DIGITAL OMNIBUS ET RGPD : LA SIMPLIFICATION À TRAIN D’ENFER

La Commission européenne a présenté, le 19 novembre, une proposition de règlement baptisée « Digital Omnibus » qui s’inscrit dans une volonté de renforcer la compétitivité européenne, alléger les charges réglementaires des entreprises, et prévenir l’obsolescence d’un cadre devenu difficile à manier pour les acteurs du numérique.

Le texte se décline en deux volets : un premier consacré au Digital Acquis, objet du présent article, et un second dédié à l’Intelligence Artificielle, dont notre analyse se trouve ici .

Le texte n’est encore qu’au stade de proposition mais au regard des nombreuses modifications touchant les traitements de données de santé, il est indispensable d’avancer dans sa compréhension et à bon train !

Le Digital Omnibus on Digital Acquis entend modifier des dispositions du Règlement général sur la protection des données (RGPD), mais également du Data Act, de la directive e-Privacy, du règlement EiDAS et des différents textes en matière de cybersécurité (la directive NIS  2, la directive sur la résilience des entités critiques et le règlement DORA spécifique au secteur financier).

Il est essentiel de s’arrêter sur les modifications qui seraient apportées au RGPD, texte entré en application depuis déjà plus de 7 ans et qui est devenu la boussole de la conformité numérique pour toute innovation intégrant des données – SIA compris.

Pour le secteur de la santé où les données font l’objet de nombreuses réutilisations à des fins scientifiques, les modifications proposées viennent bousculer l’organisation entière des règles en la matière. Si cette réforme vise avant tout à simplifier les règles, elle nécessitera une révision en profondeur des règles que les acteurs peinent déjà à assimiler : accès au SNDS, MR de la CNIL, EHDS…

Le Digital Omnibus opère une véritable redéfinition de la notion de donnée personnelle, qui serait désormais qualifiée comme personnelle, selon le projet, au regard des capacités concrètes de chaque entité à identifier une personne.

Pour rappel, aujourd’hui, une information est considérée comme une donnée à caractère personnel dès lors qu’une personne peut être identifiée, directement ou indirectement. C’est le cas lorsque la personne peut être réidentifiée par un acteur de la chaîne de traitement, qu’il s’agisse du responsable du traitement ou d’un autre acteur susceptible de disposer des informations nécessaires pour relier ces données à une personne physique identifiable. C’est également le cas lorsque les données sont pseudonymisées, celles-ci demeurant des données personnelles tant qu’il existe un moyen, même indirect, de les rattacher à une personne physique. Il s’agit là d’une vision objective de la définition de données personnelles.

Selon la proposition de la Commission européenne, une information ne constituerait désormais une donnée personnelle que pour l’entité disposant de moyens raisonnablement susceptibles de permettre la réidentification ; la même information pourra ne pas être considérée comme personnelle pour une autre entité ne disposant pas de tels moyens. En d’autres termes, des informations ne deviennent pas personnelles pour une entité simplement parce qu’un destinataire potentiel ultérieur dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle les informations se rapportent, comme c’est le cas aujourd’hui.

Cette approche, qui reprend celle consacrée par la CJUE dans son arrêt du 4 septembre 2025, ouvre donc une brèche majeure : des données pseudonymisées pourraient sortir du champ de la réglementation des données personnelles dès lors que l’entité qui les traite n’a pas, en pratique, la possibilité de réidentifier les personnes concernées. Le projet Digital Omnibus en tire les conséquences en introduisant un nouvel article 41a au RGPD, qui consacrerait cette approche.

Cette évolution proposée par la Commission européenne crée une zone de turbulence. En effet, le récent règlement européen relatif à l’Espace Européen des données de Santé n° 2025/327 (ci-après « EHDS ») adopté le 11 février 2025, distingue 2 procédures pour accéder aux données de santé électroniques.

L’article 68 encadre la délivrance d’une autorisation de traitement par l’organisme responsable de l’accès aux données de santé (Health Data Access Body, HDAB), permettant l’accès à des données de santé à caractère personnel, y compris lorsqu’elles sont pseudonymisées. Ces données demeurent pleinement soumises au RGPD. L’accès s’effectue dans des environnements de traitement sécurisés, assortis de garanties strictes, notamment l’interdiction de toute tentative de réidentification et le respect des droits des personnes concernées.

L’article 69 institue, quant à lui, une procédure distincte dite de « demande de données de santé » visant exclusivement à l’obtention d’une réponse dans un format statistique anonymisé. Dans ce cadre, l’utilisateur n’a pas accès aux données de santé ayant servi à produire cette réponse. Les informations ainsi fournies, dès lors qu’elles sont anonymisées, échappent au champ d’application du RGPD, tout en restant soumises aux conditions et contrôles prévus par le règlement EHDS.

Une part structurante du dispositif EHDS repose ainsi sur le postulat selon lequel les données pseudonymisées constituent des données personnelles, impliquant l’application de garanties renforcées telles que l’encadrement strict des environnements sécurisés, les obligations pesant sur les organismes d’accès aux données ou encore la protection des droits des personnes concernées.

Or, en introduisant une approche fondée sur les capacités réelles de réidentification, le Digital Omnibus ouvre la possibilité qu’une même donnée pseudonymisée ne soit plus considérée comme personnelle pour certaines entités. Alors comment articuler ce régime avec un EHDS qui, dans sa rédaction actuelle, appréhende ces données comme relevant du RGPD ? Il est difficile de ne pas imaginer une modification de l’EHDS si le RGPD se voit modifié conformément à la proposition de la Commission européenne.

Et une question surgit : comment l’EHDS dont la mise en application sur le volet réutilisation des données de santé ne débutera réellement qu’en 2029, peut-il se voir fragilisé avant même d’être pleinement déployé ? Cette anticipation réglementaire ne rend pas le dispositif inopérant, mais en brouille indéniablement la lecture et laisse les acteurs de santé dans une incertitude peu compatible avec leurs obligations.

Les conséquences nationales seraient tout aussi explosives. Tout d’abord, les méthodologies de référence (MR) de la CNIL reposent sur un postulat clair ; la pseudonymisation ne fait pas perdre aux données leur caractère personnel. Toute la logique du dispositif découle de cette qualification. Alors même que la CNIL s’apprête à modifier les MR, près d’un an et demi après avoir lancé ses consultations publiques, les MR devraient à nouveau être profondément remaniées à l’aune de ces nouvelles définitions.

De même, l’accès aux données du SNDS seraient également impacté par cette nouvelle définition : si le réutilisateur s’engage à ne pas réidentifier les personnes et n’a pas les moyens d’une telle réidentification alors la réglementation sur les données personnelles ne lui serait plus applicable – ni RGPD – ni la fameuse section 3 de la Loi Informatique et Libertés.

Le monde de la santé n’est toujours pas épargné, le Digital Omnibus redéfinit la recherche scientifique.

Le projet de règlement entend aussi proposer une définition élargie de la « Recherche scientifique », désormais présentée comme toute activité contribuant aux connaissances ou soutenant l’innovation, y compris lorsqu’elle s’inscrit dans une démarche commerciale ; introduisant ainsi une précision sur le caractère commercial de la recherche scientifique

Pour les plus avertis, cela fait penser à l’exigence l’article 66 de la Loi Informatique et Libertés, qui impose que les traitements en santé poursuivent une finalité d’intérêt public. Cette notion de finalité d’intérêt public, distincte de la base légale mission d’intérêt public du RGPD, n’exclut pas, par principe, l’existence d’une finalité commerciale, comme a pu déjà le confirmer le Conseil d’Etat (CE 10ème – 9ème chambres réunies, 30/06/2023, 469964).

En définitive, l’élargissement de la notion de recherche scientifique proposé par le projet de la Commission ne constitue pas une rupture radicale, mais s’inscrit dans une continuité déjà perceptible en droit interne.

Le projet de règlement Digital Omnibus introduit plusieurs ajustements substantiels relatifs à l’exercice des droits des personnes concernées, en particulier s’agissant des obligations d’information prévues par l’article 13 du RGPD.

Dans sa rédaction actuelle, l’article 13 impose au responsable du traitement de fournir à la personne concernée une information complète sur l’utilisation de ses données personnelles au moment de la collecte. Le projet propose toutefois d’introduire un assouplissement ciblé de cette obligation dans certaines situations limitées (article 3 §5 du projet).

Concrètement, lorsque les données sont collectées dans le cadre d’une relation claire et circonscrite entre la personne concernée et le responsable du traitement, et que ce dernier exerce une activité qui n’est pas intensive en données, l’information individuelle n’est plus systématiquement requise dès lors qu’il existe des raisons raisonnables de considérer que la personne dispose déjà au minimum des informations concernant l’identité du responsable de traitement ainsi que les finalités de ce dernier. Cette souplesse connaît toutefois des limites importantes : elle ne s’applique pas lorsque les données sont transmises à d’autres destinataires, transférées en dehors de l’Union européenne, utilisées dans le cadre d’une prise de décision automatisée, ou lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Le projet complète par ailleurs ce dispositif en ajoutant un paragraphe 5 à l’article 13 du RGPD précisant les règles applicables aux traitements réalisés à des fins de recherche scientifique (article 3 §6 du projet). Dans ce contexte particulier, lorsque la fourniture d’une information individuelle s’avère impossible ou impliquerait des efforts disproportionnés, ou encore lorsqu’elle risquerait de compromettre sérieusement la réalisation des objectifs de la recherche, le responsable du traitement pourrait être dispensé de fournir l’ensemble des informations prévues par l’article 13 du RGPD. Cette faculté resterait toutefois strictement encadrée et supposerait la mise en œuvre de garanties appropriées afin de préserver les droits et libertés des personnes concernées, notamment par la mise à disposition des informations relatives au traitement par des moyens accessibles au public.

Ces aménagements ne remettent en cause ni les principes fondamentaux du RGPD, ni les conditions de licéité des traitements, lesquels doivent toujours reposer sur une base juridique valable et respecter les exigences des articles 5 et 6 du règlement. À noter enfin que le projet ne prévoit aucun dispositif équivalent propre à la recherche scientifique pour les traitements reposant sur une collecte indirecte des données, régis par l’article 14 du RGPD, qui demeure inchangé.

Parallèlement, le projet de règlement Digital Omnibus introduit deux nouvelles exceptions à l’interdiction de traiter des données particulières, en complétant l’article 9 du RGPD par un paragraphe 5.

• Vérification d’identité par biométrie

Le traitement de données biométriques est autorisé lorsqu’il est strictement nécessaire à la vérification ou à l’authentification de l’identité, à condition que les données et moyens d’authentification demeurent sous le contrôle exclusif de la personne concernée.

• Traitement résiduel de données sensibles dans le cadre de l’IA

Cette exception vise les situations dans lesquelles des données sensibles apparaissent de manière non intentionnelle au sein de jeux de données utilisés pour le développement, l’entraînement, le test ou la validation de systèmes d’IA, malgré la mise en œuvre de mesures destinées à les exclure.

Le responsable du traitement est tenu de supprimer ces données dès leur identification ou, lorsque cette suppression impliquerait des efforts disproportionnés, de mettre en place sans délai des mesures techniques et organisationnelles empêchant toute utilisation, tout résultat associé ou toute divulgation de ces données.

Au-delà de ces dispositions, d’autres mesures sont mises en place qu’il convient de retenir :

• Un guichet unique pour les notifications

Le projet instaure un guichet européen unique pour la notification des violations de données personnelles, afin de rationaliser et d’harmoniser les obligations déclaratives des responsables de traitement.

Désormais, la notification à l’autorité compétente n’est requise que lorsque la violation est susceptible d’entraîner un « risque élevé » pour les droits et libertés des personnes concernées (article 33 du RGPD, tel que modifié par l’article 3 §8 du projet) et non plus un pour un simple « risque ». Le projet prévoit en outre l’élaboration d’un modèle européen de notification, accompagné d’une liste indicative des violations présentant un risque élevé, destinée à sécuriser l’appréciation des responsables de traitement.

Par ailleurs, le délai de notification est porté de 72 à 96 heures à compter de la prise de connaissance de la violation.

Enfin, ces notifications devront être transmises exclusivement via le guichet européen unique, mis en place au niveau de l’Union. En pratique, la CNIL n’est donc plus le point d’entrée direct pour les notifications de violations de données, celles-ci étant centralisées par ce mécanisme européen, tout en restant accessibles aux autorités nationales compétentes.

• Analyses d’impact harmonisées au niveau européen

Une liste commune des traitements nécessitant ou ne nécessitant pas la réalisation d’une analyse d’impact relative à la protection des données (AIPD) sera établie au niveau de l’Union européenne, en substitution des listes nationales aujourd’hui élaborées par chaque autorité de contrôle nationale.

Ces listes européennes, préparées par le Comité européen de la protection des données puis adoptées par la Commission, visent à harmoniser l’appréciation de la notion de « risque élevé », à renforcer la sécurité juridique des responsables de traitement et à garantir une application uniforme et prévisible de l’obligation d’AIPD dans l’ensemble des États membres (article 35 du RGPD, tel que modifié par l’article 3 §9 du projet).

• Vers un intérêt à agir pour le droit d’accès

Enfin, on notera que le projet précise le cadre d’exercice du droit d’accès, en modifiant le paragraphe 5 de l’article 12 du RGPD. Il rappelle que les demandes fondées sur l’article 15 doivent s’inscrire dans la finalité propre du droit d’accès, à savoir la protection des données à caractère personnel, et ne sauraient être détournées à des fins étrangères à cet objectif. À ce titre, les responsables de traitement peuvent refuser de donner suite, ou encadrer, les demandes manifestement infondées ou excessives, notamment lorsque leur traitement représenterait une charge disproportionnée au regard des moyens à mobiliser (Article 3 §4 du projet).

Cette clarification constitue une avancée bienvenue. Elle apporte enfin une réponse pragmatique à des pratiques largement répandues, notamment en matière de contentieux social, où le droit d’accès est trop souvent détourné de sa finalité pour devenir un outil d’investigation général, au prix d’une charge lourde et parfois disproportionnée pour les responsables de traitement. En réaffirmant le cadre et les limites de l’article 15 du RGPD, le projet contribue utilement à rééquilibrer l’exercice de ce droit. On peut dès lors espérer qu’une réflexion similaire soit engagée à l’avenir au niveau national s’agissant des demandes de communication de documents administratifs fondées sur le CRPA.

La simplification annoncée par le Digital Omnibus ne risque-t-elle pas, paradoxalement, de complexifier davantage le paysage juridique ? En remaniant la définition même de la donnée personnelle, c’est tout l’édifice européen et national de la réutilisation des données de santé qui se trouve fragilisé et appelé à être profondément remanié.

Une réforme menée à grande vitesse peut facilement faire dérailler un cadre jusque-là – si ce n’est simple – du moins cohérent. Vigilance, donc : derrière la promesse de simplification pourrait se cacher une remise en cause bien plus profonde qu’anticipée.