Articles
Actus Privacy
Digital Omnibus : Ce qu’il faut savoir sur le projet de simplification du RGPD
Actus Privacy
new

Digital Omnibus : Ce qu’il faut savoir sur le projet de simplification du RGPD

Publié  

11/21/2025

par 

Thierry Maout

7
min lecture

Published  

November 21, 2025

by 

Thierry Maout

10 min read
Sommaire

La Commission européenne a officiellement présenté son initiative Digital Omnibus le 19 novembre 2025, dévoilant une série de modifications proposées au cadre réglementaire actuellement en vigueur en Europe. L’objectif affiché : simplifier l’écosystème numérique, favoriser l’innovation pour les entreprises européennes et améliorer l’expérience en ligne des consommateurs.

Dans cet article, nous revenons sur le contexte qui nous a menés à cette annonce, puis détaillons ce que contient la version finale (à ce stade) du Digital Omnibus, en nous concentrant sur notre champ d’expertise, avant de partager nos conclusions et la direction que nous pensons nécessaire pour la suite.

À retenir : Bien qu’une partie des plus petits sites web pourrait ne plus avoir besoin de CMP pour certaines fonctions basiques sur la base des changements proposés dans le Digital Omnibus, la réalité serait inverse pour la majorité des organisations.

De la nécessité d’établir une traçabilité robuste du consentement, au rôle critique de la configuration, en passant par la classification des finalités et des vendors, ou encore la future obligation potentielle de prendre en charge un (ou plusieurs) standards européens de signalement automatisé du consentement, le nouveau cadre proposé introduit des niveaux supplémentaires de subtilité, de conditions, de seuils et d’exemptions qui nécessiteront une interprétation précise et un suivi continu.

Enfin, il est important de garder à l'esprit que le Digital Omnibus est une proposition, pas une modification des obligations. Rien ne change aujourd’hui.

Digital Omnibus de la Commission européenne: Contexte, calendrier et objectifs

Ces dernières années (et depuis l’adoption du RGPD) l’écosystème réglementaire de l’Union Européenne s’est considérablement étoffé. De nombreuses lois et réglementations sont entrées en vigueur, créant ce que certaines organisations perçoivent comme un environnement complexe, parfois difficile à appréhender.

Parallèlement, les consommateurs européens ont été exposés à un nombre croissant de bannières de consentement, menant à un phénomène connu sous le nom de fatigue du consentement (consent fatigue en anglais), selon lequel les choix en matière de protection des données seraient impactés par une surexposition aux bannières et autres interfaces privacy.

Pour répondre à ces préoccupations, la Commission européenne a fait de la simplification réglementaire une priorité et a introduit le Digital Omnibus, un ensemble de réformes visant à réduire les charges administratives et de conformité, harmoniser les règles entre différents textes, éliminer les redondances, et rendre les règles plus simples à appliquer pour les entreprises.

Digital Omnibus: Le calendrier à ce jour

La Commission européenne a lancé un appel public à contributions le 16 septembre 2025 afin de recueillir des avis sur la manière dont différentes réglementations numériques pourraient être simplifiées (auquel nous avons répondu publiquement).

La consultation s’est clôturée le 14 octobre 2025, et environ un mois plus tard, une version interne du projet de texte du Digital Omnibus a fuité en ligne, suscitant de nombreuses réactions, notamment de la part de notre Chief Privacy Officer, Thomas Adhumeau.

La version finale du texte a été publiée cette semaine, le mercredi 19 novembre 2025.

Que dit le Digital Omnibus dans sa version finale ?

Le 19 novembre 2025, la Commission européenne a officiellement annoncé sa proposition pour un nouveau Digital Package visant à simplifier les règles numériques de l’UE et à stimuler l’innovation, articulé autour de plusieurs points clés :

  • Des règles d’IA favorables à l’innovation, comprenant des amendements proposés à l’AI Act.
  • Un reporting cybersécurité simplifié, pour permettre aux entreprises de signaler les incidents via une plateforme unique.
  • Des amendements du RGPD pour stimuler l’innovation et soutenir la conformité des organisations.
  • Un meilleur accès aux données grâce à la consolidation des règles européennes, y compris l’introduction d’exemptions pour les petites entreprises et un soutien renforcé pour les entreprises européennes d’IA.
  • Une modernisation des règles relatives aux cookies afin d’améliorer l’expérience des utilisateurs.

Penchons-nous plus en détail sur ces deux derniers points, qui relèvent directement de notre domaine d’expertise.‍

Proposition du Digital Omnibus concernant la collecte du consentement

La Commission européenne propose des mises à jour du RGPD visant spécifiquement à simplifier les règles entourant les cookies, conformément à son objectif annoncé de réduire la fatigue du consentement. Les principaux points mentionnés sont :

  • Déplacement des règles cookies vers le RGPD : les règles régissant la gestion et le rôle des cookies seraient transférées de l’ePrivacy au RGPD.
  • Limitation de fréquence du consentement (consent capping) : un refus devrait être respecté pendant au moins 6 mois, sans indication précise concernant une éventuelle limite équivalente pour un consentement accordé.
  • Exemption sectorielle : les grands éditeurs et médias seraient soumis à des règles différentes, du fait de l’importance des revenus publicitaires pour le pluralisme médiatique.
  • Liste d’exemptions : la collecte de données pour des usages « à faible risque » pourrait être exemptée de l’obligation de recueillir le consentement de l’utilisateur.
  • Consentement « en un clic » : possibilité pour les utilisateurs de répondre aux demandes de consentement de manière facile et intelligible grâce à un bouton en un seul clic ou un moyen équivalent.
  • « Choix automatisés et lisibles par machine » : mise en place d’un signal émis par le navigateur ou le système d’exploitation permettant aux utilisateurs de définir la manière dont leurs données peuvent être partagées et traitées.

Le Commissaire européen à la Démocratie, à la Justice, à l’État de droit et à la Protection des consommateurs a développé la vision derrière ces changements (visant à générer plus de 800 millions d’euros d’économies annuelles pour les entreprises) dans des remarques officielles accompagnant l’annonce du Digital Omnibus (traduit de l'anglais par nos soins) :

Nous introduisons également des changements aux règles actuelles concernant les bannières cookies afin de garantir que les utilisateurs puissent exprimer de véritables choix et garder leurs appareils en sécurité :

– Les utilisateurs resteront maîtres et pourront accepter ou refuser les cookies en un clic.
– Les organisations devront respecter les choix des utilisateurs pendant 6 mois.
– Nous proposons également de définir davantage de situations à faible risque pour lesquelles le consentement ne devrait pas nécessiter la collecte de données personnelles sur les appareils connectés. Ce serait par exemple le cas lorsqu’il s’agit de maintenir ou de restaurer la sécurité d’un appareil.

- Michael McGrath, Commissaire européen à la Démocratie, à la Justice, à l’État de droit et à la Protection des consommateurs (Source: Remarks by Executive Vice-President Virkkunen, Commissioner Dombrovskis and Commissioner McGrath on the digital simplification package, Commission européenne)

‍Bien que séduisants en théorie, que signifieraient concrètement ces changements pour les entreprises européennes, y compris nombre de nos clients ?‍

Trois points clés à retenir concernant le Digital Omnibus et son impact potentiel sur les CMPs

Nous avons naturellement suivi cette initiative de très près et avons déjà partagé notre point de vue publiquement à travers du contenu éducatif, des tribunes de notre leadership, des apparitions dans la presse et notre participation au processus présenté par la Commission.

Les opinions sur le Digital Omnibus ont tendance à se polariser : d’un côté, la vision selon laquelle cette initiative pourrait priver les consommateurs européens de leurs droits et favoriser la Big Tech ; de l’autre, une perspective optimiste selon laquelle elle pourrait renforcer la compétitivité européenne sur la scène mondiale. Notre position se situe entre les deux.

Ci-dessous, nous détaillons les aspects de la proposition qui compteront, d'après nous, le plus pour les équipes privacy, conformité, marketing et produit.

1. La classification des vendors, les exemptions et la responsabilité accrue ajouteront des couches supplémentaires de complexité

Alors que l’objectif affiché du Digital Omnibus est la simplification, en particulier pour les petits sites web dont l’usage de données est limité, la réalité pour la plupart des organisations est plus nuancée.

En transférant les règles relatives aux cookies dans le RGPD et en introduisant de nouvelles catégories d’exemptions, la proposition met en lumière l’importance d’une configuration précise, d’une gouvernance continue et d’une traçabilité du consentement fiable.

Les organisations devront évaluer bien plus de conditions avant de décider si un traitement nécessite un consentement, relève d’une exemption, ou s’il existe une autre voie possible. Le rôle d’une CMP moderne évoluera naturellement pour aider les équipes à répondre à des questions comme :

  • Ce traitement nécessite-t-il encore un consentement, ou relève-t-il d’une des nouvelles exemptions « à faible risque », et comment documenter cette décision ?
  • Comment classifier avec précision chaque vendor et chaque finalité, surtout lorsque les exemptions varient selon la finalité, la technologie et la catégorie de données ?
  • Quelles preuves devons-nous rassembler pour démontrer la traçabilité du consentement, maintenant que les règles cookies sont soumises aux sanctions du RGPD ?
  • Comment gérer le consent capping (respect des refus pendant six mois) à travers les bannières, l’analytics et les parcours utilisateurs sans perdre des insights business essentiels ?
  • Comment concilier les éventuels signaux de préférences émis par le navigateur avec les choix granulaires et spécifiques aux vendors exigés par notre stack marketing, analytique et publicitaire ?

Pour de nombreuses organisations (en particulier celles impliquées dans la publicité, les analytics, la personnalisation, le suivi inter-domaines ou l'IA), les propositions du Digital Omnibus rendent la CMP encore plus essentielle, et les entreprises auront besoin de partenaires de confiance pour opérationnaliser ces règles de manière cohérente à travers marchés et technologies.

2. Les architectures de données privacy-first et le server-side deviendront de plus en plus importantes

L’introduction d’exemptions pour les usages de données à faible risque, la possibilité de réaliser certaines opérations sans s’appuyer sur des données extraites des terminaux des utilisateurs, et l’intégration des règles cookies dans le RGPD indiquent un changement dans la manière dont les organisations devront réfléchir à la collecte et au traitement des données.

Traditionnellement, nombre de ces opérations reposaient sur des cookies ou d’autres signaux client-side. Mais à mesure que l’Omnibus renforce la responsabilité et introduit de nouvelles catégories exemptées dépendant de la nature et de la sensibilité des données, les entreprises auront besoin d’architectures techniques qui favorisent la minimisation, l’agrégation et des flux de données privacy-first.

Nous voyons ici une opportunité pour les Privacy Enhancing Technologies (PETs), et plus spécifiquement pour le server-side tagging, d’aider à relever certains de ces défis, en permettant notamment de :

  • Limiter l’exposition aux données brutes au niveau du terminal
  • Réduire la dépendance au tracking client-side
  • Concevoir des pipelines de données conformes s’inscrivant dans un traitement « faible risque » ou « indépendant du terminal »
  • Maintenir des insights essentiels tout en respectant les attentes réglementaires en constante évolution

Crucialement, cela n’élimine pas le besoin de gestion du consentement. Cela crée au contraire de nouveaux points de décision pour les entreprises : quand le consentement est-il requis, quand une exemption peut-elle s’appliquer, quand une approche de minimisation est-elle adaptée, et comment documenter ces choix?

Bien que l’Omnibus ne prescrive pas directement ces technologies, sa structure oriente les organisations vers des stratégies axées sur la privacy, le server-side et la minimisation. Notre rôle sera d’accompagner les entreprises dans ces choix et dans leur mise en œuvre de manière responsable.

3. Les choix automatisés et lisibles par machine sont impossibles sans standardisation

D’un point de vue technique, notre Chief Privacy Officer souligne depuis longtemps les limites de diverses approches de « simplification » du consentement, qui négligent souvent leur faisabilité pratique pour les organisations. On retrouve des commentaires détaillés dans ce même blog, datant de 2023 :

En théorie, l’idée est excellente : l’utilisateur définit une fois ses préférences de collecte de données dans son navigateur, et la technologie s’occupe du reste, en transmettant automatiquement ces choix à chaque site visité. Tout se passe en arrière-plan, les bandeaux de consentement sont moins visibles, et les préférences de l’utilisateur sont censées être respectées.

Mais en pratique, les choses sont loin d’être aussi simples.

L’absence de standardisation rend ce système très difficile à mettre en œuvre. Quand les choix utilisateurs deviennent complexes, comment garantir qu’ils soient correctement interprétés et appliqués sans un cadre de référence clair ? D’un site à l’autre, d’un service à l’autre, les finalités de traitement, les fournisseurs tiers, et l’ensemble des choix disponibles peuvent varier énormément.

Alors comment la technologie peut-elle faire respecter ces préférences de manière fiable et précise ? Et surtout, ce consentement reste-t-il valable ? Prenons l’exemple des données personnelles utilisées à des fins d’analytics : un site pourra appeler cela « performance du site », un autre « mesure du comportement utilisateur », et un troisième « insights visiteurs ».

Cette disparité dans le vocabulaire rend quasi impossible une transmission cohérente et fidèle des préférences d’un utilisateur d’un site ou d’une app à l’autre, ce qui pose un vrai problème pour la validité du consentement.

- Thomas Adhumeau, Chief Privacy Officer chez Didomi (source: Cookies, consent fatigue, and privacy standards: What's next for the AdTech industry?, blog Didomi)

Les écueils restent les mêmes dans cette dernière proposition de la Commission européenne, comme dans de nombreuses tentatives précédentes visant à résoudre le même problème.


L’idée de « paramètres automatisés, lisibles par machine et centralisés » est excellente. Cependant, elle ne fournit pas encore de voie claire pour devenir réalité sans un standard en place.

Principaux points à retenir pour notre CEO, Romain Gauthier 

Plus que tout, le texte confirme notre conviction que les acteurs du consentement et les fournisseurs de solutions privacy tech comme Didomi sont appelés à jouer un rôle clé dans l’avenir de la protection des données au sein de l’Union européenne.


Les organisations ont besoin de partenaires de confiance capables d’apporter clarté, transparence, solutions et expertise pour naviguer dans des règles en constante évolution, tout en maintenant leurs performances commerciales et en respectant les droits des consommateurs.‍


Pour que la simplification se concrétise, des standards globaux doivent émerger, en collaboration avec toutes les parties prenantes, comme le souligne notre CEO et cofondateur, Romain Gauthier :‍

En l’état, le Digital Omnibus va probablement accroître la complexité des activités numériques pour les entreprises européennes les plus avancées. Les principes derrière l’initiative sont bons, mais les détails que nous voyons dans cette version doivent être affinés. C’est comme si l’esprit y était, mais la lettre pas encore tout à fait.

Chez Didomi, nous évaluons la meilleure façon de soutenir nos clients dans ces ajustements. Nous pensons également que la solution à la fatigue du consentement réside dans un standard global, lisible par machine, sur lequel nous travaillons activement avec d’autres parties prenantes du secteur de la privacy, de la technologie, du commerce et des politiques publiques. Nous y voyons un véritable potentiel de devenir un standard mondial, s’il est mis en place de manière rigoureuse.

Nous voyons également une opportunité pour les organisations de tirer parti des technologies renforçant la protection des données, y compris le server-side tagging, pour naviguer parmi certaines des nouvelles exemptions.

Nous continuerons à prendre part aux discussions avec toutes les parties concernées pour atteindre un objectif commun : soutenir les entreprises européennes tout en maintenant les standards les plus élevés de protection des données.

- Romain Gauthier, CEO et cofondateur de Didomi 

Sans standards complets, les ambitions de l’Union européenne seront limitées par l’absence de ressources et de cadre permettant aux organisations de maintenir leurs opérations tout en respectant le niveau élevé de protection des données auxquels les Européens s’attendent.

Quelles sont les prochaines étapes pour le Digital Omnibus?

Maintenant que le texte final a été soumis, le processus législatif est en cours. Il est difficile d’établir un calendrier précis des étapes à venir (particulièrement pour un texte aussi controversé). Toutefois, le parcours réglementaire habituel est le suivant :

  1. Proposition de la Commission européenne : le texte final est soumis au Parlement et au Conseil.
  2. Examen par le Parlement et le Conseil : chacun établit sa position, amende le texte et définit un mandat de négociation.
  3. Trilogues : les trois institutions négocient et s’accordent sur une version finale unique.
  4. Adoption et entrée en vigueur : le Parlement et le Conseil approuvent l’accord. La loi est ensuite publiée et entre en vigueur, généralement 20 jours plus tard.‍

La durée de l’ensemble du processus dépendra de nombreux facteurs. Les initiatives Omnibus suivent la même procédure, mais leur adoption est généralement plus rapide car elles ne constituent pas une nouvelle loi, mais un ensemble d’amendements ciblés. Néanmoins, les premiers effets concrets ne devraient pas intervenir avant fin 2026 ou 2027.

Suivez-nous ici et sur LinkedIn pour continuer à découvrir nos analyses et nos mises à jour sur les développements à venir.

L'auteur
Les auteurs
Thierry Maout
Lead content manager at Didomi.
Managing content at Didomi. I love reading, writing, and learning about data privacy, technology, culture, and education.
Voir les contributions
Thierry Maout
Lead content manager at Didomi.
Managing content at Didomi. I love reading, writing, and learning about data privacy, technology, culture, and education.
Access author profile
Access author profile

Articles reliés

Actus Privacy
Paquet digital omnibus de simplification de la Commission européenne : La fin de la fatigue du consentement ?
October 20, 2025
Lire l'article
Actus Privacy
Le TCF est-il illégal ? Analyse rationnelle de la situation entre l’IAB Europe et l’APD belge (mai 2025)
May 16, 2025
Lire l'article
Actus Privacy
Google Chrome conserve finalement les cookies tiers : Que faut-il en retenir ?
April 29, 2025
Lire l'article
Actus Privacy
Le retrait du consentement : l’enjeu sous-jacent de la décision de la CNIL dans l’affaire Orange
January 24, 2025
Lire l'article
Actus Privacy
Tendances privacy en 2025 : les prédictions de notre équipe
January 14, 2025
Lire l'article
Actus Privacy
AdTech : l'importance cruciale de surveiller la conformité de ses partenaires
December 11, 2024
Lire l'article