Dernière mise à jour : juin 2025

La réforme du RGPD via l'Omnibus numérique européen 2026 réécrit votre feuille de route de conformité . Voici ce qui change vraiment

Mis à jour le 2026-06-22
Points clés : l'Omnibus numérique européen propose les modifications du RGPD les plus importantes depuis 2018, touchant les seuils du registre des traitements, les paliers d'AIPD, la notification des violations et le mandat des DPD au sein des organisations multi-entités.

Le paquet de simplification Omnibus de la Commission européenne propose les modifications les plus significatives du RGPD depuis 2018. Si vous pilotez la protection des données sur plusieurs entités ou juridictions, ces évolutions auront un impact direct sur votre registre des traitements, vos processus d'AIPD, vos délais de notification des violations et vos obligations en matière de DPD. Cette page détaille ce qui est confirmé, ce qui est proposé et ce que vous devriez faire dès maintenant.

Télécharger la check-list d'impact du RGPD issu de l'Omnibus numérique européen

La confiance des équipes de protection des données qui pilotent la conformité RGPD multi-entités

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Ce que l'Omnibus numérique européen change réellement

Réforme du RGPD via l'Omnibus numérique européen 2026 : les principales évolutions expliquées

Ce qui suit repose sur la proposition publiée par la Commission européenne au 1er trimestre 2025. Les dispositions finales pourraient évoluer au cours du processus législatif. Nous actualisons cette page au fil des nouveaux développements.

Évolution des seuils du registre des traitements

Certaines filiales pourraient ne plus avoir besoin d'un registre des traitements complet . d'autres oui.

La proposition introduit des exemptions potentielles de tenue d'un registre des activités de traitement complet, fondées sur le nombre de collaborateurs et le niveau de risque du traitement. Pour les équipes de protection des données au niveau du groupe, cela implique une évaluation entité par entité . et non une politique uniforme. Une filiale de 200 collaborateurs traitant des données de santé reste pleinement soumise à l'obligation ; un bureau commercial de 40 personnes ne l'est peut-être pas.

Le défi : vous devez savoir précisément quelles entités se situent au-dessus ou en dessous des nouveaux seuils, et disposer de cette visibilité sur l'ensemble de votre groupe . instantanément, et non après des semaines d'audits sur tableur.

Comment Priverion vous aide :

La gestion du registre des traitements multi-entités avec recertification automatisée vous donne déjà une visibilité au niveau de chaque entité. Lorsque les seuils évoluent, vous ajustez dans la plateforme . et non sur 47 tableurs.

AXA a atteint un taux de recertification de son registre des traitements de 100 % grâce à des workflows entièrement automatisés . résultat client Priverion, 2024

Restructuration du processus d'AIPD

Des examens allégés pour les traitements à faible risque. Des analyses complètes là où cela compte.

La proposition Omnibus pourrait restructurer les cas dans lesquels une analyse d'impact relative à la protection des données complète est requise, en introduisant une approche par paliers. Les traitements à plus faible risque pourraient bénéficier d'un format d'examen allégé, tandis que les activités à haut risque conservent . voire renforcent . les exigences actuelles de profondeur d'analyse.

Pour les organisations qui ont mis en place des workflows d'AIPD étendus, il ne s'agit pas d'une simplification . mais d'un recalibrage. Vous devez reclasser les activités de traitement de chaque entité, déterminer celles qui déclenchent des analyses complètes plutôt que des examens allégés, et adapter vos modèles en conséquence.

Comment Priverion vous aide :

La rédaction assistée par IA des AIPD et la notation du risque classent déjà les activités de traitement par niveau de risque. Une fois les nouveaux paliers finalisés, vos workflows d'analyse s'adaptent . l'IA assiste la reclassification, votre DPD prend la décision finale.

Un constructeur aéronautique a réduit son temps d'administration de la conformité de 60 % au cours de ses 6 premiers mois . résultat client Priverion, 2024

Ajustements de la notification des violations

Le compte à rebours de 72 heures pourrait changer. Vos procédures doivent changer en premier.

Les modifications proposées pourraient ajuster le délai de notification de 72 heures, réviser le seuil de gravité déterminant quand une violation doit être signalée aux autorités de contrôle et modifier les exigences de documentation. Pour les organisations multi-entités, cela signifie que les procédures de réponse aux violations doivent être mises à jour . et testées . dans chaque filiale.

Le véritable risque : une réponse aux incidents incohérente d'une entité à l'autre. Une filiale applique le protocole mis à jour, une autre fonctionne encore selon l'ancienne procédure de 72 heures. L'autorité de contrôle ne se soucie pas de vos difficultés de coordination interne.

Comment Priverion vous aide :

La gestion centralisée des incidents et les workflows de notification des violations garantissent que chaque entité suit le même processus. Lorsque les règles de notification changent, vous effectuez la mise à jour une seule fois . elle se propage partout.

Zurzach Care a atteint une couverture de 100 % de l'évaluation des risques fournisseurs sur l'ensemble de ses entités . résultat client Priverion, 2024

Évolution du périmètre des obligations des DPD

Les entités tenues de désigner un DPD pourraient changer. Les mandats de DPD de groupe pourraient évoluer sensiblement.

La proposition Omnibus pourrait modifier les organisations légalement tenues de désigner un délégué à la protection des données et pourrait revoir les responsabilités formelles du DPD. Pour les DPD de groupe qui pilotent la protection des données sur des dizaines d'entités, il ne s'agit pas d'une question de principe abstraite . cela influe directement sur l'allocation des ressources, l'étendue du mandat et les lignes hiérarchiques.

Si certaines filiales n'ont plus l'obligation de désigner un DPD attitré, le modèle de supervision opérationnelle du DPD de groupe doit être restructuré. Si les responsabilités s'étendent dans d'autres domaines, la justification des effectifs devient plus simple . mais seulement si vous pouvez démontrer le périmètre à l'aide de données.

Comment Priverion vous aide :

Le tableau de bord du DPD offre une supervision opérationnelle sur toutes les entités, avec un reporting de conformité prêt à présenter au conseil d'administration. Démontrez précisément où une couverture par un DPD est nécessaire . sur la base de données, et non de suppositions.

Efficacité du traitement des droits des personnes concernées

De nouvelles grilles tarifaires et de nouveaux délais de réponse pourraient remodeler votre workflow de demandes.

La proposition pourrait introduire des frais pour les demandes d'accès des personnes concernées manifestement infondées ou excessives, ajuster les délais de réponse obligatoires et apporter des précisions sur ce qui constitue une demande valable. Pour les organisations qui traitent des demandes d'accès sur plusieurs entités et juridictions, cela pourrait alléger la charge opérationnelle . ou créer de nouveaux pièges de conformité en cas d'interprétation erronée.

Le danger réside dans l'incohérence : une filiale applique la nouvelle disposition tarifaire, une autre non, et une personne concernée porte plainte auprès de son autorité de contrôle. Le traitement des demandes des personnes concernées à l'échelle du groupe doit être unifié, de la politique à l'exécution.

Comment Priverion vous aide :

Un traitement centralisé des demandes des personnes concernées, avec des workflows cohérents sur l'ensemble des entités. Lorsque les délais de réponse ou les grilles tarifaires changent, vos mises à jour de processus se propagent à tout le groupe . aucune entité ne reste sur une procédure obsolète.

Medtec a économisé plus de 200 heures de préparation à l'ISO 27001 grâce aux workflows de conformité centralisés de Priverion . résultat client Priverion, 2024

Conséquences pour les transferts transfrontaliers

Dans un monde post-Schrems II, les évolutions de l'Omnibus se superposent à un paysage des transferts déjà complexe.

Si le paquet Omnibus vise avant tout à réduire la charge administrative, toute modification des exigences relatives au registre des traitements, à l'AIPD ou à la documentation affecte inévitablement les analyses d'impact des transferts (TIA) et la gestion des clauses contractuelles types (CCT). Si votre documentation de TIA repose sur des résultats d'AIPD en cours de restructuration, vos justifications de transfert pourraient devoir être retravaillées.

Pour les organisations qui transfèrent des données entre juridictions . notamment entre l'UE et des pays non reconnus comme adéquats . l'intersection entre les évolutions de l'Omnibus et les obligations existantes liées à Schrems II crée une surface de conformité qui exige une cartographie minutieuse, au niveau de chaque entité.

Comment Priverion vous aide :

Automatisation des TIA assistée par IA, gestion des CCT et cartographie des données multi-entités . le tout traité au sein d'une infrastructure suisse. La souveraineté des données européennes n'est pas une fonctionnalité ajoutée ; c'est ainsi que nous avons été conçus.

L'ensemble des traitements de données de Priverion s'effectue au sein d'une infrastructure suisse . hébergement des données en Europe garanti depuis notre création

200+

Heures économisées sur la gestion du registre des traitements

Medtec . heures récupérées sur la documentation manuelle du registre des traitements lors de la préparation à l'ISO 27001

60%

Coût inférieur par rapport à OneTrust

Constructeur aéronautique . sur la base d'une comparaison du coût total de possession pour un déploiement multi-entités au cours des 12 premiers mois

3 mois

D'avance sur le calendrier de l'ISO 27001

Medtec . dossiers de preuves prêts pour l'audit générés en quelques minutes au lieu de plusieurs semaines, accélérant le calendrier de certification

Priverion vs OneTrust

Conçu pour le mid-market.
Pas une version allégée de l'enterprise.

OneTrust s'adresse aux organisations du Fortune 500, avec un périmètre GRC plus large et des équipes de protection des données dédiées. Priverion a été conçu pour les organisations qui ont besoin d'une gestion de la protection des données de niveau entreprise sans la lourdeur . d'un outil GRC d'entreprise.

L'expérience OneTrust habituelle

Puissant . si vous pouvez vous le permettre, le configurer et l'exploiter

  • Tarification par utilisateur et par module

    Les coûts évoluent de manière imprévisible à mesure que vous ajoutez des filiales, des utilisateurs ou des modules. Les mauvaises surprises budgétaires sont la norme, pas l'exception.

  • Siège et hébergement aux États-Unis

    Dans un monde post-Schrems II, héberger des données de conformité sous juridiction américaine crée une exposition juridique pour les organisations européennes . indépendamment des garanties contractuelles.

  • Plus de 200 intégrations, la plupart superficielles

    Une longue liste d'intégrations impressionne . jusqu'à ce que vous constatiez que la plupart sont des connecteurs superficiels, qui génèrent une charge de maintenance sans résoudre de véritables workflows de protection des données.

  • Déploiement de plusieurs mois

    Les déploiements complexes nécessitent souvent des consultants dédiés, l'implication de la DSI et une longue phase d'intégration avant d'en tirer la moindre valeur.

  • Conçu pour tout faire, optimisé pour rien en particulier

    ESG, lignes d'alerte éthique, consentement aux cookies, protection des données . une plateforme qui fait trop de choses signifie qu'aucune d'elles ne semble pensée pour le workflow réel d'un DPD.

La différence Priverion

Une gestion de la protection des données de niveau entreprise . sans la complexité de l'entreprise

  • Une tarification prévisible selon le nombre d'entités et la taille de l'organisation

    Pas de frais par utilisateur. Pas de ventes additionnelles de modules. Ajoutez des utilisateurs au sein de vos filiales sans voir les coûts s'envoler. Votre directeur financier approuvera réellement le renouvellement.

  • Conçu et hébergé en Suisse . hébergement des données en Europe garanti

    L'ensemble des traitements de données s'effectue au sein d'une infrastructure suisse. Pas une simple case à cocher marketing . c'est le fondement juridique des transferts de données transfrontaliers sous Schrems II.

  • Des intégrations approfondies avec les systèmes qui comptent

    RH, achats, gestion du parc informatique . les systèmes où résident réellement les données pertinentes pour la protection des données. Moins de connecteurs, des fonctionnalités plus poussées, aucune charge de maintenance.

  • Opérationnel en quelques semaines, pas en quelques mois

    Un constructeur aéronautique a obtenu une réduction de 60 % de son temps d'administration de la conformité au cours de ses 6 premiers mois . temps d'intégration sur plusieurs filiales inclus.

    Étude de cas constructeur aéronautique, 6 premiers mois après le déploiement

  • Pensé pour la gestion de programmes de protection des données multi-entités

    Nous ne couvrons ni l'ESG, ni les lignes d'alerte éthique, ni le consentement aux cookies. Chaque fonctionnalité existe pour répondre à la réalité opérationnelle de la gestion de la conformité en matière de protection des données à travers les filiales et les juridictions.

Vous évaluez vos options ? Découvrez comment la transition fonctionne en pratique.

Réserver une présentation de 30 min

Votre programme de protection des données mérite mieux que des tableurs

Cessez de courir après vos filiales.
Commencez à piloter la protection des données.

Découvrez comment Priverion offre aux organisations multi-entités une visibilité à l'échelle du groupe, une recertification automatisée et des preuves prêtes pour l'audit . le tout hébergé en Suisse, opérationnel en quelques semaines.

60%

de temps d'administration de la conformité en moins

Constructeur aéronautique, 6 premiers mois

200+

heures économisées sur la préparation à l'ISO 27001

Medtec

100%

de recertification automatisée du registre des traitements

AXA

Réserver une présentation de 30 minutes

Sans engagement. Sans argumentaire commercial. Juste un aperçu en direct de son fonctionnement pour des organisations comme la vôtre.

Ressource gratuite

Check-list d'impact du RGPD issu de l'Omnibus numérique européen

Une check-list pratique, entité par entité, destinée aux DPD et aux responsables de la conformité qui pilotent des organisations à filiales multiples. Elle couvre l'évaluation des seuils du registre des traitements, la reclassification des AIPD, la mise à jour des procédures en cas de violation, la revue du mandat des DPD, les évolutions du workflow des demandes des personnes concernées et les conséquences pour les transferts transfrontaliers . le tout mis en regard des modifications proposées par l'Omnibus.

  • Évaluation des seuils du registre des traitements : un cadre d'analyse entité par entité pour les exemptions proposées
  • Guide de reclassification des AIPD : comment faire correspondre les analyses existantes à l'approche par paliers proposée
  • Audit des procédures de notification des violations : les étapes pour mettre à jour les procédures de réponse dans toutes les filiales
  • Revue du mandat des DPD : déterminer quelles entités doivent encore désigner formellement un DPD
  • Check-list de mise à jour du workflow des demandes des personnes concernées : se préparer aux éventuelles grilles tarifaires et évolutions de délais
  • Revue des transferts transfrontaliers : évaluer l'incidence de la restructuration des AIPD sur votre documentation de TIA

Vos données sont traitées au sein d'une infrastructure suisse. Nous les utilisons uniquement pour vous transmettre la check-list et ne les partageons pas avec des tiers. Vous pouvez en demander la suppression à tout moment.