Europe & Union européenne
EEN
European Affairs
La Commission européenne a publié, le 19 novembre 2025, deux projets visant à amender plusieurs règlements et directives de l’Union européenne relatifs au numérique, aux données et à l’intelligence artificielle. Le projet « Proposal for Regulation on simplification of the digital legislation » (le « Digital Omnibus on Data ») vise principalement à modifier les règles relatives aux données, tandis que « Digital Omnibus on AI Regulation Proposal » propose, notamment, des ajustements au règlement sur l’intelligence artificielle.
L’objectif affiché par la Commission européenne avec le Digital Omnibus on Data est double :
apporter un soulagement immédiat aux entreprises, administrations publiques et citoyens de l’Union européenne ; et
renforcer la compétitivité de l’Union européenne face au reste du monde.
La Chambre de Commerce ne détaillera pas ici l’ensemble des modifications proposées, mais souhaite attirer l’attention sur les changements proposés par le Digital Omnibus on Data concernant deux législations clés qui seraient susceptibles d’impacter ses ressortissants, si elles sont adoptées.
Propositions de modification du Règlement général sur la protection des données (le « RGPD »)1
Les principales propositions de modification du RGPD2 visent :
La définition des « données à caractère personnel » : le texte propose de réduire le champ de la définition actuelle en excluant dans certains cas les données pseudonymisées.
Catégories de données particulières : le texte propose que des exceptions soient ajoutées au principe interdisant d’utiliser des données dites « sensibles » telles que les données de santé, notamment pour le développement de systèmes d’intelligence artificielle ou le traitement de données biométriques lorsque celles-ci seraient sous le contrôle exclusif de la personne concernée.
Limitation des demandes d’exercice des droits : le texte propose de permettre aux responsables de traitements de ne pas donner suite à une demande d’exercice des droits d’une personne concernée lorsque la personne concernée abuserait de ce droit dans un objectif distinct de la protection de ses données à caractère personnel (les « données personnelles »).
Notifications simplifiées : le texte propose que les violations de données personnelles (« Data Breach ») ne devraient être notifiées à l’autorité compétente que si elles présentaient un risque élevé pour les personnes concernées. Le délai de 72 heures actuel pour notifier ces violations devrait être allongé à 96 heures et un point d’entrée unique commun aux notifications d’incidents en application de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union dite « NIS 2 » 3 mis en place.
Listes concernant les analyses d’impact : le texte propose une liste harmonisée au niveau européen qui devrait définir les cas où une analyse d’impact sur la protection des données (AIPD) serait requise ainsi qu’une liste indiquant les cas où elle ne le serait pas. Un modèle et une méthodologie standardisés accompagnerait cette liste.
Cookies et consentement : le texte propose que les règles de la directive « e-Privacy » soient intégrées au RGPD, avec la possibilité d’exprimer ses choix via des signaux automatisés lisibles par machine.
Intelligence artificielle : le texte propose que le traitement des données personnelles pour l’entraînement et le fonctionnement des systèmes ou modèles d’intelligence artificiel soit possible, sous conditions, sur la base de l’intérêt légitime du responsable du traitement.
Propositions de modifications du règlement sur les données (le « Data Act »)4
Le Digital Omnibus on Data prévoit notamment que le Data Act devienne le texte central du droit des données en intégrant certaines dispositions du règlement sur la gouvernance des données5 et des dispositions de la directive concernant les données ouvertes et la réutilisation des informations du secteur public6, lesquelles devraient ensuite être abrogées.
Le Digital Omnibus on AI Regulation Proposal et le Digital Omnibus on Data font, en outre, l’objet d’une consultation ouverte pendant huit semaines. Pour contribuer, vous pouvez le faire via ce lien : Donnez votre avis.
1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
2 Article 3 du Digital Omnibus on Data
3 Directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2)
4 Règlement (UE) 2023/2854 du Parlement Européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données et de l’utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données)
5 Règlement (UE) 2022/868 du Parlement Européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données)
6 Directive (UE) 2019/1024 du Parlement Européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public
******
Pour toute question, nous vous invitons à adresser un e-mail à l’adresse suivante : juridique@cc.lu.