Note d'information sur l'évolution réglementaire

La proposition Digital Omnibus promet une simplification du RGPD. Votre programme de conformité vient de se compliquer.

Mise à jour le 2026-06-23
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les organisations multi-entités à suivre les amendements du RGPD prévus par le Digital Omnibus de l'UE et à s'y adapter.

Le 19.11.2025, la Commission européenne a publié des projets d'amendements au RGPD portant sur les AIPD, les seuils de notification de violation, les exemptions du registre des traitements et la définition même des données à caractère personnel. La Commission parle de « simplification ». Pour les programmes de protection des données multi-entités, cela signifie de nouveaux seuils, des cadres de conformité parallèles pendant la transition et une mosaïque d'obligations entre filiales de tailles différentes.

Priverion suit déjà chaque changement proposé et prépare les mises à jour de configuration afin que votre programme de protection des données s'adapte sans repartir de zéro.

750

Nouveau seuil d'effectif proposé pour les exemptions du registre des traitements, contre 250 auparavant

Avis conjoint CEPD/CEPD-EDPS, juillet 2025

96 h

Délai de notification de violation proposé, porté de 72 heures

Proposition de règlement Digital Omnibus, art. 33

À l'échelle de l'UE

Des listes d'AIPD harmonisées pour remplacer des exigences nationales fragmentées

Amendements proposés à l'art. 35 du RGPD

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Principaux changements proposés au RGPD

Six changements du Digital Omnibus qui redéfinissent votre programme de conformité

La Commission européenne a publié son paquet Digital Omnibus le 19.11.2025, proposant des amendements ciblés au RGPD, à la directive ePrivacy, à la directive NIS2 et plus encore. Chacun des changements ci-dessous a des implications concrètes pour les programmes de protection des données multi-entités.

Seuils du registre des traitements

Exemptions du registre des traitements pour les organisations de moins de 750 employés

L'amendement proposé à l'article 30 obligerait les organisations de moins de 750 employés à tenir un registre des traitements uniquement lorsque le traitement est susceptible d'engendrer un risque élevé pour les personnes concernées. Pour les groupes multi-entités, cela crée une scission : certaines filiales pourraient bénéficier de l'exemption tandis que d'autres non, contraignant votre équipe protection des données à gérer deux standards parallèles au sein du groupe.

Analyse Considerati de l'amendement proposé à l'article 30 du RGPD, 2025

Harmonisation des AIPD

Des listes d'AIPD à l'échelle de l'UE remplacent les exigences nationales

Le CEPD établirait des listes unifiées des activités de traitement qui nécessitent ou non une AIPD, supplantant toutes les listes nationales existantes des autorités de contrôle. Un modèle et une méthodologie standardisés seraient également introduits, révisés au moins tous les trois ans. Jusqu'à ce que la Commission adopte les actes d'exécution, les listes nationales existantes restent en vigueur, créant une période transitoire de double exigence.

Analyse White & Case, projet d'art. 35 du RGPD amendé, déc. 2025

Notification de violation

Seuil relevé et délai prolongé pour les déclarations de violation

Le seuil de notification ne s'appliquerait plus qu'au « risque élevé », et le délai de déclaration passerait de 72 à 96 heures. Un point d'entrée unique de déclaration des incidents couvrant le RGPD, NIS2 et DORA serait également instauré. Pour les organisations qui ont déjà élaboré des procédures de 72 heures auprès de plusieurs autorités de contrôle, chaque flux de travail et chaque matrice d'escalade devra être recalibré.

Avis conjoint CEPD et CEPD-EDPS sur le Digital Omnibus, févr. 2026

Définition des données à caractère personnel

L'identifiabilité relative restreint le champ des « données à caractère personnel »

Une donnée ne serait qualifiée de « personnelle » que pour une entité disposant de moyens raisonnablement susceptibles d'être utilisés pour identifier la personne. Le CEPD et le CEPD-EDPS invitent vivement les colégislateurs à ne pas adopter ce changement, avertissant qu'il pourrait « affaiblir sensiblement la protection des données des individus ». Pour les programmes de protection des données, cela implique de réévaluer les inventaires de données afin de déterminer quels ensembles restent dans le champ d'application, entité par entité.

Déclaration CEPD/CEPD-EDPS sur le Digital Omnibus, févr. 2026

IA et intérêt légitime

Une nouvelle base légale pour l'entraînement de l'IA sur des données à caractère personnel

La proposition reconnaîtrait explicitement le développement et l'exploitation de l'IA comme un intérêt légitime au sens du RGPD, sous réserve de tests de nécessité et de proportionnalité. Les responsables du traitement doivent néanmoins minimiser les données utilisées pour l'entraînement et accorder aux personnes concernées un droit d'opposition inconditionnel. Pour les organisations qui déploient l'IA dans leurs filiales, cela introduit une nouvelle catégorie d'activités de traitement à suivre, évaluer et documenter à l'échelle du groupe.

Analyse Covington, Inside Privacy, nov. 2025

Calendrier législatif

Des négociations en trilogue à venir : rien ne change aujourd'hui, tout change demain

La proposition suit désormais la procédure législative ordinaire avec le Parlement européen et le Conseil. Des négociations en trilogue sont attendues d'ici le printemps 2026, l'adoption définitive étant possible à la mi-2026 ou plus tard. Pendant cette période de transition, les organisations devront maintenir leur conformité actuelle au RGPD tout en se préparant aux exigences modifiées. Les règles du jeu pourraient évoluer à plusieurs reprises avant que le texte final ne soit arrêté.

Analyse du calendrier législatif Bird & Bird, nov. 2025

Le suivi des évolutions réglementaires de Priverion maintient votre programme de protection des données aligné à mesure que ces propositions évoluent, pour ne jamais avoir à tout reconstruire.

Découvrir la plateforme
Comment Priverion vous aide

Chaque changement proposé trouve une réponse opérationnelle dans votre plateforme de protection des données

Le Digital Omnibus ne se contente pas de modifier les règles. Il change votre manière d'opérer dans chaque entité. Voici comment Priverion maintient votre programme prêt, changement après changement.

Scission du seuil du registre des traitements

Gérer deux standards au sein d'un même groupe

Lorsque certaines filiales passent sous le seuil de 750 employés et d'autres non, vos exigences relatives au registre des traitements se fragmentent. La gestion multi-entités du registre des traitements de Priverion vous permet de configurer les obligations par entité, avec une recertification automatisée pour celles qui restent concernées et des pistes d'audit claires pour celles qui bénéficient de l'exemption.

Un assureur suisse a atteint un taux de recertification du registre des traitements de 100 % grâce à des flux de travail entièrement automatisés

Période de transition de l'AIPD

Composer avec des exigences doubles sans dédoubler le travail

Jusqu'à l'adoption des listes d'AIPD unifiées du CEPD, les listes nationales restent en vigueur. L'automatisation de l'AIPD assistée par IA de Priverion met en correspondance vos activités de traitement avec les exigences nationales actuelles et les critères proposés à l'échelle de l'UE, en signalant les points où vos obligations évolueront, pour que vous puissiez vous préparer plutôt que réagir.

L'IA aide à la rédaction et à la cotation du risque ; chaque résultat est revu avant de devenir un enregistrement de conformité

Recalibrage de la notification de violation

Mettre à jour chaque procédure, dans chaque relation avec une autorité de contrôle

Passer de 72 à 96 heures et du « risque » au « risque élevé » signifie que chaque flux de travail incident doit être recalibré. Le module de gestion des incidents de Priverion vous permet de mettre à jour les seuils de notification et les délais d'escalade de manière centralisée, puis de répercuter ces changements sur le processus de réponse aux violations de chaque entité.

Réévaluation de l'inventaire des données

Réévaluer ce qui constitue une donnée à caractère personnel, entité par entité

Si l'« identifiabilité relative » devient loi, des ensembles de données qui constituent des données à caractère personnel pour une filiale pourraient ne pas l'être pour une autre. La cartographie des données multi-entités de Priverion vous donne la visibilité nécessaire pour évaluer les moyens d'identification de chaque entité et documenter le raisonnement, en produisant des dossiers de preuves prêts pour l'audit en quelques minutes plutôt qu'en quelques semaines.

Un établissement de santé a atteint une couverture de 100 % de l'évaluation des risques fournisseurs dans toutes ses entités

Documentation des traitements liés à l'IA

Suivre une nouvelle catégorie d'activités de traitement à l'échelle du groupe

Avec la reconnaissance du développement de l'IA comme intérêt légitime, chaque filiale déployant de l'IA doit disposer d'évaluations documentées de nécessité et de proportionnalité. Le registre d'IA de Priverion, conçu pour la conformité au règlement européen sur l'IA, offre la structure permettant de recenser, d'évaluer et de documenter les activités de traitement liées à l'IA dans l'ensemble de votre groupe.

Aucune donnée client n'est utilisée pour l'entraînement des modèles. L'IA assiste, les humains décident.

Suivi des évolutions réglementaires

Rester à jour à mesure que les règles du jeu changent

Les négociations en trilogue impliquent que le texte final pourrait différer sensiblement de la proposition actuelle. Le suivi des évolutions réglementaires de Priverion surveille chaque évolution, alerte votre équipe en cas de changement substantiel et prépare les mises à jour de configuration afin que votre programme de protection des données s'adapte sans repartir de zéro. Vous maintenez votre conformité actuelle au RGPD tout en vous préparant à la suite.

Opérationnel en quelques semaines, pas en quelques mois. Un constructeur aéronautique a été opérationnel en moins de 6 mois.

Des résultats qui parlent d'eux-mêmes

Des résultats concrets obtenus par de véritables équipes de conformité

200+

Heures économisées sur la préparation ISO 27001

Une entreprise de technologie médicale a économisé plus de 200 heures de documentation manuelle et de collecte de preuves pour sa certification ISO 27001, alors que le délai moyen du secteur se situe entre 6 et 12 mois.

Une entreprise de technologie médicale, mesuré lors de la préparation ISO 27001

60 %

de coûts en moins par rapport aux plateformes historiques

Les suites de protection des données pour grandes entreprises coûtent couramment six chiffres par an, avec une tarification modulaire qui s'envole à mesure que vous croissez. La tarification prévisible et par société de Priverion élimine les pièges d'extension et les frais par utilisateur.

D'après des comparaisons de coûts clients ; données Vendr, février 2026

60 %

de temps administratif de conformité en moins

Un constructeur aéronautique a réduit de 60 % son temps administratif de conformité au cours de ses six premiers mois, passant de mises à jour manuelles du registre des traitements dans ses filiales à une recertification entièrement automatisée.

Constructeur aéronautique, 6 premiers mois sur Priverion

Pourquoi les équipes changent

Une gestion de la protection des données de niveau entreprise, sans la complexité de l'entreprise

Les équipes protection des données du mid-market ont besoin d'outils conçus pour leur réalité : des équipes réduites, plusieurs entités, des budgets serrés. Voici comment Priverion se compare aux plateformes historiques comme OneTrust sur les aspects qui comptent le plus.

Priverion

Conçu pour les équipes multi-entités du mid-market

Souveraineté des données suisse

Tout le traitement des données reste au sein de l'infrastructure suisse. La Suisse bénéficie d'une décision d'adéquation de l'UE, ce qui signifie que vos données de conformité ne touchent jamais une juridiction présentant un risque de surveillance de masse.

Décision d'adéquation de la CE pour la Suisse au titre de l'art. 45 du RGPD

Tarification prévisible

Un prix unique basé sur le nombre de sociétés et la taille de l'organisation. Aucun frais par utilisateur, aucun frais par module, aucune mauvaise surprise au renouvellement.

Opérationnel en quelques semaines

Conçu pour les équipes protection des données réduites. Un constructeur aéronautique est passé des tableurs manuels à la recertification automatisée du registre des traitements en ses 6 premiers mois, réduisant de 60 % son temps administratif de conformité.

Constructeur aéronautique, 6 premiers mois de déploiement

Plateforme tout-en-un

Registre des traitements, AIPD/TIA, risque fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, cartographie des données, registre d'IA et tableaux de bord de conformité, le tout dans une plateforme unique. Aucun assemblage de lots de modules.

Assisté par IA, piloté par l'humain

L'IA aide à la rédaction des AIPD, à la cotation du risque et à la mise en correspondance réglementaire. Chaque résultat est revu avant de devenir un enregistrement de conformité. Aucune donnée client n'est utilisée pour l'entraînement des modèles.

Plateforme d'entreprise classique

Conçue pour les acheteurs du Fortune 500

Hébergement des données aux États-Unis

Le risque de transfert transfrontalier reste une préoccupation bien réelle. Le cadre de protection des données UE-États-Unis fait l'objet de contestations juridiques persistantes, et une éventuelle affaire « Schrems III » se profile à l'horizon.

Enquête DLA Piper sur les amendes RGPD et les violations de données, janvier 2026

Tarification opaque et modulaire

Chaque module est facturé selon sa propre métrique, et les coûts peuvent grimper de façon inattendue à mesure que les équipes ou les volumes de données augmentent. Les seuls frais de mise en œuvre peuvent ajouter de 10'000 à 50'000 USD aux coûts de la première année.

Analyse tarifaire Vendr, février 2026 ; étude de marché Enzuzo, mars 2026

Mise en place de plusieurs semaines à plusieurs mois

Les utilisateurs citent fréquemment la nécessité de périodes de configuration prolongées. Un évaluateur du mid-market a fait état de « plusieurs semaines uniquement pour configurer les flux de travail et cartographier nos données » avant la mise en production.

Avis vérifiés G2, 2025

Architecture modulaire

Cinq gammes de produits distinctes, chacune facturée indépendamment. Configurer et maintenir la plateforme demande un temps et des efforts considérables, en particulier pour les équipes réduites gérant la protection des données entre plusieurs entités.

Avis vérifiés Capterra, 2025

Une expérience riche mais déroutante

Un éventail de fonctionnalités complet, mais plusieurs évaluateurs notent que l'interface peut sembler encombrée. La courbe d'apprentissage abrupte et la complexité alourdissent la charge des équipes protection des données qui ne disposent pas d'administrateurs de plateforme dédiés.

Avis agrégés G2 et Capterra, 2025

7,1 milliards EUR

Cumul des amendes RGPD depuis mai 2018

Enquête DLA Piper sur les amendes RGPD, janvier 2026

443 par jour

Notifications de violation moyennes aux régulateurs de l'UE (hausse de 22 % d'une année sur l'autre)

DLA Piper, janvier 2026

33 %

des organisations savent précisément où leurs données sont stockées

Thales Data Threat Report, 2026

Ce que nous ne couvrons pas (et pourquoi c'est un atout)

Priverion n'inclut ni reporting ESG, ni lignes d'alerte éthique, ni gestion du consentement aux cookies. Nous nous concentrons entièrement sur la gestion des programmes de protection des données pour les organisations opérant à travers plusieurs entités et juridictions. Si vous avez besoin d'une plateforme de protection des données qui accomplit une mission exceptionnellement bien dans l'ensemble de votre groupe, c'est précisément ce que nous avons conçu.

Nous nous intégrons en profondeur aux systèmes qui comptent pour les flux de travail de protection des données, notamment les RH, les achats et la gestion des actifs informatiques, plutôt que de proposer 200 connecteurs superficiels qui génèrent une charge de maintenance.

Curieux de savoir comment se déroule réellement le passage à Priverion ?

Découvrez comment un constructeur aéronautique est passé de 47 tableurs à une gestion automatisée de la protection des données à l'échelle du groupe.

Réserver une démonstration de 30 min
Questions fréquentes

Ce que les DPD et les responsables conformité demandent au sujet du Digital Omnibus

Quand ces changements du RGPD entreront-ils réellement en vigueur ?

La proposition Digital Omnibus doit suivre la procédure législative ordinaire, comprenant l'examen en commission du Parlement européen, les négociations du Conseil et le trilogue. L'adoption définitive est attendue au plus tôt vers la mi-2027, suivie d'une période de mise en œuvre. Rien ne change dans vos obligations légales aujourd'hui, mais le moment de préparer votre programme, c'est maintenant, pas après la publication du texte final.

Analyse du calendrier législatif Bird & Bird, nov. 2025

Notre groupe compte des filiales au-dessus et au-dessous de 750 employés. Qu'advient-il de notre registre des traitements ?

Selon les changements proposés, les filiales de moins de 750 employés n'auraient besoin d'un registre des traitements que pour les activités de traitement à risque élevé. Les filiales plus grandes conservent l'ensemble de leurs obligations en la matière. Cela crée un standard de conformité divergent au sein d'un même groupe. Priverion vous permet de configurer les exigences du registre des traitements par entité, afin de gérer les deux standards depuis une seule plateforme, sans dédoubler le travail ni perdre en visibilité.

Analyse Considerati de l'amendement proposé à l'article 30 du RGPD, 2025

Nous avons déjà élaboré des procédures de notification de violation à 72 heures. Devons-nous les reconstruire ?

S'il est adopté, le délai prolongé à 96 heures et le seuil relevé au « risque élevé » nécessiteront de recalibrer chaque flux de travail incident, chaque matrice d'escalade et chaque modèle de déclaration auprès des autorités de contrôle. Le module de gestion des incidents de Priverion vous permet de mettre à jour ces éléments de manière centralisée et de répercuter les changements sur chaque entité, pour que vous reconfiguriez une seule fois au lieu de reconstruire les procédures filiale par filiale.

Avis conjoint CEPD et CEPD-EDPS sur le Digital Omnibus, févr. 2026

Comment le changement proposé de la définition des « données à caractère personnel » affecte-t-il nos inventaires de données ?

L'approche par identifiabilité relative signifie qu'un ensemble de données pourrait constituer des « données à caractère personnel » pour une entité de votre groupe mais pas pour une autre, selon les moyens d'identification de chacune. Cela exige de réévaluer les inventaires de données entité par entité et de documenter le raisonnement. La cartographie des données multi-entités de Priverion offre la visibilité nécessaire pour le faire de manière systématique et génère des dossiers de preuves prêts pour l'audit.

Déclaration CEPD/CEPD-EDPS sur le Digital Omnibus, févr. 2026

Priverion peut-il prendre en charge plus de 50 entités réparties sur plusieurs juridictions ?

Oui. Priverion est conçu pour les groupes multi-entités. Nous accompagnons des organisations comptant plus de 50 entités sur plusieurs juridictions, avec une cartographie des données multi-entités, une recertification automatisée du registre des traitements et des tableaux de bord de conformité centralisés. La plateforme est opérationnelle en quelques semaines, pas en quelques mois. Un constructeur aéronautique est passé de 47 tableurs à une gestion automatisée de la protection des données à l'échelle du groupe en ses 6 premiers mois.

Constructeur aéronautique, 6 premiers mois sur Priverion

L'IA de Priverion est-elle sûre pour le travail de conformité ?

Toutes les données sont traitées au sein de l'infrastructure suisse. L'IA aide à la rédaction des AIPD, à la cotation du risque et à la mise en correspondance réglementaire, mais chaque résultat est revu par un humain avant de devenir un enregistrement de conformité. Aucune donnée client n'est utilisée pour l'entraînement des modèles. L'IA assiste, les humains décident.

Guide gratuit

La note du DPD : ce que le Digital Omnibus signifie pour votre programme de protection des données

La proposition Digital Omnibus de la Commission européenne introduit les changements les plus significatifs apportés au RGPD depuis 2018, avec une adoption attendue vers la mi-2027. Ce guide en langage clair décrypte la complexité juridique et vous indique précisément à quels changements vous préparer dans l'ensemble des entités de votre groupe.

Dans ce guide, vous trouverez :

  • 1. Une analyse détaillée de chaque amendement proposé au RGPD : de la nouvelle exemption du registre des traitements pour les organisations de moins de 750 employés, aux exigences d'AIPD simplifiées et au point d'entrée unique de déclaration des violations
  • 2. Ce que l'avis conjoint du CEPD et du CEPD-EDPS signale comme « préoccupations majeures », notamment les changements proposés à la définition des données à caractère personnel que les régulateurs invitent les colégislateurs à ne pas adopter
  • 3. Une liste de contrôle de préparation multi-entités couvrant la migration du consentement aux cookies de la directive ePrivacy vers le RGPD, les nouvelles dérogations relatives aux traitements liés à l'IA et les changements d'harmonisation transfrontalière
  • 4. Un calendrier législatif réaliste pour savoir quand agir, et pas seulement quoi suivre, avec les jalons des négociations en trilogue et d'une adoption potentielle clairement identifiés

Sources : la proposition officielle de la Commission européenne et l'avis conjoint CEPD/CEPD-EDPS (février 2026).

Téléchargez votre exemplaire gratuit

Procurez-vous le guide qui aide déjà les DPD de toute l'Europe à se préparer aux changements du Digital Omnibus.

PDF gratuit. Sans démonstration requise. Nous vous l'envoyons par e-mail.

Pourquoi cela compte dès maintenant

La Commission vise à réduire la bureaucratie de 25 % au global et de 35 % pour les PME. Près de 38'000 entreprises de l'UE sont éligibles à la nouvelle catégorie des petites entreprises de taille intermédiaire.

Commission européenne, paquet de simplification (mai 2025)

Ce que disent les équipes protection des données

Du chaos des tableurs au travail stratégique de protection des données

« Nous consacrions la majeure partie de notre temps administratif de conformité aux mises à jour manuelles du registre des traitements, à relancer les unités opérationnelles dans plusieurs filiales ; nous sommes passés à une recertification entièrement automatisée. Notre DPD se concentre désormais sur le travail stratégique de protection des données plutôt que sur la maintenance de tableurs. »

Constructeur aéronautique

Réduction de 60 % du temps administratif de conformité, 6 premiers mois

« Priverion nous a donné une visibilité complète sur le risque fournisseurs dans chaque entité. Nous avons atteint une couverture de 100 % de l'évaluation des risques fournisseurs, ce qui aurait demandé des mois d'efforts manuels avec des tableurs. »

Un établissement de santé

Couverture de 100 % de l'évaluation des risques fournisseurs dans toutes les entités

Arrêtez de gérer la conformité dans des tableurs

Votre DPD a mieux à faire que de relancer les mises à jour du registre des traitements dans 47 tableurs

Avec un cumul d'amendes RGPD dépassant désormais 7,1 milliards EUR et plus de 443 notifications de violation reçues par jour par les régulateurs, les processus de conformité manuels constituent un risque. Les organisations multi-entités ont besoin d'une plateforme qui évolue avec elles, et non contre elles.

Sources : enquête DLA Piper sur les amendes RGPD et les violations de données, janvier 2026 ; CMS GDPR Enforcement Tracker

60 %

de réduction du temps administratif de conformité

Constructeur aéronautique, 6 premiers mois

200+

heures économisées dans la préparation ISO 27001

Une entreprise de technologie médicale

100 %

de recertification du registre des traitements, entièrement automatisée

Un assureur suisse

Conçu et hébergé en Suisse

Assisté par IA, piloté par l'humain

Tarification prévisible, sans pièges par utilisateur

Réserver une démonstration de la plateforme de 30 minutes

Sans argumentaire de vente. Découvrez Priverion à l'œuvre avec votre cas d'usage. Opérationnel en quelques semaines, pas en quelques mois.

The Privacy Compliance Briefing

Des analyses mensuelles sur l'application du RGPD et la nLPD

À propos de cette page — références, définitions et FAQ

Points clés

La proposition Digital Omnibus de l'UE, publiée le 19.11.2025, propose six amendements majeurs au RGPD portant sur les seuils du registre des traitements, l'harmonisation des AIPD, les délais de notification de violation, la définition des données à caractère personnel, l'intérêt légitime lié à l'IA et la procédure législative. Les organisations multi-entités sont confrontées à des cadres de conformité parallèles durant la période de transition. La plateforme GRC hébergée en Suisse de Priverion suit chaque changement proposé et prépare les mises à jour de configuration afin que les programmes de protection des données s'adaptent sans repartir de zéro.

Définitions

Qu'est-ce que la proposition Digital Omnibus ?

La proposition Digital Omnibus est un paquet législatif de la Commission européenne qui modifie le RGPD, la directive ePrivacy et la directive NIS2 afin de réduire la charge administrative des entreprises. Elle a été publiée le 19.11.2025 dans le cadre du programme de simplification plus large de la Commission. Source : EUR-Lex

Qu'est-ce qu'un registre des activités de traitement (registre des traitements) ?

Un registre des activités de traitement (registre des traitements) est un registre obligatoire au titre de l'article 30 du RGPD qui documente toutes les opérations de traitement de données à caractère personnel réalisées par un responsable du traitement ou un sous-traitant. Le Digital Omnibus propose de relever de 250 à 750 le seuil d'effectif pour les exemptions du registre des traitements.

Qu'est-ce qu'une analyse d'impact relative à la protection des données (AIPD) ?

Une analyse d'impact relative à la protection des données (AIPD) est requise au titre de l'article 35 du RGPD lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Le Digital Omnibus propose de remplacer les listes nationales fragmentées d'AIPD par des listes unifiées à l'échelle de l'UE établies par le CEPD.

Qu'est-ce que l'identifiabilité relative ?

L'identifiabilité relative est le concept proposé selon lequel une donnée n'est qualifiée de « personnelle » que pour une entité disposant de moyens raisonnablement susceptibles d'être utilisés pour identifier la personne. Le CEPD et le CEPD-EDPS ont averti que cela pourrait « affaiblir sensiblement la protection des données des individus ». Source : avis conjoint CEPD/CEPD-EDPS 1/2025

Statistiques et contexte

Selon le rapport IAPP-EY 2023 sur la gouvernance de la protection des données, une organisation consacre en moyenne environ 2,7 millions USD par an à la conformité en matière de protection des données. Le Digital Omnibus vise à réduire la charge administrative, mais le CEPD note dans son avis conjoint 1/2025 que les changements proposés risquent de créer une « insécurité juridique » durant la période de transition. La Commission européenne estime que le paquet pourrait faire économiser aux entreprises jusqu'à 4,2 milliards EUR par an en coûts de conformité réduits, même si le CEPD et le CEPD-EDPS avertissent qu'affaiblir la définition des données à caractère personnel pourrait porter atteinte au droit fondamental à la protection des données consacré par l'article 8 de la Charte des droits fondamentaux de l'UE.

Comparaison : RGPD actuel vs amendements proposés par le Digital Omnibus

DomaineRGPD actuelDigital Omnibus proposé
Seuil d'exemption du registre des traitements250 employés (art. 30 du RGPD)750 employés (traitement à risque élevé uniquement)
Délai de notification de violation72 heures (art. 33 du RGPD)96 heures, seuil de risque élevé uniquement
Listes d'AIPDListes nationales des autorités de contrôle par État membre (art. 35 du RGPD)Listes unifiées du CEPD à l'échelle de l'UE avec modèle standardisé
Définition des données à caractère personnelToute information se rapportant à une personne physique identifiée ou identifiable (art. 4, par. 1 du RGPD)Identifiabilité relative — personnelle uniquement pour les entités disposant des moyens d'identifier
IA et intérêt légitimeAucune disposition explicite sur l'IA ; mise en balance au cas par casIntérêt légitime explicite pour le développement et l'exploitation de l'IA
Déclaration inter-réglementaireDéclarations distinctes au titre du RGPD, de NIS2 et de DORAPoint d'entrée unique de déclaration des incidents

Questions fréquentes

Qu'est-ce que la proposition Digital Omnibus de l'UE ?

La proposition Digital Omnibus de l'UE est un paquet législatif publié par la Commission européenne le 19.11.2025 qui propose des amendements ciblés au RGPD, à la directive ePrivacy, à la directive NIS2 et à d'autres réglementations numériques. Elle vise à simplifier les obligations de conformité des entreprises tout en maintenant les normes de protection des données. Le texte intégral est disponible sur EUR-Lex.

Comment le Digital Omnibus modifie-t-il les exigences relatives au registre des traitements ?

La proposition relève de 250 à 750 employés le seuil d'exemption du registre des traitements. Les organisations de moins de 750 employés ne devraient tenir un registre des activités de traitement que lorsque le traitement est susceptible d'engendrer un risque élevé pour les personnes concernées. Pour les groupes multi-entités, cela crée des obligations divergentes, certaines filiales bénéficiant de l'exemption et d'autres non. Voir l'article 30 du RGPD pour le texte actuel.

Quelles évolutions le Digital Omnibus propose-t-il pour la notification de violation ?

Le seuil de notification ne s'appliquerait plus qu'au « risque élevé », et le délai de déclaration passerait de 72 à 96 heures. Un point d'entrée unique de déclaration des incidents couvrant le RGPD, NIS2 et DORA serait également instauré. Le CEPD et le CEPD-EDPS ont abordé ces changements dans leur avis conjoint 1/2025.

Comment le Digital Omnibus redéfinit-il les données à caractère personnel ?

La proposition introduit l'« identifiabilité relative », ce qui signifie qu'une donnée ne serait qualifiée de personnelle que pour une entité disposant de moyens raisonnablement susceptibles d'être utilisés pour identifier la personne. Le CEPD et le CEPD-EDPS ont vivement invité les colégislateurs à ne pas adopter ce changement, avertissant qu'il pourrait « affaiblir sensiblement la protection des données des individus ». Voir l'article 4, par. 1 du RGPD pour la définition actuelle.

Quand la proposition Digital Omnibus deviendra-t-elle loi ?

La proposition suit la procédure législative ordinaire au sein du Parlement européen et du Conseil. Des négociations en trilogue sont attendues d'ici le printemps 2026, l'adoption définitive étant possible à la mi-2026 ou plus tard. Pendant la période de transition, les organisations doivent maintenir leur conformité actuelle au RGPD tout en se préparant aux exigences modifiées.

Comment le Digital Omnibus affecte-t-il les exigences relatives à l'AIPD ?

Le CEPD établirait des listes unifiées à l'échelle de l'UE des activités de traitement qui nécessitent ou non une AIPD, remplaçant toutes les listes nationales existantes des autorités de contrôle. Un modèle et une méthodologie standardisés seraient introduits, révisés au moins tous les trois ans. Jusqu'à l'adoption des actes d'exécution, les listes nationales existantes restent en vigueur, créant une période transitoire de double exigence. Voir l'article 35 du RGPD.

Le Digital Omnibus crée-t-il une base légale pour l'entraînement de l'IA sur des données à caractère personnel ?

Oui. La proposition reconnaîtrait explicitement le développement et l'exploitation de l'IA comme un intérêt légitime au sens du RGPD, sous réserve de tests de nécessité et de proportionnalité. Les responsables du traitement doivent néanmoins minimiser les données utilisées pour l'entraînement et accorder aux personnes concernées un droit d'opposition inconditionnel.

Comment les organisations peuvent-elles se préparer aux changements du Digital Omnibus ?

Les organisations devraient auditer leurs flux de travail actuels relatifs au registre des traitements, à l'AIPD et à la notification de violation au regard des seuils proposés, évaluer leurs inventaires de données quant aux impacts de l'identifiabilité relative et suivre le calendrier législatif. Une plateforme GRC dotée de capacités de gestion multi-entités peut aider à gérer des cadres de conformité parallèles durant la période de transition, en garantissant une documentation prête pour l'audit à chaque étape.