Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Simplification du cadre législatif en matière de numérique (train de mesures omnibus sur le numérique)

2025/0360(COD)

OBJECTIF : simplifier le cadre législatif numérique (Omnibus numérique).

ACTE PROPOSÉ : Règlement du Parlement européen et du Conseil.

RÔLE DU PARLEMENT EUROPÉEN : le Parlement européen statue conformément à la procédure législative ordinaire et sur un pied d'égalité avec le Conseil.

CONTEXTE : dans sa communication intitulée «Une Europe plus simple et plus rapide», la Commission a annoncé son engagement en faveur d'un programme ambitieux visant à promouvoir des politiques innovantes et tournées vers l'avenir qui renforcent la compétitivité de l'UE et allègent considérablement la charge réglementaire pesant sur les citoyens, les entreprises et les administrations, tout en maintenant les normes les plus élevées en matière de promotion des valeurs de l'UE.

En conséquence, la Commission a donné la priorité à la proposition d'ajustements immédiats de la législation, y compris la législation numérique, afin de relever le défi de la compétitivité de l'Union.

La présente proposition sur l’«Omnibus numérique» simplifie les lois européennes sur les données et les rend plus simples à appliquer pour les consommateurs et les entreprises. Elle comprend un ensemble d’amendements techniques à un vaste corpus de législation numérique, sélectionnés pour apporter un soulagement immédiat aux entreprises, aux administrations publiques et aux citoyens, afin de stimuler la compétitivité. L’objectif immédiat est de garantir que le respect des règles se fasse à moindre coût, atteigne les mêmes objectifs et apporte en soi un avantage concurrentiel aux entreprises responsables.

La proposition regroupe toutes les règles relatives aux données en deux seules lois majeures: la Loi sur les données et le Règlement général sur la protection des données (RGPD), qui reste central.

Dans le même temps, les amendements proposés restent de nature technique, cherchant à ajuster le cadre réglementaire mais sans en modifier les objectifs sous-jacents. Les mesures sont calibrées pour préserver la même norme de protection des droits fondamentaux.

La proposition est accompagnée d’une seconde proposition modifiant le règlement (UE) 2024/1689 (Loi sur l’IA), composant ensemble le paquet «Omnibus» dans le domaine du numérique.

CONTENU : les principales modifications concernent les points suivants :

Modernisation des règles relatives aux cookies

La Commission prévoit des dispositions visant à réduire le nombre d'apparitions des bannières relatives aux cookies et à permettre aux utilisateurs de donner leur consentement en un seul clic et d'enregistrer leurs préférences en matière de cookies grâce à des paramètres centraux dans les navigateurs.

Clarifications du RGPD pour faciliter la mise en conformité

Des modifications ciblées du RGPD permettront d'harmoniser, de clarifier et de simplifier certaines règles afin de stimuler l'innovation et de faciliter la mise en conformité des organisations, tout en conservant l'essence même du RGPD et en maintenant le plus haut niveau de protection des données à caractère personnel. Les projets de modification apporteraient une plus grande sécurité juridique en matière de pseudonymisation et détermineraient à partir de quel moment les données peuvent être considérées comme non personnelles pour une entité donnée. La Commission propose également d'ajuster la notification des violations en prolongeant le délai de notification à l'autorité à 96 heures et en alignant les seuils afin de se concentrer sur les incidents à haut risque, tout en mettant en place un modèle commun de notification au niveau de l'UE.

Base juridique pour le développement et l'exploitation de l'IA dans le cadre du RGPD

La proposition clarifie la manière dont les «intérêts légitimes» peuvent s'appliquer au traitement des données à caractère personnel pour le développement et l'exploitation de systèmes d'IA, sous réserve de garanties et du droit d'opposition des personnes concernées. En outre, elle prévoit une exemption pour le traitement résiduel de catégories particulières de données à caractère personnel aux fins du développement et de l'exploitation d'un système ou d'un modèle d'IA, sous réserve de certaines conditions, notamment la mise en place de mesures organisationnelles et techniques appropriées pour éviter la collecte de catégories particulières de données à caractère personnel et supprimer ces données.

Rationalisation de l'acquis en matière de données grâce à la loi sur les données

La proposition consolide les éléments des cadres de réutilisation et d'intermédiation des données du secteur public de l'UE dans la loi sur les données afin de réduire la fragmentation, de supprimer les dispositions obsolètes et de simplifier les conditions de réutilisation. Elle limite l'accès des entreprises aux données publiques à des «urgences publiques» clairement définies et introduit des protections renforcées pour les secrets commerciaux, y compris la possibilité de refuser la divulgation lorsqu'il existe un risque substantiel d'acquisition illégale ou de fuite vers un pays tiers. Elle introduit également, dans certaines des règles en matière de changement de fournisseur en nuage prévues par le règlement sur les données, des dérogations ciblées en faveur des PME et des petites entreprises à moyenne capitalisation

Point d'entrée unique pour le signalement des incidents cyber

La Commission propose également une solution très claire pour simplifier le signalement des incidents de cybersécurité, en regroupant sous l’égide d’un seul mécanisme de signalement toutes les obligations de signalement associées. En favorisant le principe «signaler une fois, partager plusieurs fois», le point d'entrée unique permettra de réduire la charge administrative des entités, tout en garantissant un flux d'informations efficace et sécurisé sur les incidents de sécurité vers les destinataires définis dans la législation respective. Actuellement, les entreprises doivent signaler les incidents de cybersécurité en vertu de plusieurs lois, notamment la directive SRI2, le règlement général sur la protection des données et la loi sur la résilience opérationnelle numérique du secteur financier (DORA).

Le règlement proposé entraîne une réduction très importante de la charge pour les entreprises, ainsi que pour les administrations publiques et les citoyens. Les premières estimations prévoient des économies possibles d’au moins 1 milliard d’euros par an dès leur entrée en vigueur, avec une économie supplémentaire de 1 milliard d’euros sur des coûts ponctuels, totalisant au moins 5 milliards d’euros sur 3 ans d’ici 2029.