entrée unique de déclaration des incidents couvrant le RGPD, NIS2 et DORA serait également instauré. Pour les organisations qui ont déjà élaboré des procédures de 72 heures auprès de plusieurs autorités de contrôle, chaque flux de travail et chaque matrice d'escalade devra être recalibré.
Avis conjoint CEPD et CEPD-EDPS sur le Digital Omnibus, févr. 2026
Définition des données à caractère personnel
L'identifiabilité relative restreint le champ des « données à caractère personnel »
Une donnée ne serait qualifiée de « personnelle » que pour une entité disposant de moyens raisonnablement susceptibles d'être utilisés pour identifier la personne. Le CEPD et le CEPD-EDPS invitent vivement les colégislateurs à ne pas adopter ce changement, avertissant qu'il pourrait « affaiblir sensiblement la protection des données des individus ». Pour les programmes de protection des données, cela implique de réévaluer les inventaires de données afin de déterminer quels ensembles restent dans le champ d'application, entité par entité.
Déclaration CEPD/CEPD-EDPS sur le Digital Omnibus, févr. 2026
IA et intérêt légitime
Une nouvelle base légale pour l'entraînement de l'IA sur des données à caractère personnel
La proposition reconnaîtrait explicitement le développement et l'exploitation de l'IA comme un intérêt légitime au sens du RGPD, sous réserve de tests de nécessité et de proportionnalité. Les responsables du traitement doivent néanmoins minimiser les données utilisées pour l'entraînement et accorder aux personnes concernées un droit d'opposition inconditionnel. Pour les organisations qui déploient l'IA dans leurs filiales, cela introduit une nouvelle catégorie d'activités de traitement à suivre, évaluer et documenter à l'échelle du groupe.
Analyse Covington, Inside Privacy, nov. 2025
Calendrier législatif
Des négociations en trilogue à venir : rien ne change aujourd'hui, tout change demain
La proposition suit désormais la procédure législative ordinaire avec le Parlement européen et le Conseil. Des négociations en trilogue sont attendues d'ici le printemps 2026, l'adoption définitive étant possible à la mi-2026 ou plus tard. Pendant cette période de transition, les organisations devront maintenir leur conformité actuelle au RGPD tout en se préparant aux exigences modifiées. Les règles du jeu pourraient évoluer à plusieurs reprises avant que le texte final ne soit arrêté.
Analyse du calendrier législatif Bird & Bird, nov. 2025
Le suivi des évolutions réglementaires de Priverion maintient votre programme de protection des données aligné à mesure que ces propositions évoluent, pour ne jamais avoir à tout reconstruire.
Découvrir la plateformeChaque changement proposé trouve une réponse opérationnelle dans votre plateforme de protection des données
Le Digital Omnibus ne se contente pas de modifier les règles. Il change votre manière d'opérer dans chaque entité. Voici comment Priverion maintient votre programme prêt, changement après changement.
Scission du seuil du registre des traitements
Gérer deux standards au sein d'un même groupe
Lorsque certaines filiales passent sous le seuil de 750 employés et d'autres non, vos exigences relatives au registre des traitements se fragmentent. La gestion multi-entités du registre des traitements de Priverion vous permet de configurer les obligations par entité, avec une recertification automatisée pour celles qui restent concernées et des pistes d'audit claires pour celles qui bénéficient de l'exemption.
Un assureur suisse a atteint un taux de recertification du registre des traitements de 100 % grâce à des flux de travail entièrement automatisés
Période de transition de l'AIPD
Composer avec des exigences doubles sans dédoubler le travail
Jusqu'à l'adoption des listes d'AIPD unifiées du CEPD, les listes nationales restent en vigueur. L'automatisation de l'AIPD assistée par IA de Priverion met en correspondance vos activités de traitement avec les exigences nationales actuelles et les critères proposés à l'échelle de l'UE, en signalant les points où vos obligations évolueront, pour que vous puissiez vous préparer plutôt que réagir.
L'IA aide à la rédaction et à la cotation du risque ; chaque résultat est revu avant de devenir un enregistrement de conformité
Recalibrage de la notification de violation
Mettre à jour chaque procédure, dans chaque relation avec une autorité de contrôle
Passer de 72 à 96 heures et du « risque » au « risque élevé » signifie que chaque flux de travail incident doit être recalibré. Le module de gestion des incidents de Priverion vous permet de mettre à jour les seuils de notification et les délais d'escalade de manière centralisée, puis de répercuter ces changements sur le processus de réponse aux violations de chaque entité.
Réévaluation de l'inventaire des données
Réévaluer ce qui constitue une donnée à caractère personnel, entité par entité
Si l'« identifiabilité relative » devient loi, des ensembles de données qui constituent des données à caractère personnel pour une filiale pourraient ne pas l'être pour une autre. La cartographie des données multi-entités de Priverion vous donne la visibilité nécessaire pour évaluer les moyens d'identification de chaque entité et documenter le raisonnement, en produisant des dossiers de preuves prêts pour l'audit en quelques minutes plutôt qu'en quelques semaines.
Un établissement de santé a atteint une couverture de 100 % de l'évaluation des risques fournisseurs dans toutes ses entités
Documentation des traitements liés à l'IA
Suivre une nouvelle catégorie d'activités de traitement à l'échelle du groupe
Avec la reconnaissance du développement de l'IA comme intérêt légitime, chaque filiale déployant de l'IA doit disposer d'évaluations documentées de nécessité et de proportionnalité. Le registre d'IA de Priverion, conçu pour la conformité au règlement européen sur l'IA, offre la structure permettant de recenser, d'évaluer et de documenter les activités de traitement liées à l'IA dans l'ensemble de votre groupe.
Aucune donnée client n'est utilisée pour l'entraînement des modèles. L'IA assiste, les humains décident.
Suivi des évolutions réglementaires
Rester à jour à mesure que les règles du jeu changent
Les négociations en trilogue impliquent que le texte final pourrait différer sensiblement de la proposition actuelle. Le suivi des évolutions réglementaires de Priverion surveille chaque évolution, alerte votre équipe en cas de changement substantiel et prépare les mises à jour de configuration afin que votre programme de protection des données s'adapte sans repartir de zéro. Vous maintenez votre conformité actuelle au RGPD tout en vous préparant à la suite.
Opérationnel en quelques semaines, pas en quelques mois. Un constructeur aéronautique a été opérationnel en moins de 6 mois.
Des résultats qui parlent d'eux-mêmes
Des résultats concrets obtenus par de véritables équipes de conformité
200+
Heures économisées sur la préparation ISO 27001
Une entreprise de technologie médicale a économisé plus de 200 heures de documentation manuelle et de collecte de preuves pour sa certification ISO 27001, alors que le délai moyen du secteur se situe entre 6 et 12 mois.
Une entreprise de technologie médicale, mesuré lors de la préparation ISO 27001
60 %
de coûts en moins par rapport aux plateformes historiques
Les suites de protection des données pour grandes entreprises coûtent couramment six chiffres par an, avec une tarification modulaire qui s'envole à mesure que vous croissez. La tarification prévisible et par société de Priverion élimine les pièges d'extension et les frais par utilisateur.
D'après des comparaisons de coûts clients ; données Vendr, février 2026
60 %
de temps administratif de conformité en moins
Un constructeur aéronautique a réduit de 60 % son temps administratif de conformité au cours de ses six premiers mois, passant de mises à jour manuelles du registre des traitements dans ses filiales à une recertification entièrement automatisée.
Constructeur aéronautique, 6 premiers mois sur Priverion
Une gestion de la protection des données de niveau entreprise, sans la complexité de l'entreprise
Les équipes protection des données du mid-market ont besoin d'outils conçus pour leur réalité : des équipes réduites, plusieurs entités, des budgets serrés. Voici comment Priverion se compare aux plateformes historiques comme OneTrust sur les aspects qui comptent le plus.
Priverion
Conçu pour les équipes multi-entités du mid-market
Souveraineté des données suisse
Tout le traitement des données reste au sein de l'infrastructure suisse. La Suisse bénéficie d'une décision d'adéquation de l'UE, ce qui signifie que vos données de conformité ne touchent jamais une juridiction présentant un risque de surveillance de masse.
Décision d'adéquation de la CE pour la Suisse au titre de l'art. 45 du RGPD
Tarification prévisible
Un prix unique basé sur le nombre de sociétés et la taille de l'organisation. Aucun frais par utilisateur, aucun frais par module, aucune mauvaise surprise au renouvellement.
Opérationnel en quelques semaines
Conçu pour les équipes protection des données réduites. Un constructeur aéronautique est passé des tableurs manuels à la recertification automatisée du registre des traitements en ses 6 premiers mois, réduisant de 60 % son temps administratif de conformité.
Constructeur aéronautique, 6 premiers mois de déploiement
Plateforme tout-en-un
Registre des traitements, AIPD/TIA, risque fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, cartographie des données, registre d'IA et tableaux de bord de conformité, le tout dans une plateforme unique. Aucun assemblage de lots de modules.
Assisté par IA, piloté par l'humain
L'IA aide à la rédaction des AIPD, à la cotation du risque et à la mise en correspondance réglementaire. Chaque résultat est revu avant de devenir un enregistrement de conformité. Aucune donnée client n'est utilisée pour l'entraînement des modèles.
Plateforme d'entreprise classique
Conçue pour les acheteurs du Fortune 500
Hébergement des données aux États-Unis
Le risque de transfert transfrontalier reste une préoccupation bien réelle. Le cadre de protection des données UE-États-Unis fait l'objet de contestations juridiques persistantes, et une éventuelle affaire « Schrems III » se profile à l'horizon.
Enquête DLA Piper sur les amendes RGPD et les violations de données, janvier 2026
Tarification opaque et modulaire
Chaque module est facturé selon sa propre métrique, et les coûts peuvent grimper de façon inattendue à mesure que les équipes ou les volumes de données augmentent. Les seuls frais de mise en œuvre peuvent ajouter de 10'000 à 50'000 USD aux coûts de la première année.
Analyse tarifaire Vendr, février 2026 ; étude de marché Enzuzo, mars 2026
Mise en place de plusieurs semaines à plusieurs mois
Les utilisateurs citent fréquemment la nécessité de périodes de configuration prolongées. Un évaluateur du mid-market a fait état de « plusieurs semaines uniquement pour configurer les flux de travail et cartographier nos données » avant la mise en production.
Avis vérifiés G2, 2025
Architecture modulaire
Cinq gammes de produits distinctes, chacune facturée indépendamment. Configurer et maintenir la plateforme demande un temps et des efforts considérables, en particulier pour les équipes réduites gérant la protection des données entre plusieurs entités.
Avis vérifiés Capterra, 2025
Une expérience riche mais déroutante
Un éventail de fonctionnalités complet, mais plusieurs évaluateurs notent que l'interface peut sembler encombrée. La courbe d'apprentissage abrupte et la complexité alourdissent la charge des équipes protection des données qui ne disposent pas d'administrateurs de plateforme dédiés.
Avis agrégés G2 et Capterra, 2025
Ce que nous ne couvrons pas (et pourquoi c'est un atout)
Priverion n'inclut ni reporting ESG, ni lignes d'alerte éthique, ni gestion du consentement aux cookies. Nous nous concentrons entièrement sur la gestion des programmes de protection des données pour les organisations opérant à travers plusieurs entités et juridictions. Si vous avez besoin d'une plateforme de protection des données qui accomplit une mission exceptionnellement bien dans l'ensemble de votre groupe, c'est précisément ce que nous avons conçu.
Nous nous intégrons en profondeur aux systèmes qui comptent pour les flux de travail de protection des données, notamment les RH, les achats et la gestion des actifs informatiques, plutôt que de proposer 200 connecteurs superficiels qui génèrent une charge de maintenance.
Curieux de savoir comment se déroule réellement le passage à Priverion ?
Découvrez comment un constructeur aéronautique est passé de 47 tableurs à une gestion automatisée de la protection des données à l'échelle du groupe.
Réserver une démonstration de 30 minCe que les DPD et les responsables conformité demandent au sujet du Digital Omnibus
Quand ces changements du RGPD entreront-ils réellement en vigueur ?
La proposition Digital Omnibus doit suivre la procédure législative ordinaire, comprenant l'examen en commission du Parlement européen, les négociations du Conseil et le trilogue. L'adoption définitive est attendue au plus tôt vers la mi-2027, suivie d'une période de mise en œuvre. Rien ne change dans vos obligations légales aujourd'hui, mais le moment de préparer votre programme, c'est maintenant, pas après la publication du texte final.
Analyse du calendrier législatif Bird & Bird, nov. 2025
Notre groupe compte des filiales au-dessus et au-dessous de 750 employés. Qu'advient-il de notre registre des traitements ?
Selon les changements proposés, les filiales de moins de 750 employés n'auraient besoin d'un registre des traitements que pour les activités de traitement à risque élevé. Les filiales plus grandes conservent l'ensemble de leurs obligations en la matière. Cela crée un standard de conformité divergent au sein d'un même groupe. Priverion vous permet de configurer les exigences du registre des traitements par entité, afin de gérer les deux standards depuis une seule plateforme, sans dédoubler le travail ni perdre en visibilité.
Analyse Considerati de l'amendement proposé à l'article 30 du RGPD, 2025
Nous avons déjà élaboré des procédures de notification de violation à 72 heures. Devons-nous les reconstruire ?
S'il est adopté, le délai prolongé à 96 heures et le seuil relevé au « risque élevé » nécessiteront de recalibrer chaque flux de travail incident, chaque matrice d'escalade et chaque modèle de déclaration auprès des autorités de contrôle. Le module de gestion des incidents de Priverion vous permet de mettre à jour ces éléments de manière centralisée et de répercuter les changements sur chaque entité, pour que vous reconfiguriez une seule fois au lieu de reconstruire les procédures filiale par filiale.
Avis conjoint CEPD et CEPD-EDPS sur le Digital Omnibus, févr. 2026
Comment le changement proposé de la définition des « données à caractère personnel » affecte-t-il nos inventaires de données ?
L'approche par identifiabilité relative signifie qu'un ensemble de données pourrait constituer des « données à caractère personnel » pour une entité de votre groupe mais pas pour une autre, selon les moyens d'identification de chacune. Cela exige de réévaluer les inventaires de données entité par entité et de documenter le raisonnement. La cartographie des données multi-entités de Priverion offre la visibilité nécessaire pour le faire de manière systématique et génère des dossiers de preuves prêts pour l'audit.
Déclaration CEPD/CEPD-EDPS sur le Digital Omnibus, févr. 2026
Priverion peut-il prendre en charge plus de 50 entités réparties sur plusieurs juridictions ?
Oui. Priverion est conçu pour les groupes multi-entités. Nous accompagnons des organisations comptant plus de 50 entités sur plusieurs juridictions, avec une cartographie des données multi-entités, une recertification automatisée du registre des traitements et des tableaux de bord de conformité centralisés. La plateforme est opérationnelle en quelques semaines, pas en quelques mois. Un constructeur aéronautique est passé de 47 tableurs à une gestion automatisée de la protection des données à l'échelle du groupe en ses 6 premiers mois.
Constructeur aéronautique, 6 premiers mois sur Priverion
L'IA de Priverion est-elle sûre pour le travail de conformité ?
Toutes les données sont traitées au sein de l'infrastructure suisse. L'IA aide à la rédaction des AIPD, à la cotation du risque et à la mise en correspondance réglementaire, mais chaque résultat est revu par un humain avant de devenir un enregistrement de conformité. Aucune donnée client n'est utilisée pour l'entraînement des modèles. L'IA assiste, les humains décident.
La note du DPD : ce que le Digital Omnibus signifie pour votre programme de protection des données
La proposition Digital Omnibus de la Commission européenne introduit les changements les plus significatifs apportés au RGPD depuis 2018, avec une adoption attendue vers la mi-2027. Ce guide en langage clair décrypte la complexité juridique et vous indique précisément à quels changements vous préparer dans l'ensemble des entités de votre groupe.
Dans ce guide, vous trouverez :
- 1. Une analyse détaillée de chaque amendement proposé au RGPD : de la nouvelle exemption du registre des traitements pour les organisations de moins de 750 employés, aux exigences d'AIPD simplifiées et au point d'entrée unique de déclaration des violations
- 2. Ce que l'avis conjoint du CEPD et du CEPD-EDPS signale comme « préoccupations majeures », notamment les changements proposés à la définition des données à caractère personnel que les régulateurs invitent les colégislateurs à ne pas adopter
- 3. Une liste de contrôle de préparation multi-entités couvrant la migration du consentement aux cookies de la directive ePrivacy vers le RGPD, les nouvelles dérogations relatives aux traitements liés à l'IA et les changements d'harmonisation transfrontalière
- 4. Un calendrier législatif réaliste pour savoir quand agir, et pas seulement quoi suivre, avec les jalons des négociations en trilogue et d'une adoption potentielle clairement identifiés
Sources : la proposition officielle de la Commission européenne et l'avis conjoint CEPD/CEPD-EDPS (février 2026).
Téléchargez votre exemplaire gratuit
Procurez-vous le guide qui aide déjà les DPD de toute l'Europe à se préparer aux changements du Digital Omnibus.
PDF gratuit. Sans démonstration requise. Nous vous l'envoyons par e-mail.
Pourquoi cela compte dès maintenant
La Commission vise à réduire la bureaucratie de 25 % au global et de 35 % pour les PME. Près de 38'000 entreprises de l'UE sont éligibles à la nouvelle catégorie des petites entreprises de taille intermédiaire.
Commission européenne, paquet de simplification (mai 2025)
Du chaos des tableurs au travail stratégique de protection des données
« Nous consacrions la majeure partie de notre temps administratif de conformité aux mises à jour manuelles du registre des traitements, à relancer les unités opérationnelles dans plusieurs filiales ; nous sommes passés à une recertification entièrement automatisée. Notre DPD se concentre désormais sur le travail stratégique de protection des données plutôt que sur la maintenance de tableurs. »
Constructeur aéronautique
Réduction de 60 % du temps administratif de conformité, 6 premiers mois
« Priverion nous a donné une visibilité complète sur le risque fournisseurs dans chaque entité. Nous avons atteint une couverture de 100 % de l'évaluation des risques fournisseurs, ce qui aurait demandé des mois d'efforts manuels avec des tableurs. »
Un établissement de santé
Couverture de 100 % de l'évaluation des risques fournisseurs dans toutes les entités
Arrêtez de gérer la conformité dans des tableurs
Votre DPD a mieux à faire que de relancer les mises à jour du registre des traitements dans 47 tableurs
Avec un cumul d'amendes RGPD dépassant désormais 7,1 milliards EUR et plus de 443 notifications de violation reçues par jour par les régulateurs, les processus de conformité manuels constituent un risque. Les organisations multi-entités ont besoin d'une plateforme qui évolue avec elles, et non contre elles.
Sources : enquête DLA Piper sur les amendes RGPD et les violations de données, janvier 2026 ; CMS GDPR Enforcement Tracker
60 %
de réduction du temps administratif de conformité
Constructeur aéronautique, 6 premiers mois
200+
heures économisées dans la préparation ISO 27001
Une entreprise de technologie médicale
100 %
de recertification du registre des traitements, entièrement automatisée
Un assureur suisse
Conçu et hébergé en Suisse
Assisté par IA, piloté par l'humain
Tarification prévisible, sans pièges par utilisateur
Sans argumentaire de vente. Découvrez Priverion à l'œuvre avec votre cas d'usage. Opérationnel en quelques semaines, pas en quelques mois.
The Privacy Compliance Briefing
Des analyses mensuelles sur l'application du RGPD et la nLPD


