EDPB-EDPS Joint Opinion 2/2026 sur le « Digital Omnibus » : enjeux, exigences et impacts pour les Compliance Officers

L’European Data Protection Board (EDPB) et le European Data Protection Supervisor (EDPS) ont publié l’Avis conjoint 2/2026 relatif à la Proposition de règlement de simplification du cadre législatif numérique (« Digital Omnibus »). Cet avis éclaire les interactions entre le RGPD et les règlements numériques transverses (DSA, DMA, Data Act, AI Act, ePrivacy, NIS2, eIDAS2) et formule des recommandations structurantes pour préserver la cohérence, la sécurité juridique et la protection des droits fondamentaux. Pour les responsables conformité (banque, assurance, paiements, marchés financiers, services B2B/B2C, éditeurs, télécoms), l’avis fixe des balises opérationnelles sur la licéité et la finalité des traitements, la minimisation, l’accountability, les DPIA, la gouvernance inter‑textes, le partage de données et l’articulation des pouvoirs des autorités compétentes, avec un accent sur les risques de « function creep » et de fragmentation réglementaire.

Contexte réglementaire et portée

Le « Digital Omnibus » vise à harmoniser et à simplifier des pans du droit numérique de l’UE, en corrigeant des frictions entre instruments récemment adoptés. L’EDPB et l’EDPS accueillent favorablement l’objectif de cohérence, tout en rappelant que toute adaptation ne saurait déroger au RGPD ni affaiblir les garanties substantielles et procédurales. L’avis identifie des points d’attention prioritaires : bases juridiques implicites vs explicites, encadrement du partage inter‑plateformes et inter‑régimes, obligations de conservation et d’accès, exigences de privacy by design/by default, et supervision coordonnée entre autorités (DPAs, coordonnateurs DSA, autorités sectorielles).

1. Cohérence normative et hiérarchie des garanties

L’avis conjoint insiste sur la primauté des garanties RGPD lorsque des textes horizontaux du numérique créent ou adaptent des obligations de traitement. Toute nouvelle obligation spécifique doit préciser explicitement sa base juridique au regard de l’article 6 RGPD, éviter les bases générales vagues (ex. « intérêt public » non circonscrit) et conserver l’exigence de nécessité et proportionnalité. La tentation d’une « simplification » ne peut justifier ni la dilution de la finalité ni l’extension secondaire de traitements (function creep). L’EDPB/EDPS rappellent qu’une simplification procédurale mal calibrée peut accroître l’insécurité juridique si elle affaiblit les garde‑fous substantiels ou crée des contradictions inter‑textes.

2. Bases légales, finalités et minimisation

Le Digital Omnibus doit : (i) articuler clairement les finalités nouvelles ou ajustées, (ii) éviter les clauses « attrape‑tout », (iii) maintenir la minimisation (art. 5(1)(c) RGPD) et (iv) interdire les réutilisations incompatibles (art. 6(4)). Lorsque des obligations sectorielles imposent la collecte (ex. sécurité, lutte contre les abus), l’EDPB/EDPS demandent un encadrement précis : catégories de données, durées de conservation, accès limité, traçabilité et audits. Le consentement ne doit pas devenir un palliatif à des lacunes structurelles ; l’intérêt légitime reste exclu lorsque l’équilibre des intérêts bascule contre la personne concernée, notamment en contexte de surveillance étendue ou de profilage à large échelle.

3. Privacy by design/by default et DPIA renforcés

Les obligations de conception et de paramétrage protecteurs doivent être transversales entre RGPD, DSA/DMA, AI Act et NIS2. L’EDPB/EDPS préconisent des DPIA obligatoires pour les cas d’usage présentant un risque élevé (traitements à grande échelle, données sensibles, systèmes d’IA à risque), avec documentation des mesures correctives, examens périodiques et implication précoce des DPOs. La proportionnalité technico‑organisationnelle doit être démontrée par des preuves d’implémentation (journaux, configurations, tests, revues de code pertinentes) et intégrée dans les processus de change management.

4. Partage, accès et interopérabilité des données

Le Digital Omnibus ne peut instaurer des couloirs de transmission de données qui court‑circuitent le RGPD. Tout partage inter‑plateformes, inter‑services ou entre opérateurs publics/privés doit reposer sur : finalité déterminée, base légale explicite, périmètre circonscrit, enregistrements des accès, contrôle d’usage, et clauses contractuelles ou actes réglementaires définissant responsabilités et mécanismes de recours. L’EDPB/EDPS mettent en garde contre l’« interopérabilité par défaut » lorsqu’elle se traduit par une portabilité systémique non maîtrisée ou un agrégat de données au‑delà du nécessaire. Les transferts internationaux doivent conserver la logique d’adéquation, garanties appropriées et évaluation pays‑destinataire.

5. Droits des personnes et transparence

La simplification ne saurait réduire la lisibilité des informations ni restreindre les droits (accès, rectification, effacement, limitation, opposition, portabilité). L’avis souligne la nécessité de notices couches multiples compréhensibles, d’interfaces de contrôle effectives (tableaux de bord, granularité des choix), et de voies de recours simples. Les modèles d’IA et de recommandation soumis au DSA/AI Act doivent fournir des explications pertinentes et actionnables, corrélées à l’exercice des droits RGPD. Les dark patterns restent prohibés et toute automatisation significative doit intégrer une logique de contestation humaine.

6. Supervision et coopération entre autorités

L’EDPB/EDPS encouragent une architecture de supervision claire pour éviter les doubles régulations contradictoires : répartition des compétences, mécanismes de coopération formalisés, échanges d’informations proportionnés, et procédures d’escalade en cas de conflits d’interprétation. Les autorités chefs de file RGPD doivent être impliquées quand les obligations numériques touchent aux traitements. L’objectif est d’assurer une application cohérente entre DPAs, coordonnateurs DSA, autorités de concurrence et sectorielles (financières, télécoms, énergie).

7. Sécurité de l’information, NIS2 et résilience

Le Digital Omnibus doit s’aligner sur NIS2 : gestion des risques, mesures techniques et organisationnelles proportionnées, détection d’incidents, notification, continuité, et sécurité de la supply chain. L’EDPB/EDPS rappellent que la sécurité est une obligation RGPD (art. 32) indissociable de la confidentialité et de l’intégrité, et que les notifications de violation doivent rester coordonnées pour éviter sous‑ ou sur‑déclarer.

8. Cas d’usage sectoriels et cartographie des risques

Pour les secteurs régulés (banque, assurance, paiements, marchés financiers), les obligations numériques croisent les cadres LCB/FT, MIFID/MiFIR, DSP2/DSP3, DORA et eIDAS2. La gouvernance des données doit articuler secrets protégés (bancaire, assurances), obligations de reporting, prévention des abus de marché et protection des investisseurs, sans créer de passerelles de données incompatibles. Les fonctions conformité doivent établir une matrice de compatibilité finalité/base légale par cas d’usage et une taxonomie des données catégorisée par sensibilité, localisation et durée de conservation.

9. Clauses opérationnelles recommandées par l’EDPB/EDPS

— Définir explicitement les finalités et bases légales dans tout ajustement du Digital Omnibus.

— Encadrer strictement tout accès/partage : logs, contrôle d’usage, limitation temporelle, sécurité et audits.

— Renforcer DPIA, privacy by design/by default, et documentation d’accountability.

— Éviter les doubles régulations ; prévoir des mécanismes formalisés de coopération inter‑autorités.

— Garantir des interfaces de droits claires, granulaire, sans dark patterns.

— Assurer l’alignement avec RGPD, NIS2, DSA, DMA, AI Act, Data Act, eIDAS2, ePrivacy, sans affaiblissement des garanties.

10. Impacts pour les Compliance Officers

— Gouvernance intégrée des textes numériques et du RGPD, avec un registre de contrôles consolidé.

— Programme DPIA cible sur traitements à risque élevé, synchronisé avec les obligations DSA/AI Act et plans de tests sécurité NIS2.

— Contrats et politiques de partage de données révisés, incluant responsabilités, finalités, mécanismes de contestation et auditabilité.

— Cartographie des transferts et interopérabilités, incluant restrictions par pays et fournisseurs critiques.

— Indicateurs de pilotage : taux de complétude DPIA, délais d’exercice des droits, incidents sécurité, écarts de base légale, non‑conformités inter‑textes.

Conclusion

L’Avis conjoint 2/2026 EDPB‑EDPS trace une ligne directrice : la simplification du cadre numérique ne peut réussir qu’en consolidant, non en diluant, les garanties du RGPD. Les compliance officers ont un rôle déterminant pour orchestrer une gouvernance inter‑textes robuste, prouver l’accountability, prévenir le function creep et sécuriser les chaînes de traitement et de partage de données.

Quelques pistes pour l’intégration opérationnelle dans votre dispositif :

— Établir une matrice « finalité ↔ base légale ↔ texte numérique » et lier chaque traitement à un contrôle et un propriétaire métier.

— Lancer un programme DPIA priorisé par risque, avec exigences de privacy by design/by default intégrées dans les cycles projets et achats.

— Mettre à jour les contrats de partage/accès aux données : journalisation, limitation d’usage, sécurité, audits, transferts internationaux.

— Mettre en production des tableaux de bord d’exercice des droits et de conformité inter‑textes (RGPD/DSA/AI/NIS2).

— Formaliser des protocoles de coopération avec les autorités compétentes et des playbooks d’incident RGPD/NIS2.