Digital Omnibus : ce que la simplification réglementaire change pour la confiance numérique
RGPD, directive ePrivacy, Data Act, NIS2, DORA, ou plus récemment AI Act. En quelques années, l’Union européenne a construit un ensemble dense de réglementations encadrant l'environnement numérique du continent.
Si l’objectif premier de ces textes est de protéger les citoyens, leurs données et leurs droits dans l’espace numérique commun, cette dynamique génère une complexité croissante pour les entreprises, confrontées à des obligations parfois redondantes, à des définitions qui varient d’un texte à l’autre et à des mécanismes de conformité difficiles à articuler.
C’est dans ce contexte que la Commission européenne a présenté, en novembre 2025, la proposition de règlement Digital Omnibus dont l’objectif est : de simplifier l’application du cadre numérique européen, de réduire le coût de mise en conformité et de rendre les règles plus claires, tant pour les entreprises que pour les administrations.
Mais simplifier ne veut pas dire déréguler. Et pour les organisations, cette évolution ne doit pas être interprétée comme un recul de la conformité.
Le Digital Omnibus invite ainsi à repenser la manière dont la confiance numérique est construite, documentée et démontrée dans les parcours digitaux.
Pourquoi l’Europe veut simplifier son cadre réglementaire numérique
Le Digital Omnibus s'inscrit dans une démarche plus large de modernisation du « digital rulebook » européen.
Pour rappel, le digital rulebook désigne l'ensemble des textes européens encadrant les technologies numériques émergentes, la cybersécurité, les plateformes en ligne et les communications électroniques. Sa révision fait notamment suite au rapport Draghi de 2024, qui pointait les lourdeurs administratives et les incohérences réglementaires comme l'un des freins à la compétitivité européenne, en particulier pour les jeunes entreprises numériques cherchant à changer d'échelle. Sur cette base, la Commission s'est engagée, pour son mandat 2024-2029, à mener un effort de simplification du cadre numérique. Elle reconnaît que l'empilement des textes a exposé les entreprises à des coûts de mise en conformité élevés et, dans certains cas, à de l'incertitude juridique.
Le projet Digital Omnibus propose donc des ajustements ciblés portant notamment sur les données, la protection de la vie privée, les cookies, la notification d'incidents cyber et certains aspects de l'AI Act.
La Commission estime que ces mesures de simplification pourraient générer jusqu'à 5 milliards d'euros d'économies de coûts administratifs d'ici 2029. Un chiffre qui donne la mesure de l'ambition. Simplifier pour réduire les coûts, mais aussi pour permettre aux entreprises européennes de se concentrer davantage sur l'innovation et la qualité de leurs services numériques.
Données, IA et cybersécurité : les trois axes du Digital Omnibus
Données : un cadre unifié pour réutiliser et partager les données plus facilement
Le premier volet simplifie les règles européennes sur les données en les consolidant autour de deux grands textes : un Data Act élargi et le RGPD, qui reste la référence pour la protection des données personnelles.
L’objectif est de rendre le cadre plus simple à lire et plus facile à appliquer. Le projet clarifie les conditions d’accès, de partage et de réutilisation des données, qu’elles proviennent du secteur public ou qu’elles soient détenues par des acteurs privés.
Le projet touche aussi à la définition de la donnée personnelle. Aujourd’hui, une donnée personnelle relève du RGPD dès lors qu’elle permet d’identifier une personne, même indirectement. Avec le Digital Omnibus, cette appréciation pourrait devenir plus contextuelle : une entreprise recevant des données pseudonymisées, sans moyen raisonnable de ré-identifier les personnes concernées, pourrait dans certains cas sortir du champ du RGPD pour ce traitement précis.
Cette évolution pourrait faciliter certains projets de partage de données, d’innovation ou d’IA. Mais elle reste fortement discutée. Le texte est encore en débat, et le Comité européen de la protection des données (EDPB), ainsi que le Contrôleur européen de la protection des données (CEPD), ont déjà exprimé des réserves sur ce point.
Le Digital Omnibus vise également à simplifier le consentement des utilisateurs dans la gestion des données. Aujourd’hui, les utilisateurs sont confrontés à une multiplication de bandeaux cookies, souvent complexes, peu compréhensibles et parfois conçus pour pousser à l’acceptation. Le projet propose de réduire le nombre de situations nécessitant un consentement, de simplifier les choix et de permettre aux utilisateurs d’exprimer certaines préférences de manière centralisée, par exemple via leur navigateur.
Selon la Commission, cette évolution pourrait générer plus de 800 millions d’euros d’économies annuelles pour les entreprises.
Intelligence artificielle : ajuster le calendrier d'application de l'AI Act
Ici, le Digital Omnibus cherche surtout à faciliter l’application de l’AI Act pour les usages les plus sensibles.
C’est le cas des systèmes d’IA dits « à haut risque », c’est-à-dire ceux qui peuvent avoir un impact direct sur la sécurité, la santé ou les droits fondamentaux des personnes, par exemple dans le recrutement, l’éducation, l’accès au crédit, la justice ou certains services publics.
Le principal ajustement concerne le calendrier. L’application des règles pour ces systèmes serait mieux alignée avec la disponibilité des normes techniques et des outils pratiques nécessaires pour les respecter. L’objectif est d’éviter que les entreprises soient soumises à des obligations complexes sans disposer encore de standards clairs.
Le projet prévoit aussi des simplifications, parmi lesquelles une documentation allégée pour les PME et ETI, une réduction de certaines obligations d’enregistrement, et davantage de souplesse dans le suivi des modèles d'IA après leur mise sur le marché.
Cybersécurité : simplifier la déclaration des incidents
Lorsqu’une entreprise fait face à un incident de sécurité, elle peut aujourd’hui devoir faire une déclaration auprès des autorités compétentes au titre de plusieurs textes à la fois, comme NIS2, le RGPD, DORA ou la directive sur la résilience des entités critiques. En pleine gestion de crise, cette superposition peut ralentir les démarches, alourdir la réponse opérationnelle et nuire à la qualité des déclarations.
Le projet propose donc de créer un point d’entrée unique pour les notifications d’incidents. Concrètement, l’entreprise déposerait sa déclaration une seule fois, via une interface commune mise en place et maintenue par l’ENISA, l’agence européenne chargée de la cybersécurité. Les informations seraient ensuite transmises aux autorités concernées, selon les textes applicables.
La Commission estime que ce mécanisme pourrait réduire de moitié l’effort de reporting pour une large majorité d’organisations.
Ce que cette simplification change pour la confiance numérique
Le Digital Omnibus ne réduit pas l’importance de la conformité. Il en modifie plutôt les conditions d’application. Moins de doublons, moins de démarches parallèles et des règles plus claires : c’est une avancée pour les entreprises. Mais cette simplification ne produira de la confiance que si elle se traduit concrètement dans les parcours numériques.
Pour les utilisateurs, la confiance repose d’abord sur la compréhension et le contrôle. Or, c’est précisément là que le décalage est le plus fort. Le Thales Digital Trust Index 2026 indique que seulement 16 % des utilisateurs comprennent comment leurs données sont utilisées. Le même rapport montre que 66 % font davantage confiance aux entreprises qui proposent des paramètres de confidentialité faciles à gérer, alors que seulement 8 % trouvent ces paramètres réellement simples à utiliser.
Le sujet n’est donc pas seulement de réduire la charge réglementaire. Il est de rendre les pratiques plus claires : expliquer les usages de données, respecter les choix exprimés, sécuriser les accès, garder une trace des décisions importantes et pouvoir justifier les traitements en cas de contrôle.
C’est ici que la confiance numérique devient un enjeu opérationnel. Une règle plus simple ne suffit pas si les parcours restent opaques ou difficiles à maîtriser. Pour les organisations, le défi sera de transformer cette simplification réglementaire en expérience plus lisible, plus cohérente et plus fiable pour leurs utilisateurs.
Comment les entreprises peuvent-elles se préparer dès maintenant ?
Si les dispositions du Digital Omnibus peuvent encore évoluer au cours du processus législatif européen, les tendances sont déjà claires : simplification, harmonisation, recherche de compétitivité, mais aussi exigence de responsabilité, de sécurité et de démontrabilité.
Les entreprises ont donc intérêt à anticiper dès maintenant, non pas en pariant sur un allègement futur, mais en renforçant les fondations de leur gouvernance numérique.
Cartographier les traitements et les flux de données. Il est difficile de qualifier correctement une donnée, de mesurer un risque ou de documenter une décision si l’organisation ne sait pas précisément quelles données circulent, entre quels systèmes, avec quels tiers et pour quelles finalités.
La documentation des choix. Dans un cadre plus contextuel, les décisions doivent être explicables. Lorsqu’une entreprise estime qu’un jeu de données est suffisamment pseudonymisé, qu’un partage est licite ou qu’un traitement repose sur une base légale appropriée, cette analyse doit être formalisée, versionnée et accessible.
La traçabilité. Les organisations doivent disposer de journaux fiables sur les consentements, les accès, les modifications, les échanges de données, les signatures, les preuves d’identité et les actions sensibles. Cette traçabilité doit être exploitable, pas seulement stockée.
La centralisation des preuves. Trop souvent, les éléments nécessaires à la conformité sont dispersés entre les équipes, les prestataires et les outils métiers. Or, en cas d’audit ou de contrôle, la capacité à produire rapidement une preuve cohérente devient déterminante.
Intégrer les consentements dès la conception des parcours numériques. Un bandeau ajouté après coup ne suffit pas : la collecte et la mise à jour des préférences doivent être pensées comme une brique native du parcours utilisateur, connectée aux outils métiers, plutôt qu'ajoutées en bout de chaîne.
Faites de la confiance numérique un levier opérationnel avec LuxTrust
L’offre LuxTrust répond directement à cet enjeu. Avec Fair&Smart, notre solution dédiée à la gestion des consentements et des préférences, les entreprises peuvent intégrer cette brique nativement dans leurs parcours numériques, la connecter à leurs outils métiers et conserver une trace exploitable des choix réalisés.
L’objectif : rendre les consentements plus faciles à gérer pour les équipes, plus lisibles pour les utilisateurs et plus simples à démontrer en cas de contrôle.
Se préparer au Digital Omnibus, ce n’est donc pas ajouter une couche de conformité. C’est mettre en place des fondations plus solides pour gouverner les données, respecter les choix des utilisateurs et construire une confiance numérique démontrable.