Skip to main content Skip to page footer

Digital Omnibus : Le même bus, des destinations différentes

Convergence réglementaire (AI Act, RGPD, NIS2, DORA, Data Act) à l’épreuve du « digital omnibus » : pourquoi le guichet unique interne est la bonne réponse opérationnelle — à condition de ne pas confondre cohérence des procédures et dissolution des finalités.

Le mot est honnête jusque dans son étymologie

Le mot est honnête jusque dans son étymologie. Omnibus, en latin, signifie « pour tous » : c’est le véhicule qui transporte ensemble des passagers qui ne vont pas tous au même endroit. La métaphore est juste — et c’est précisément là que se loge le piège. Le « Digital Omnibus » que la Commission européenne a présenté le 19 novembre 2025 propose de faire monter dans la même voiture l’AI Act, le RGPD, NIS2, DORA, le Data Act et la directive ePrivacy, au nom de la simplification et de la compétitivité. La promesse est séduisante pour un département juridique épuisé par le mille-feuille. Elle mérite mieux qu’un enthousiasme ou qu’un rejet : elle mérite qu’on distingue ce que « converger » veut dire.

La généalogie de l’initiative éclaire son ambition. Elle procède en droite ligne du rapport Draghi de 2024, qui désignait la surcharge normative comme un frein à l’innovation européenne. L’omnibus en est la traduction la plus visible : non pas de nouvelles règles, mais une opération de consolidation, de réalignement des calendriers et de suppression des doublons, assortie d’un chiffre-étendard — jusqu’à 5 milliards d’euros d’économies administratives pour les entreprises d’ici 2029, auxquels la Commission ajoute un milliard pour les administrations.

Ce que l’omnibus fait vraiment

Les faits, d’abord. Sur l’AI Act (Digital Omnibus on AI), le Parlement et le Conseil sont parvenus le 7 mai 2026 à un accord politique provisoire, premier amendement au règlement depuis 2024, dont l’adoption formelle est attendue en juin-juillet. Il repousse l’entrée en application des obligations sur les systèmes à haut risque selon une logique à deux étages : les usages de l’annexe III (biométrie, infrastructures critiques, éducation, emploi, justice, migration) passent du 2 août 2026 au 2 décembre 2027 ; les produits régulés de l’annexe I, du 2 août 2027 au 2 août 2028. Le marquage des contenus générés par IA est reporté au 2 décembre 2026. En revanche — point souvent oublié — l’essentiel des obligations de transparence de l’article 50 reste applicable au 2 août 2026, comme prévu. Le report n’est donc pas général : il est ciblé, et conditionné à la disponibilité des normes harmonisées.

Sur la cybersécurité, l’omnibus crée un guichet unique de notification — « déclarer une fois, partager à plusieurs » — confié à l’ENISA, qui doit absorber les obligations parallèles de NIS2, du RGPD, de DORA, d’eIDAS V2 et de la directive REC. Le délai de notification d’une violation de données passerait de 72 à 96 heures, avec un relèvement du seuil de déclenchement.

Sur les données, l’omnibus fond le Data Governance Act, la directive Open Data et le règlement sur les données non personnelles dans un Data Act consolidé, prévoit des clauses contractuelles types pour le cloud et des exemptions de cloud switching pour les PME (1,5 milliard d’euros d’économies ponctuelles annoncées). Jusqu’ici, la convergence est de bon aloi : elle vise des doublons réels, des procédures redondantes, une fragmentation coûteuse.

Deux convergences à ne pas confondre

C’est ici que la vigilance s’impose, et qu’un red teaming honnête doit éviter deux écueils symétriques : célébrer la simplification comme un pur gain, ou la dénoncer comme une dérégulation déguisée. La vérité est que l’omnibus mélange deux opérations de nature différente sous un même mot.

La première est une convergence de procédures : guichet unique d’incidents, modèle européen unique d’AIPD remplaçant les vingt-sept listes nationales, alignement des seuils et des délais. Le Comité européen de la protection des données et le Contrôleur européen, dans leur avis conjoint 2/2026 du 10 février, y sont globalement favorables. La seconde est une convergence de fond, bien plus discutée : la redéfinition de la notion de « donnée personnelle » — notamment ce qui cesserait d’en être une après pseudonymisation — et l’inscription de l’intérêt légitime comme base de l’entraînement des modèles sur données personnelles. Sur ce terrain, les mêmes autorités expriment une opposition ferme : la proposition, écrivent-elles, excède un ajustement technique, s’écarte de la jurisprudence de la Cour de justice et risque de rétrécir le champ même du droit des données. noyb a porté la critique plus loin encore, y voyant un conflit avec la Charte des droits fondamentaux.

Tout est dans cette distinction. La première harmonise les voies ; la seconde déplace les seuils de protection. Or le discours public les fond en un seul récit, celui de la « charge administrative » à alléger. C’est ce que Jürgen Habermas nommait la colonisation du monde vécu par la rationalité du système : le langage de l’efficience — les 5 milliards économisés — vient recouvrir une décision qui relève, elle, des droits fondamentaux et de la délibération démocratique. La présidente du CEPD l’a résumé d’une formule : simplifier, oui, mais pas au prix des droits fondamentaux.

Le télos contre la confusion

Pour le praticien, la boussole est aristotélicienne : chaque régime possède sa fin propre, son télos. Le RGPD protège la personne et sa dignité ; NIS2 et DORA visent la résilience et la sécurité opérationnelle ; l’AI Act conjugue sécurité des produits et protection des droits ; le Data Act organise l’accès et le partage. Faire monter ces régimes dans le même bus n’efface pas qu’ils descendent à des arrêts différents. La convergence des moyens est légitime ; la confusion des fins ne l’est pas. Un incident unique pourra être déclaré par un seul portail — mais il reste, simultanément : i) une violation de données à apprécier sous l’angle du risque pour les personnes ; ii) un incident de sécurité à traiter sous l’angle de la continuité ; iii) un dysfonctionnement de système d’IA à qualifier sous l’angle de la conformité. Une porte d’entrée commune, trois lectures distinctes.

Peter Senge dirait la même chose dans le vocabulaire de la pensée systémique : voir le paysage normatif comme un système, et non comme des silos, est un progrès ; mais optimiser une partie — le coût de conformité — sans égard pour la santé de l’ensemble — la confiance, les droits — est la défaillance systémique par excellence. La simplification bien comprise relie ; la simplification mal comprise aplatit.

La réponse interne : un guichet unique qui n’oublie pas les arrêts

De là découle, pour un département juridique et conformité, une méthode — et c’est le cœur opérationnel. Il faut effectivement bâtir un « guichet unique » interne, mais conçu comme un organe d’orchestration, non de fusion. Une cartographie unique des systèmes et des traitements, tenue à jour, sert d’assise commune. Un référentiel de risques transverse permet d’apprécier un même événement à travers les différentes grilles sans les mélanger. Des procédures de notification intégrées épousent le guichet unique européen, tout en conservant la qualification différenciée que chaque régime exige.

La gouvernance, enfin, doit converger sans se confondre. Réunir le RSSI, le DPO et le référent conformité IA — l’AI compliance officer — dans une instance commune est la bonne idée ; les fusionner en une fonction indifférenciée en est une mauvaise, car elle dissout les contre-pouvoirs et les regards croisés qui font la valeur du dispositif. Le DPO défend l’intérêt des personnes, le RSSI la sécurité de l’organisation, le référent IA la maîtrise des systèmes : leurs tensions sont productives. Un commandement intégré, oui ; une voix unique, non.

Vision d’ensemble

L’omnibus est un véhicule, et un véhicule ne se juge pas à sa vitesse mais à sa capacité à conduire chacun à sa destination. La tâche du juriste n’est pas de s’opposer à la convergence — elle est largement bénéfique, et le guichet unique d’incidents soulagera des équipes réellement surchargées. Sa tâche est de tenir la carte des arrêts : de rappeler, quand l’efficience parle fort, que la donnée personnelle n’est pas un coût mais un droit, que la sécurité n’est pas un formulaire mais une résilience, que la conformité IA n’est pas une formalité mais une imputabilité.

Le calendrier lui-même le dit : l’AI Act, pressé par l’échéance d’août 2026, avance vite ; le volet RGPD, sans échéance imminente, avancera plus lentement — et c’est précisément là, dans ce temps long et moins surveillé, que se jouera la question de fond. Convergence n’est pas confusion. Le bon usage de l’omnibus, c’est de monter tous dans le même bus en sachant exactement où chacun doit descendre.

 

France Charruyer, pour Data Ring