Avis conjoint 2/​2026 du CEPD et du CEPD sur la propo­si­tion de règle­ment concer­nant la simpli­fi­ca­tion du cadre légis­la­tif numé­rique (Digital Omnibus)

Avis conjoint 1/​2026 du CEPD et du CEPD sur la propo­si­tion de règle­ment concer­nant la simpli­fi­ca­tion de la mise en œuvre de règles harmo­ni­sées en matière d’in­tel­li­gence arti­fi­cielle (Omnibus numé­rique sur l’IA)

Introduction

Le 19 novembre 2025, la Commission euro­péenne a présenté le paquet « Digital Omnibus », une initia­tive visant à ratio­na­li­ser un cadre régle­men­taire numé­rique devenu parti­cu­liè­re­ment dense et complexe après une décen­nie d’adoption de textes tels que le RGPD, la direc­tive ePrivacy, le Data Act, le Data Governance Act, NIS 2 et l’AI Act. L’objectif n’est plus d’introduire de nouvelles obli­ga­tions, mais de rendre les règles exis­tantes plus lisibles, cohé­rentes et opéra­tion­nelles afin de faci­li­ter la confor­mité, renfor­cer la sécu­rité juri­dique et soute­nir la compé­ti­ti­vité européenne.

Deux propo­si­tions sont actuel­le­ment exami­nées au niveau de l’UE : un règle­ment de simpli­fi­ca­tion du cadre légis­la­tif numé­rique « Digital Omnibus » (portant notam­ment sur le RGPD et l’acquis en matière de données) et un texte spéci­fique rela­tif à la simpli­fi­ca­tion de la mise en œuvre de l’AI Act « Digital Omnibus AI ». Leur adop­tion est envi­sa­gée en 2026 pour une entrée en vigueur probable en 2027–2028.

Présentée comme un exer­cice tech­nique de simpli­fi­ca­tion, l’initiative soulève toute­fois une ques­tion plus fonda­men­tale : s’agit-il d’un simple ajus­te­ment tech­nique visant à faci­li­ter la confor­mité ou d’une évolu­tion plus substan­tielle suscep­tible de modi­fier l’équilibre entre inno­va­tion et protec­tion des droits fonda­men­taux au cœur du modèle euro­péen ? Les réac­tions sont parta­gées entre ratio­na­li­sa­tion bien­ve­nue (cf. Peter Craddock, Rendre le RGPD réaliste ? Les auto­ri­tés ne le souhaitent qu’à moitié ; Béatrice Ericson, Sid Hollman, Alberto di Felice, Digital omni­bus : a first step and what must come next, now), et risque d’affaiblissement des garan­ties exis­tantes en matière de protec­tion des données (cf. NOYB, Digital Omnibus Report V2 : Analysis of Select GDPR and ePrivacy Proposals by the Commission ; NOYB, Digital Omnibus : EU DPAs reject many propo­sed changes to the GDPR).

Dans ce contexte, le Comité euro­péen de la protec­tion des données (CEPD) et le Contrôleur euro­péen de la protec­tion des données (EDPS) ont adopté deux avis conjoints (l’avis 1/​2026 du 20 janvier 2026 rela­tif au Digital Omnibus AI, puis l’avis 2/​2026 du 10 février 2026 consa­cré au Digital Omnibus), qui permettent d’apprécier la portée réelle de l’ini­tia­tive et les limites de la simpli­fi­ca­tion au regard de la protec­tion des données person­nelles. En raison de la portée extra­ter­ri­to­riale du droit numé­rique euro­péen, notam­ment du RGPD, du Data Act et, à terme, de l’AI Act, ces évolu­tions concernent égale­ment de nombreuses orga­ni­sa­tions en Suisse (cf. Flavio Caci, The Digital Omnibus debate, in : MAG, LegalCommunityCH, Switzerland on the rise : moves and appoint­ments in 2025, p. 40, dispo­nible : ici.).

Partie I. Avis conjoint 2/​2026 du CEPD et de l’EDPS sur le Digital Omnibus 

L’avis conjoint du CEPD et de l’EDPS examine prin­ci­pa­le­ment les modi­fi­ca­tions propo­sées du RGPD, de la direc­tive ePrivacy et, plus large­ment, de l’acquis euro­péen en matière de données. Si les auto­ri­tés soutiennent l’objectif géné­ral de clari­fi­ca­tion et certaines mesures de simpli­fi­ca­tion, elles s’opposent ferme­ment à toute modi­fi­ca­tion suscep­tible de réduire la portée maté­rielle du RGPD ou d’affaiblir le niveau de protec­tion des données à carac­tère personnel.

1. Les lignes rouges : défi­ni­tion des données à carac­tère person­nel et pseudonymisation

La prin­ci­pale critique concerne la modi­fi­ca­tion propo­sée de la défi­ni­tion des données à carac­tère person­nel. La Commission intro­duit une approche dite « rela­tive » : une infor­ma­tion ne consti­tue­rait une donnée person­nelle que pour l’entité dispo­sant raison­na­ble­ment des moyens d’identifier la personne concer­née. La même infor­ma­tion pour­rait donc être quali­fiée de donnée non person­nelle pour un autre acteur ne dispo­sant pas de ces moyens.

Le CEPD et l’EDPS estiment que cette approche dépasse la juris­pru­dence récente de la CJUE (cf. C‑413/​23, commen­taire dispo­nible : swiss​pri​vacy​.law/​3​85/) et va bien au-delà d’un ajus­te­ment tech­nique. Elle risque­rait de restreindre substan­tiel­le­ment la notion de donnée à carac­tère person­nel, et par consé­quent le champ d’application maté­riel du RGPD, tout en intro­dui­sant une forte incer­ti­tude juri­dique notam­ment dans les chaînes d’acteurs, les envi­ron­ne­ments cloud et l’écosystème de l’IA.

Ils s’opposent égale­ment à ce que la Commission puisse, par acte d’exécution, déter­mi­ner à quelles condi­tions des données pseu­do­ny­mi­sées sorti­raient du champ du RGPD. Une telle déci­sion, soulignent-ils, relève des auto­ri­tés de contrôle et des juri­dic­tions, puisqu’elle touche direc­te­ment à la portée du règle­ment lui-même.

Pour les orga­ni­sa­tions en Suisse, l’enjeu est signi­fi­ca­tif : la quali­fi­ca­tion de données à carac­tère person­nel condi­tionne non seule­ment l’application extra­ter­ri­to­riale du RGPD, mais influence égale­ment l’interprétation de la notion de « données person­nelles » en droit suisse, dont la compré­hen­sion demeure étroi­te­ment liée à la juris­pru­dence européenne.

2. Mesures de simpli­fi­ca­tion globa­le­ment soutenues

Recherche scien­ti­fique : Le CEPD et l’EDPS saluent l’introduction d’une défi­ni­tion harmo­ni­sée de la recherche scien­ti­fique. Dans ce cadre, ils admettent que le trai­te­ment puisse, sous réserve du respect de l’ensemble des exigences du RGPD, repo­ser sur l’intérêt légi­time, être consi­déré comme compa­tible avec la fina­lité initiale sans appli­ca­tion de l’art. 6 par. 4 RGPD et béné­fi­cier d’une déro­ga­tion limi­tée à l’obligation d’information. Ils insistent toute­fois sur la néces­sité d’un enca­dre­ment strict : la recherche doit suivre une métho­do­lo­gie scien­ti­fique indé­pen­dante, produire des résul­tats véri­fiables et trans­pa­rents, contri­buer à l’avancement des connais­sances et respec­ter des stan­dards éthiques. À l’inverse, de simples acti­vi­tés d’innovation ou de déve­lop­pe­ment de produits ne sauraient auto­ma­ti­que­ment être quali­fiées de recherche scien­ti­fique, ce qui en limite la portée pratique pour certaines organisations.

Authentification biomé­trique : Une nouvelle excep­tion auto­ri­sant le trai­te­ment de caté­go­ries parti­cu­lières de données à des fins d’authentification biomé­trique est soute­nue, à condi­tion que les données restent sous le contrôle exclu­sif de la personne concer­née (par exemple stockage sur un badge ou un appa­reil person­nel détenu par l’utilisateur).

Notifications de viola­tions et analyses d’impact : Le CEPD et l’EDPS soutiennent plusieurs mesures de simpli­fi­ca­tion : l’harmonisation des modèles de noti­fi­ca­tion et l’établissement d’une liste commune des situa­tions néces­si­tant une analyse d’impact rela­tive à la protec­tion des données, pour autant que son élabo­ra­tion relève du CEPD plutôt que de la Commission ; le relè­ve­ment du seuil de noti­fi­ca­tion des viola­tions de données au niveau de « risque élevé » ; l’allongement du délai de noti­fi­ca­tion de 72 à 96 heures ; ainsi que la mise en place d’un guichet euro­péen unique pour la décla­ra­tion des inci­dents de sécu­rité, couvrant notam­ment le RGPD, NIS 2, DORA et eIDAS.

3. Points néces­si­tant des clarifications

Intelligence arti­fi­cielle

Le CEPD et l’EDPS rappellent que le RGPD permet déjà, dans certaines situa­tions, de fonder le déve­lop­pe­ment et l’exploitation de systèmes ou modèles d’IA sur l’intérêt légi­time (art. 6 par. 1 let. f RGPD). Cette base juri­dique n’est toute­fois admis­sible qu’au terme d’une évalua­tion au cas par cas, rigou­reuse et docu­men­tée, compre­nant le test en trois étapes (néces­sité, mise en balance des inté­rêts et garan­ties appro­priées), assor­tie d’une trans­pa­rence renfor­cée et d’un droit d’opposition effec­tif pour les personnes concer­nées. Dans cette pers­pec­tive, l’introduction d’une nouvelle base juri­dique spéci­fique dans le RGPD n’apparaît pas néces­saire : l’enjeu réside plutôt dans l’application exigeante du cadre existant.

Concernant le trai­te­ment « inci­dent et rési­duel » de données sensibles dans l’IA, les auto­ri­tés admettent le prin­cipe d’une déro­ga­tion, mais unique­ment comme solu­tion de dernier recours. Elle ne peut viser que des trai­te­ments réel­le­ment invo­lon­taires et inévi­tables lors de l’entraînement ou du test d’un système, à condi­tion que la suppres­sion des données soit impos­sible ou dispro­por­tion­née et que des garan­ties tech­niques et orga­ni­sa­tion­nelles couvrent l’ensemble du cycle de vie de l’IA. Cette excep­tion ne saurait en revanche justi­fier un trai­te­ment néces­saire au fonc­tion­ne­ment du modèle ni s’étendre aux données sensibles four­nies par les utili­sa­teurs, notam­ment via des prompts.

Droits des personnes

Le CEPD et l’EDPS approuvent l’objectif de mieux enca­drer les demandes d’accès mani­fes­te­ment abusives, mais à une condi­tion essen­tielle : une demande ne peut être quali­fiée d’abusive qu’en présence d’une inten­tion abusive démon­trable (par exemple la volonté de nuire au respon­sable du trai­te­ment), et non en raison du but pour­suivi par la personne concer­née. Ils soulignent en outre que les demandes larges ne doivent pas être auto­ma­ti­que­ment consi­dé­rées comme exces­sives et qu’un refus doit repo­ser sur une appré­cia­tion objec­tive et dûment docu­men­tée, la personne devant, le cas échéant, pouvoir préci­ser sa demande.

Les auto­ri­tés soutiennent égale­ment une simpli­fi­ca­tion des obli­ga­tions d’information, notam­ment pour les PME, à condi­tion qu’elle reste stric­te­ment enca­drée et ne prive pas les personnes de la possi­bi­lité d’obtenir les infor­ma­tions perti­nentes sur l’utilisation de leurs données. Enfin, elles insistent sur le main­tien de l’art. 22 RGPD tel qu’interprété par la CJUE : une inter­dic­tion de prin­cipe, assor­tie d’exceptions strictes. Le texte doit donc conser­ver cette logique afin d’éviter une exten­sion exces­sive du recours aux déci­sions automatisées.

4. ePrivacy – protec­tion des équi­pe­ments termi­naux (cookies)

Le Digital Omnibus pour­rait consti­tuer la réforme la plus struc­tu­rante des règles sur les cookies depuis l’entrée en appli­ca­tion du RGPD. Le projet prévoit d’intégrer au RGPD les règles de la direc­tive ePrivacy rela­tives à l’accès et au stockage d’informations sur les termi­naux des utili­sa­teurs (les dispo­si­tions sur les cookies) et d’introduire des méca­nismes de gestion du consen­te­ment auto­ma­ti­sés, fondés sur des signaux de préfé­rences lisibles par machine trans­mis par les navi­ga­teurs, systèmes d’exploitation ou appli­ca­tions. À terme, ces méca­nismes pour­raient rempla­cer les bannières cookies tradi­tion­nelles en permet­tant à l’utilisateur d’exprimer ses choix une seule fois.

Si le CEPD et l’EDPS soutiennent l’objectif de réduc­tion de la « fatigue du consen­te­ment aux cookies » et la recherche d’une solu­tion tech­nique plus effi­cace, ils soulignent toute­fois un risque impor­tant d’insécurité juri­dique : la coexis­tence de deux régimes distincts selon que les données sont person­nelles (RGPD) ou non person­nelles (ePrivacy). Ce qui pour­rait rendre diffi­cile l’identification du cadre appli­cable, alors même que les traceurs combinent fréquem­ment les deux types d’informations. Les auto­ri­tés rappellent égale­ment que la protec­tion des termi­naux relève non seule­ment du droit à la protec­tion des données, mais aussi du respect de la vie privée et de la confi­den­tia­lité des communications.

Les nouvelles excep­tions au consen­te­ment, notam­ment pour la mesure d’audience ou la sécu­rité, sont admises, mais unique­ment si elles restent stric­te­ment limi­tées au néces­saire. La mesure d’audience devrait repo­ser sur des données agré­gées et anonymes, sans combi­nai­son avec d’autres services ni partage avec des tiers, tandis que les mises à jour de sécu­rité ne pour­raient être instal­lées sans consen­te­ment qu’à condi­tion de ne pas modi­fier les fonc­tion­na­li­tés et d’informer l’utilisateur. Dans la même logique, les auto­ri­tés encou­ragent le déve­lop­pe­ment de la publi­cité contex­tuelle, moins intru­sive que la publi­cité comportementale.

Elles soutiennent en revanche l’introduction de signaux de consen­te­ment auto­ma­ti­sés, à condi­tion qu’ils reposent sur des stan­dards harmo­ni­sés, ne conduisent pas à un consen­te­ment par défaut et s’imposent à l’ensemble des acteurs (sites, four­nis­seurs d’applications, navi­ga­teurs et systèmes d’exploitation).

Pour les entre­prises suisses, plate­formes, éditeurs, four­nis­seurs SaaS, fintech ou acteurs adtech, les consé­quences seraient immé­diates : les outils de gestion du consen­te­ment, les traceurs, les pratiques d’analytics et certains modèles publi­ci­taires devront être repen­sés pour les utili­sa­teurs situés dans l’UE. En pratique, la propo­si­tion ne se limite donc pas à suppri­mer les bannières cookies : elle annonce une trans­for­ma­tion tech­nique et orga­ni­sa­tion­nelle de la gestion du suivi et de la publi­cité en ligne.

5. Data acquis

De manière géné­rale, le CEPD et l’EDPS soutiennent la conso­li­da­tion de « l’acquis en matière de données » au sein d’un instru­ment unique et cohé­rent sur le partage et l’utilisation des données, notam­ment par l’intégration, dans le Data Act, des règles issues du Data Governance Act, du règle­ment sur la libre circu­la­tion des données non person­nelles et de la direc­tive Open Data tout en abro­geant ces textes. L’objectif est de réduire les chevau­che­ments norma­tifs et d’accroître la sécu­rité juri­dique. Les auto­ri­tés rappellent toute­fois que la simpli­fi­ca­tion ne doit ni ouvrir la voie à l’accès à des données person­nelles non pseu­do­ny­mi­sées en situa­tion d’urgence, ni affai­blir les méca­nismes de confiance entou­rant l’intermédiation et l’altruisme des données. Elle doit égale­ment s’accompagner de clari­fi­ca­tions quant aux respon­sa­bi­li­tés respec­tives des acteurs (mesures tech­niques et orga­ni­sa­tion­nelles, super­vi­sion, coopé­ra­tion et arti­cu­la­tion avec le RGPD).

En pratique, toute entre­prise suisse qui met sur le marché euro­péen un produit connecté, propose un service en ligne ou exploite des données géné­rées dans l’UE pourra être concer­née. Les orga­ni­sa­tions devront dès lors revoir leurs cadres contrac­tuels (CGV, SLA, accords de partage de données), instau­rer une gouver­nance des données réel­le­ment opéra­tion­nelle et faire évoluer leurs systèmes tech­niques afin de garan­tir l’accès et la porta­bi­lité des données, ainsi que leur trans­mis­sion à des tiers dési­gnés par les utili­sa­teurs et, dans certaines circons­tances, aux auto­ri­tés publiques.

Partie II. Avis 1/​2026 conjoint CEPD/​EDPS sur le Digital Omnibus AI 

Dans l’ensemble, le CEPD et l’EDPS soutiennent la propo­si­tion « Digital Omnibus AI », desti­née à faci­li­ter l’application pratique de l’AI Act par des simpli­fi­ca­tions ciblées et une réduc­tion des charges admi­nis­tra­tives. Ils annoncent égale­ment l’élaboration de lignes direc­trices conjointes avec la Commission euro­péenne afin de préci­ser l’articulation entre le RGPD et l’AI Act.

Ils rappellent toute­fois que la simpli­fi­ca­tion ne doit ni affai­blir la protec­tion des droits fonda­men­taux, en parti­cu­lier des données person­nelles, ni accroître l’insécurité juri­dique. Leur avis iden­ti­fie ainsi plusieurs points néces­si­tant des clari­fi­ca­tions et des garan­ties supplé­men­taires pour conci­lier inno­va­tion et niveau élevé de protection.

1. Traitement des caté­go­ries parti­cu­lières de données pour la détec­tion et la correc­tion des biais

La propo­si­tion de la Commission élar­git la déro­ga­tion permet­tant le trai­te­ment de caté­go­ries parti­cu­lières de données à carac­tère person­nel dites sensibles à des fins de détec­tion et de correc­tion des biais : elle s’appliquerait désor­mais à l’ensemble des systèmes et modèles d’IA et non plus seule­ment aux systèmes « à haut risque », et couvri­rait égale­ment les déployeurs (utili­sa­teurs). Le CEPD et l’EDPS recon­naissent que l’identification des biais peut, dans certains cas, néces­si­ter l’usage de données sensibles afin d’éviter des discri­mi­na­tions. Ils rappellent toute­fois que ce type de trai­te­ment doit rester stric­te­ment enca­dré. Ils demandent en parti­cu­lier de réta­blir l’exigence de « stricte néces­sité », de limi­ter cette possi­bi­lité aux situa­tions où le risque d’atteinte aux droits fonda­men­taux est suffi­sam­ment sérieux, et de préci­ser clai­re­ment l’articulation avec les art. 6 et 9 RGPD afin d’éviter toute insé­cu­rité juridique.

2. Enregistrement et documentation

La Commission propose de suppri­mer l’obligation d’enregistrement lorsqu’un four­nis­seur consi­dère qu’un système d’IA rele­vant de l’annexe III de l’AI Act ne présente fina­le­ment pas un niveau de risque « élevé ». Le CEPD et l’EDPS s’y opposent : l’inscription dans la base euro­péenne consti­tue, selon eux, un élément central de trans­pa­rence et de traça­bi­lité, utile tant pour le public et les utili­sa­teurs que pour les auto­ri­tés de contrôle avant la mise sur le marché. Sa suppres­sion affai­bli­rait la respon­sa­bi­lité des four­nis­seurs et crée­rait une inci­ta­tion à requa­li­fier abusi­ve­ment certains systèmes afin d’échapper aux exigences appli­cables aux systèmes à haut risque.

Enfin, elles mettent en garde contre un allè­ge­ment des obli­ga­tions fondé unique­ment sur la taille de l’entreprise (PME), la capa­cité de nuisance d’un système d’IA dépen­dant davan­tage de ses carac­té­ris­tiques et de sa diffu­sion que du nombre d’employés du fournisseur.

3. Bacs à sable régle­men­taires IA (AI sandboxes)

Le CEPD et l’EDPS soutiennent la mise en place de bacs à sable régle­men­taires au niveau de l’UE, en complé­ment des dispo­si­tifs natio­naux, afin de favo­ri­ser l’innovation, notam­ment pour les PME mais sous réserve de plusieurs garan­ties : l’implication effec­tive des auto­ri­tés de protec­tion des données, la clari­fi­ca­tion de leur compé­tence et de l’articulation avec les méca­nismes de coopé­ra­tion du RGPD, l’attribution d’un rôle consul­ta­tif expli­cite au CEPD.

4. Supervision par le Bureau euro­péen de l’IA (AI Office)

L’extension de la compé­tence exclu­sive de l’AI Office aux systèmes inté­grés dans les très grandes plate­formes en ligne et moteurs de recherche (VLOP/​VLOSE) au sens du DSA peut renfor­cer la cohé­rence de la super­vi­sion au niveau euro­péen. Le CEPD et l’EDPS soulignent toute­fois plusieurs points de vigi­lance : cette centra­li­sa­tion ne doit ni entra­ver l’indépendance ni limi­ter la capa­cité d’intervention des auto­ri­tés natio­nales si l’AI Office n’agit pas. Ils insistent égale­ment sur la néces­sité d’une coopé­ra­tion étroite avec les auto­ri­tés de protec­tion des données lorsque des risques pour la vie privée ou les données person­nelles sont en cause.

5. Coopération des autorités

Le CEPD et l’EDPS soutiennent le renfor­ce­ment de la coopé­ra­tion entre les auto­ri­tés de protec­tion des droits fonda­men­taux (FRABs) et les auto­ri­tés de surveillance du marché (MSAs), notam­ment par la créa­tion d’un point de contact centra­lisé pouvant simpli­fier les démarches des opéra­teurs, sous réserve du respect des condi­tions suivantes : clari­fi­ca­tion précise des rôles respec­tifs des auto­ri­tés, limi­ta­tion des MSAs à une fonc­tion de relais admi­nis­tra­tif, préser­va­tion de l’indépendance et des pouvoirs propres des auto­ri­tés de protec­tion des données ainsi qu’une orga­ni­sa­tion claire et rapide des échanges d’informations, y compris en situa­tion trans­fron­tière, dont les moda­li­tés d’assistance doivent être expli­ci­te­ment définies.

6. AI lite­racy

Le CEPD et l’EDPS s’opposent à la trans­for­ma­tion de cette obli­ga­tion en simple mesure d’ encou­ra­ge­ment. Selon eux, la forma­tion à l’IA consti­tue un élément clé : elle permet de comprendre les concepts, risques et béné­fices de la tech­no­lo­gie, de renfor­cer la vigi­lance éthique et de garan­tir la protec­tion des droits fonda­men­taux, en parti­cu­lier la protec­tion des données. Ils recom­mandent donc de main­te­nir une respon­sa­bi­lité directe des four­nis­seurs et déployeurs, les initia­tives publiques devant seule­ment accom­pa­gner et soute­nir cet effort, et non s’y substituer.

7. Calendrier d’application des règles rela­tives aux systèmes d’IA à haut risque

Le calen­drier initial de l’AI Act prévoit l’application des règles pour les systèmes d’IA à haut risque au 2 août 2026 (Annexe III) et au 2 août 2027 (Annexe I). La propo­si­tion reporte ces échéances : elles s’appliqueraient 6 à 12 mois après la mise à dispo­si­tion des outils de confor­mité, au plus tard en décembre 2027 et août 2028. Le CEPD et l’EDPS recon­naissent les diffi­cul­tés pratiques de mise en œuvre, mais mettent en garde contre un report du calen­drier initial : il retar­de­rait l’effectivité des garan­ties prévues par l’AI Act, augmen­te­rait le nombre de systèmes à haut risque opérant sans enca­dre­ment complet et crée­rait une incer­ti­tude juri­dique accrue. Ils invitent dès lors à limi­ter autant que possible les délais et à main­te­nir, lorsque cela est faisable, certaines obli­ga­tions, en parti­cu­lier celles rela­tives à la transparence.

Conclusion

A la lumière des avis conjoints du CEPD et de l’EDPS, le Digital Omnibus s’apparente moins à une simple simpli­fi­ca­tion tech­nique qu’à un ajus­te­ment struc­tu­rant de la régu­la­tion numé­rique euro­péenne, visant à mieux arti­cu­ler le RGPD, la direc­tive ePrivacy, le Data Act et l’AI Act dans un cadre régle­men­taire cohé­rence et opéra­tion­nel. Les auto­ri­tés en  fixent toute­fois la limite essen­tielle : la simpli­fi­ca­tion ne doit ni réduire la portée maté­rielle du RGPD ni affai­blir le niveau de la protec­tion des données à carac­tère personnel.

Pour les entre­prises suisses exer­çant des acti­vi­tés ou ciblant des clients dans l’UE, l’impact sera direct en raison de la portée extra­ter­ri­to­riale, notam­ment, du RGPD et de l’AI Act. L’accès au marché euro­péen dépen­dra désor­mais du respect combiné de la régle­men­ta­tion de l’UE rela­tive à la protec­tion des données, au partage des données et à la gouver­nance de l’in­tel­li­gence artificielle.

Le Digital Omnibus demeure à ce stade une propo­si­tion. Il reste à voir dans quelle mesure les co-légis­la­teurs suivront les recom­man­da­tions du CEPD et de l’EDPS. Dans l’attente de l’issue du proces­sus légis­la­tif euro­péen, la stra­té­gie la plus prudente consiste à pour­suivre la mise en confor­mité sur la base des textes en vigueur, en parti­cu­lier le RGPD et l’AI Act, afin d’anticiper les exigences futures, quelle que soit l’évolution des négo­cia­tions. Certains obser­va­teurs suisses (cf. Flavio Caci, The Digital Omnibus debate, in : MAG, LegalCommunityCH, Switzerland on the rise : moves and appoint­ments in 2025, p. 40, dispo­nible : ici) relèvent toute­fois que plusieurs modi­fi­ca­tions propo­sées du RGPD rappro­che­raient le droit de l’UE du régime suisse issu de la loi fédé­rale révi­sée sur la protec­tion des données, sans créer de tensions majeures.