État d’avancement au 1er mai 2026
Préambule : deux textes distincts, une logique commune
Il faut d’emblée distinguer les deux propositions publiées simultanément le 19 novembre 2025 par la Commission européenne, souvent confondues sous le terme générique « Omnibus numérique » :
Le premier texte est le Digital Omnibus sur l’IA – un règlement modifiant spécifiquement le règlement sur l’IA (Règlement UE 2024/1689, RIA) et accessoirement le règlement sur l’aviation civile. Le second est le Digital Omnibus stricto sensu – un règlement de simplification du cadre numérique général, portant sur le RGPD, la directive ePrivacy, NIS2, le Data Act et le Data Governance Act, qui peut aussi avoir un impact sur l’application des règlements DORA et eIDAS.
Ces deux Omnibus s’inscrivent dans une ambition commune de restructuration en profondeur du droit des données et de l’intelligence artificielle européen, présentée comme une simplification mais qui constitue en réalité une recomposition majeure du cadre réglementaire. L’objectif économique affiché par la Commission est de générer jusqu’à 5 milliards d’euros d’économies administratives d’ici 2029.
1. Le Digital Omnibus sur l’IA – Stade avancé, trilogues ouverts
1.1. Positions institutionnelles
1.1.1. Commission européenne (19 novembre 2025)
La proposition initiale repose sur un mécanisme conditionnel de report : les obligations pour les systèmes à haut risque Annexe III ne s’appliqueraient qu’après confirmation par la Commission de la disponibilité des normes harmonisées, avec une date butoir fixée au 2 décembre 2027 (au lieu du 2 août 2026). Pour les systèmes Annexe I (IA intégrée dans des produits réglementés), la date butoir serait le 2 août 2028 (au lieu du 2 août 2027). Les fournisseurs de contenus générés par IA (audio, images, vidéos, texte) mis sur le marché avant le 2 août 2026 auraient jusqu’au 2 février 2027 pour implémenter le marquage lisible par machine (watermarking).
1.1.2. Conseil de l’UE (approche générale, 13 mars 2026)
Le Conseil a adopté son approche générale le 13 mars 2026. Il converge avec le Parlement sur les dates fixes (2 décembre 2027 pour l’Annexe III, 2 août 2028 pour l’Annexe I) et sur l’interdiction des applications de nudification. La principale divergence porte sur la période transitoire pour le watermarking des contenus IA générés et sur le périmètre de compétence du Bureau de l’IA.
1.1.3. Parlement européen (26 mars 2026)
Le 26 mars 2026, le Parlement européen a formellement adopté sa position en plénière, ouvrant ainsi la phase de trilogue avec le Conseil et la Commission. Le vote confirme une orientation claire : l’objectif n’est pas d’affaiblir le RIA, mais de le rendre plus opérationnel, sans en altérer la logique de fond. Les co-rapporteurs ont piloté le texte final adopté en commissions IMCO et LIBE le 18 mars 2026.
Sur le « watermarking », le Parlement propose le 2 novembre 2026, raccourcissant la période de grâce proposée par la Commission (février 2027) — une position reflétant la priorité accordée à la transparence des contenus synthétiques par plusieurs groupes politiques.
1.1.4. CEPD et EDPS (avis conjoint janvier 2026)
Les autorités de protection des données ont globalement soutenu l’approche, en particulier l’alignement des échéances sur la disponibilité des normes. Elles ont néanmoins appelé à ce que la qualification d’un système comme non-haut-risque ne reste pas un acte purement interne au fournisseur et nécessite une forme de notification aux autorités nationales.
1.2. Points de convergence Parlement/Conseil
Les deux co-législateurs s’accordent sur : les dates fixes (2 décembre 2027 / 2 août 2028), l’abandon du mécanisme conditionnel proposé par la Commission au profit de dates fermes, l’interdiction des applications de nudification (ajoutée à l’Art. 5 des pratiques interdites), et l’extension des allègements aux petites entreprises à moyenne capitalisation (traduction officielle de small mid-caps, qui recouvre les entreprises jusqu’à 750 salariés et 150 M€ de CA).
1.3. Points de divergence à résoudre en trilogue
Les divergences portent principalement sur la période transitoire pour le marquage des contenus IA générés, et sur le périmètre de compétence du Bureau de l’IA — le Parlement tendant à renforcer son rôle de supervision centralisée davantage que le Conseil.
1.4. Ce qui n’est pas modifié – stabilité acquise
Les pratiques interdites (Art. 5, en vigueur depuis février 2025), les obligations GPAI (Art. 51-56, en vigueur depuis août 2025) et les obligations de transparence de base (Art. 50 hors watermarking) ne sont affectées ni par la proposition de la Commission ni par les positions du Parlement et du Conseil.
1.5. Calendrier attendu et risque juridique résiduel
Les trilogues devraient se conclure au cours du deuxième trimestre 2026, avec une adoption formelle attendue avant l’été. Dans le scénario où le processus législatif prendrait du retard, les échéances originales resteraient applicables, créant un risque significatif d’incertitude juridique pour les entreprises. La date du 2 août 2026 reste la date légalement contraignante pour les systèmes à haut risque Annexe III tant que le texte n’est pas publié au Journal officiel de l’UE.
2. Le Digital Omnibus (RGPD/NIS2/Data Act) – Stade moins avancé, débat plus conflictuel
2.1. Positions institutionnelles
2.1.1. Commission européenne
Le texte touche à un corpus beaucoup plus large et plus sensible. Les modifications proposées au RGPD sont substantielles et controversées. Parmi les plus structurantes : l’introduction d’un intérêt légitime permettant d’entraîner des systèmes d’IA sur des données personnelles pseudonymisées sans consentement préalable, la possibilité de limiter les demandes de droit d’accès limité aux seules « finalités de protection des données » et une redéfinition de la notion de données personnelles conditionnée aux moyens d’identification de l’entité qui les détient. Sur la cybersécurité, le texte introduit une harmonisation des délais et un point d’entrée unique pour la déclaration d’incidents de cybersécurité et de protection des données (ENISA), remplaçant les multiples obligations actuellement en vigueur sous NIS2, RGPD et DORA.
2.1.2. CEPD et EDPS (avis conjoint 2/2026, 11 février 2026)
La position des autorités de protection des données est nettement plus critique sur ce second texte. Le CEPD et l’EDPS invitent instamment les co-législateurs à ne pas adopter les modifications proposées à la définition des données à caractère personnel, estimant qu’elles vont bien au-delà d’une modification ciblée du RGPD et qu’elles ne reflètent pas exactement la jurisprudence de la CJUE. Ils s’opposent également à ce que la Commission puisse décider par acte d’exécution de ce qui cesse d’être une donnée personnelle après pseudonymisation. En revanche, ils soutiennent l’augmentation du seuil de risque déclenchant l’obligation de notification des violations de données et la prolongation du délai de notification.
2.1.3. Conseil de l’UE
Au 1er avril 2026, le Conseil n’a pas encore adopté d’approche générale sur ce second texte. Les négociations internes aux États membres sont plus lentes en raison de la sensibilité des modifications au RGPD — certains États membres (dont des pays nordiques traditionnellement protecteurs des données personnelles) exprimant des réserves importantes.
2.1.4. Parlement européen
Aucun vote de commission ni de plénière n’est intervenu à ce stade sur ce second texte. Des membres des groupes S&D, Verts et Gauche remettent en question certains aspects des modifications proposées, certains évoquant des pressions géopolitiques extérieures sur la réforme du RGPD.
2.1.5. Société civile
L’organisation NOYB (None of Your Business) a qualifié le projet de « plus grande attaque contre les droits numériques des Européens depuis des années ». Max Schrems a directement mis en cause la sincérité de l’objectif de simplification affiché par la Commission.
2.2. Calendrier attendu
Dans le meilleur des cas, l’Omnibus numérique (RGPD/données) serait mis en œuvre d’ici mi-2027. L’adoption formelle en 2026 est peu probable compte tenu des divergences institutionnelles et du niveau de controverse. Les dispositions normalement applicables (RGPD actuel, NIS2, Data Act) continuent de s’appliquer dans leur intégralité dans l’attente de toute adoption.
3. Présidences du Conseil et dynamique politique
3.1. Présidence actuelle – Chypre (1er janvier – 30 juin 2026)
Chypre assure depuis le 1er janvier 2026 la présidence du Conseil, concluant le trio Pologne/Danemark/Chypre. La présidence chypriote a pour mission de faire avancer le Digital Omnibus sur l’IA avant l’échéance d’août 2026 — pression temporelle qui lui confère un caractère prioritaire sur l’agenda du Conseil. C’est sous présidence chypriote que l’approche générale du 13 mars a été acquise sur le volet IA.
3.2. Présidence suivante – Irlande (1er juillet – 31 décembre 2026) :
L’Irlande prendra la présidence au second semestre 2026, au sein du trio Irlande/Lituanie/Grèce. Elle héritera très probablement des trilogues en cours sur les deux Omnibus, et pourrait conduire l’adoption finale — ou constater un dépassement de l’échéance d’août 2026 sur le volet IA si les négociations s’éternisent. L’Irlande, pays d’accueil de nombreuses grandes plateformes numériques et siège de la CNIL irlandaise (DPC), a un intérêt direct dans l’issue des négociations sur le volet RGPD. Cette présidence pourrait chercher à infléchir le projet sous le poids du contexte géopolitique, notamment la volonté croissante de souveraineté européenne vis-à-vis des entités américaines.
4. Tableau de synthèse – État au 1er avril 2026
| Omnibus IA | Omnibus numérique (RGPD/NIS2/Data) | |
| Publication Commission | 19 nov. 2025 | 19 nov. 2025 |
| Avis CEPD/EDPS | Jan. 2026 — globalement favorable | Fév. 2026 — réserves majeures sur RGPD |
| Position Conseil | Approche générale adoptée (13 mars 2026) | Non adoptée à ce stade |
| Position Parlement | Adoptée en plénière (26 mars 2026) | Non adoptée à ce stade |
| Stade actuel | Trilogues ouverts | Examen en cours |
| Adoption espérée | Avant l’été 2026 (sous pression août 2026) | Fin 2026 au mieux, 2027 probable |
| Application | Report Annexe III → 2 déc. 2027 (si adopté) | Entrée en vigueur 2027–2028 probable |
| Droit actuel | RIA original applicable (2 août 2026) | RGPD, NIS2, Data Act inchangés |
5. Ce que cela implique concrètement pour les DPD et RSSI
Trois conclusions opérationnelles s’imposent au 1er mai 2026 :
Ne pas parier sur le report comme acquis. Le Digital Omnibus sur l’IA n’est pas encore adopté. Si les trilogues dérapent au-delà du 2 août 2026, les obligations originales du RIA s’appliquent automatiquement, sans période de grâce. La cartographie des systèmes d’IA, l’évaluation des risques et la mise en place de la gouvernance doivent continuer sur la base du calendrier original.
Surveiller l’issue des trilogues sur le RGPD avec attention. Les modifications proposées au RGPD — notamment la redéfinition des données personnelles et l’ouverture de l’intérêt légitime à l’entraînement IA — pourraient modifier structurellement certaines analyses juridiques en cours (base légale des agents de prise de notes, traitement des données biométriques pour entraîner la diarisation, etc.). Aucun ajustement préventif n’est justifié à ce stade : le texte peut encore évoluer significativement.
Identifier la présidence irlandaise comme interlocuteur de second semestre. Si les trilogues sur l’Omnibus IA ne sont pas conclus avant fin juin 2026, c’est la présidence irlandaise qui pilotera les négociations finales — dans un contexte de dépassement possible de l’échéance légale, ce qui créerait une situation d’incertitude juridique inédite à gérer activement.
À noter :
Cette fiche est transitoire par nature.
Elle fera l’objet de mises à jour autant que de besoin, en fonction des évolutions du processus législatif européen.
