Dans un contexte de concurrence mondiale autour de l’intelligence artificielle, la Commission européenne envisage une révision du RGPD afin d’alléger et de clarifier certaines obligations pesant sur les responsables de traitement.
Depuis plusieurs années, l’Union européenne a renforcé progressivement son arsenal règlementaire dans le secteur numérique, notamment à travers l’adoption de textes majeurs, tels que le RGPD[1], le DSA[2], le Data Act[3], l’AI Act[4], etc.
Dans un contexte marqué à la fois par les enjeux de souveraineté numérique et par l’accélération de la course mondiale vers l’intelligence artificielle, la Commission européenne a présenté, le 19 novembre 2025, une proposition de règlement visant à modifier et simplifier plusieurs instruments existants, parmi lesquels le RGPD, l’AI Act et le Data Act.
Sur le volet des données à caractère personnel, le projet introduit des ajustements substantiels au RGPD, près de dix ans après son adoption.
Une nouvelle définition de la notion de donnée « personnelle »
Dans son projet de règlement, la Commission européenne propose d’exclure de la notion de « donnée à caractère personnel» les « données pseudonymisées », c’est-à-dire celles qui ne permettent pas à l’entité qui les détient d’identifier la personne concernée.
Une telle exclusion aurait pour effet de soustraire les destinataires de données pseudonymisées dépourvus de tout moyen de réidentification aux obligations du RGPD.
Bien qu’il s’agisse d’une évolution majeure, cette modification ne fait en réalité que consacrer la jurisprudence de la Cour de Justice de l’Union européenne, laquelle a jugé, le 4 septembre 2025[5], que des données pseudonymisées communiquées à un tiers pouvaient ne pas constituer des données personnelles lorsque ce tiers ne dispose d’aucun moyen raisonnable d’identifier la personne concernée.
Le projet de règlement prévoit également d’insérer un article 41a au sein du RGPD, habilitant la Commission européenne à adopter des actes d’exécution afin de préciser les moyens et les critères permettant de déterminer dans quelles conditions des données pseudonymisées cessent de constituer des données à caractère personnel.
Vers une simplification des obligations des responsables de traitement
La proposition de règlement introduit également plusieurs mesures destinées à alléger certaines obligations des responsables de traitement, parfois au détriment des droits des personnes concernées.
Elle prévoit également l’adoption, par l’intermédiaire du Comité européen pour la protection des données (CEDP ou EDPB en anglais) de lignes directrices pour aider les entités concernées à identifier les cas dans lesquels une analyse d’impact sur la protection des données (AIPD) est requise, et proposer une méthodologie et un modèle d’analyse d’impact.
- Limitation du droit d’accès
La Commission propose de modifier l’article 12 du RGPD afin d’autoriser les responsables de traitement à refuser une demande de droit d’accès en cas d’abus de la personne concernée notamment en cas de détournement du droit d’accès à des fins étrangères à la protection des données.
- Exceptions à l’obligation d’information
Afin de réduire la charge pesant sur les responsables de traitement, la proposition prévoit qu’ils ne seraient plus tenus de fournir l’ensemble des informations requises par l’article 13 du RGPD lorsque le traitement présente un faible risque pour les droits et libertés, ou lorsque le responsable de traitement peut raisonnablement considérer que la personne concernée dispose déjà des informations pertinentes en raison de sa relation avec lui.
Cette exception ne s’appliquerait toutefois pas en cas de transmission des données à des tiers, de transfert de données hors UE/EEE ou en cas de prise de décision automatisée.
- Une harmonisation des règles relatives aux cookies et autres traceurs
Le projet introduit deux nouveaux articles, 88a et 88b dans le RGPD, visant à harmoniser au niveau européen les règles en matière de cookies et autres traceurs.
L’article 88a énumère les traitements impliquant des opérations de lecture et d’écriture au moyen de cookies qui ne nécessiteraient pas de consentement, lorsque leur finalité est :
- La transmission d’une communication électronique sur un réseau de communications électroniques ;
- La fourniture d’un service expressément demandé par la personne concernée ;
- La production des informations agrégées et anonymisées sur l’utilisation d’un service en ligne afin de mesurer son audience, lorsque cette mesure est réalisée par le responsable du traitement pour son usage interne ;
- Le maintien ou rétablissement de la sécurité d’un service ou d’un équipement terminal[6] utilisé pour la fourniture de ce service.
La Commission souhaite également harmoniser les règles de recueil et de refus du consentement, notamment par un mécanisme de refus « en un seul clic » qui existe déjà en droit français.
- Nouvelle procédure de notification des violations de données
Le projet prévoit également une réécriture de l’article 33 du RGPD relatif aux violations de données personnelles.
Le délai de notification serait porté de 72 heures à 96 heures et la notification devrait être effectuée auprès du guichet unique européen de notification des incidents de cybersécurité, placé sous la responsabilité de l’ENISA lorsqu’il sera opérationnel.
Ce guichet unique serait chargé de centraliser les notifications obligatoires que les entités doivent déjà effectuer au titre d’autres réglementations (notamment la directive NIS2[7], le RGPD, le règlement eIDAS[8], ou encore CER[9]), afin de réduire les doublons et la charge administrative.
L’EDPB devrait également proposer un modèle de notification des violations de données.
Une révision adaptée aux besoins de l’intelligence artificielle
Le projet introduit également un cadre spécifique applicable aux fournisseurs de systèmes d’intelligence artificielle (SIA).
La Commission souhaite notamment prévoir une exception à l’interdiction de traiter des données sensibles lorsque, dans le cadre du développement ou du déploiement d’un SIA, la collecte de telles données demeure inévitable malgré l’adoption de mesures techniques et organisationnelles appropriées.
Le règlement « Digital Omnibus » propose en outre d’ajouter un article 88c au RGPD permettant aux responsables de traitement d’invoquer la base légale de l’intérêt légitime pour le développement et le déploiement des SIA.
Par ailleurs, le projet aménage les règles encadrant la prise de décision automatisée en supprimant la possibilité pour la personne concernée de s’y opposer lorsque cette décision est nécessaire à la conclusion ou à l’exécution d’un contrat, ou encore lorsque son utilisation est autorisée par le droit de l’Union ou par le droit national.
Si la proposition de règlement comporte des modifications significatives du RGPD, le texte présenté par la Commission n’en est qu’au stade de projet et devrait évoluer au gré des discussions entre les institutions européennes et les parties prenantes.
Lire la proposition de règlement n°2025/0360 (COD) de la Commission européenne.
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « RGPD », abrogeant la directive 95/46/CE
[2] Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques, dit « DSA », modifiant la directive 2000/31/CE (règlement sur les services numériques)
[3] Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données, dit « Data Act » et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données)
[4] Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle, dit « AI Act », et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle)
[5] CJUE, 4 septembre 2025, C-413/23 P
[6] On entend par équipement terminal tout équipement destiné à être connecté directement ou indirectement à un point de terminaison d’un réseau en vue de la transmission, du traitement ou de la réception d’informations.
[7] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « directive NIS 2 » modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2)
[8] Règlement (UE) 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit « règlement eIDAS », et abrogeant la directive 1999/93/CE
[9] Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « Directive CER » et abrogeant la directive 2008/114/CE du Conseil
