Ce que la Commission a réellement proposé

Le 19 novembre 2025, la Commission européenne a publié le Digital Omnibus, un paquet qui modifierait le RGPD aux côtés des règles ePrivacy, du Data Act et d'autres textes du droit numérique. Il s'agit de la première tentative sérieuse de révision du RGPD depuis l'entrée en vigueur du règlement en mai 2018. L'objectif affiché est la simplification : moins d'obligations administratives pour les traitements à moindre risque, des définitions plus claires et un point unique pour le signalement des incidents à travers plusieurs instruments de l'UE.

Plusieurs changements comptent pour une entreprise dirigée par son propriétaire. L'obligation de désigner un délégué à la protection des données serait restreinte, de sorte que moins d'entreprises seraient tenues d'en nommer un. La définition des données à caractère personnel serait clarifiée, avec une attention particulière aux données pseudonymisées, de sorte qu'une information pourrait ne pas être considérée comme personnelle pour une entreprise qui ne dispose d'aucun moyen raisonnable d'identifier la personne concernée. L'exemption de tenue d'un registre des traitements s'élèverait vers des effectifs plus importants, et la notification des violations passerait d'un délai de 72 heures à un délai de 96 heures, et ne s'appliquerait que lorsque le risque pour les personnes est élevé.

Pourquoi il s'agit d'une proposition et non de la loi

Rien de tout cela n'est en vigueur. Le Digital Omnibus est un projet de règlement qui est entré dans la procédure législative ordinaire de l'UE, ce qui signifie qu'il doit être négocié et approuvé par le Parlement européen et le Conseil de l'Union européenne avant de pouvoir être adopté. Les textes qui entrent dans ce processus sont régulièrement modifiés, et certaines parties de celui-ci font déjà l'objet de remaniements. Selon le calendrier actuel, l'adoption définitive n'est pas attendue avant fin 2026 ou 2027, et toute nouvelle obligation serait alors assortie de ses propres dates de transition.

La réforme est par ailleurs contestée par les instances qui supervisent la protection des données. Dans un avis conjoint du 11 février 2026, le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont salué une partie de la simplification, notamment le régime de notification des violations plus léger, tout en s'opposant fermement à la définition plus restreinte des données à caractère personnel et au pouvoir qu'elle conférait à la Commission de décider, par acte d'exécution, de ce qui est considéré comme personnel après pseudonymisation. Ce désaccord est un signal clair que la formulation finale n'est pas encore arrêtée.

Ce qu'un dirigeant devrait faire maintenant

L'erreur est facile à commettre dans les deux sens. La première consiste à ignorer totalement la réforme et à se retrouver pris au dépourvu lorsque les obligations changeront enfin. La seconde, plus coûteuse, consiste à commencer dès maintenant à démanteler son dispositif de protection des données sur la foi d'une proposition : retirer un délégué à la protection des données, supprimer des registres ou assouplir les procédures de notification alors que le RGPD actuel reste pleinement en vigueur et pleinement applicable. Jusqu'à l'adoption, les règles d'aujourd'hui s'appliquent intégralement, et les autorités de contrôle peuvent toujours s'en prévaloir.

La réponse mesurée consiste à suivre le dossier et à planifier en conséquence, et non à agir sur cette base. Notez lesquelles de vos obligations actuelles s'allégeraient si la proposition était adoptée à peu près dans sa forme présente, et là où le changement réduirait réellement un coût ou un risque concret pour votre entreprise. Maintenez votre conformité actuelle en l'état, suivez les étapes au Parlement et au Conseil ainsi que les avis des autorités de contrôle, et soyez prêt à agir rapidement une fois qu'un texte final et ses dates de transition seront connus. Une préparation disciplinée coûte peu. Un démantèlement prématuré vous expose pour un bénéfice qui n'existe pas encore.