Digital Omnibus Package : ce que les entreprises doivent savoir

Que sera le SEP ?

Le SEP tel que défini par le Digital Omnibus n’existe pas encore. Il n’a pas d’URL, pas d’interface, pas de formulaire. C’est une proposition législative, et le Digital Omnibus Regulation (le volet données/cyber, distinct du volet AI déjà acté le 7 mai) n’a pas encore fait l’objet d’un accord en trilogue au printemps 2026.

Ce qui existe en revanche, c’est son précurseur direct, le CIRAS (Cybersecurity Incident Reporting and Analysis System). L’ENISA maintient CIRAS, pour aider les États membres à soumettre des rapports d’incidents. C’est aujourd’hui un outil réservé aux autorités nationales (CSIRTs), pas directement accessible aux entreprises pour leurs déclarations obligatoires. Il donne accès à des données agrégées sur les incidents cybersécurité à l’échelle de l’UE.

Il y a aussi la Single Reporting Platform (SRP) du Cyber Resilience Act, qui est un système distinct, également géré par ENISA, mais limité au CRA : la plateforme est prévue pour être opérationnelle le 11 septembre 2026, date d’entrée en application des obligations de signalement pour les fabricants sous le CRA. Son URL n’est pas encore publique. C’est ce système que le SEP du Digital Omnibus est censé absorber et étendre à NIS2, DORA, RGPD et eIDAS. Plus d’infos sur le site ENISA.

Les principes du futur SEP ?

Le SEP prendrait la forme d’une plateforme de signalement centralisée, entièrement numérique, gérée par ENISA. Via cette plateforme, les organisations pourraient soumettre les notifications d’incidents requises par plusieurs textes européens (RGPD, NIS2, DORA, Cyber Resilience Act et autres) en utilisant des modèles harmonisés et une interface unique, plutôt que de naviguer entre plusieurs autorités nationales et canaux de signalement.

Principe de fonctionnement : « report once, share many ». L’organisation notifie une fois. ENISA joue un rôle de routeur et redirige l’information aux autorités compétentes (CSIRT national, autorité de protection des données, superviseur financier…).

Les détails sur ce à quoi ressemblera le SEP restent à un niveau élevé. La plateforme devra d’abord être développée par ENISA. Il faudra au minimum 18 mois après l’approbation du Digital Omnibus avant que le SEP entre en vigueur, avec d’ailleurs une possible extension de 6 mois si la Commission estime que la solution d’ENISA n’est pas prête après les tests pré-lancement…

La perspective d’un guichet unique de signalement change l’architecture de vos processus de gestion de crise. Il serait ainsi dommage de figer des procédures qui seront à retravailler dans 18 à 24 mois.

Aujourd’hui, un incident cyber dans une banque ou un assureur peut déclencher jusqu’à quatre notifications parallèles : au CSIRT national (NIS2), à l’autorité de supervision financière (DORA), à la CNIL (RGPD), et potentiellement à un régulateur sectoriel. Chacune avec son délai, son formulaire, son seuil de déclenchement…

Avec le SEP, il n’y aura plus qu’une seule déclaration, un seul formulaire, un délai harmonisé à 96 heures. ENISA assure la distribution aux autorités concernées. Le gain n’est pas que symbolique : en situation de crise, l’équipe de réponse aux incidents passe moins de temps à remplir des formulaires et plus de temps à gérer l’incident.

Ce qu’il faut faire maintenant : ne pas figer vos procédures de gestion de crise. Si vous êtes en train de rédiger vos playbooks de réponse aux incidents, documentez les obligations actuelles et anticipez la convergence vers le SEP. Vous éviterez une réécriture complète dans 24 mois.

Le report des obligations vous donne du temps, mais pas l’opportunité de ne rien faire : « décaler » ne signifie pas « annuler ». Les organisations qui auront avancé sur la documentation, l’évaluation des risques et la gouvernance IA sont celles qui absorberont le choc réglementaire le mieux, quand il arrivera.

Ce qu’il faut faire maintenant : profiter de cette fenêtre pour avancer sur ce qui ne dépend pas des normes harmonisées encore en cours d’élaboration — inventaire des systèmes d’IA déployés, classification par niveau de risque, documentation des cas d’usage, mise en place d’une gouvernance IA au niveau direction. Les organisations qui arriveront à l’échéance avec ces fondations en place n’auront qu’à compléter ; les autres devront tout construire sous pression.

Un point pratique souvent négligé : les obligations de transparence de l’Article 50 s’appliquent toujours au 2 août 2026 pour les systèmes lancés à partir de cette date. Si votre organisation déploie un outil d’IA générative à destination de ses collaborateurs ou clients après cette date, les exigences de marquage s’appliquent immédiatement.

C’est aujourd’hui l’un des angles morts du droit européen. Le RGPD ne prévoit pas de base légale explicite pour l’entraînement IA, ce qui force les organisations à des contorsions juridiques pour arbitrer un consentement difficile à obtenir à l’échelle, un intérêt légitime appliqué de façon hésitante, et une finalité secondaire parfois contestée.

Le Digital Omnibus Regulation propose d’introduire dans le RGPD une base légale explicite fondée sur l’intérêt légitime pour le développement et l’exploitation des systèmes d’IA. C’est un changement structurant, mais attention il n’est pas encore adopté. Ce point devra être surveillé !

Ce qu’il faut faire maintenant : documenter vos analyses d’intérêt légitime existantes (ou les produire si vous ne l’avez pas fait). Quand la base légale sera formellement disponible, les organisations qui auront déjà fait le travail de balancing test et de documentation pourront basculer rapidement. Les autres repartiront de zéro.

C’est le cas le plus souvent ignoré. Même si vous n’êtes pas soumis à NIS2, DORA, ou si vous ne déployez pas d’IA, le Digital Omnibus touche le RGPD, et toute organisation qui traite des données personnelles est concernée par au moins trois évolutions :

La clarification de la notion de données personnelles. Le Digital Omnibus précise qu’une information n’est pas une donnée personnelle pour une entité donnée si cette entité n’a pas les moyens raisonnablement susceptibles d’être utilisés pour identifier la personne concernée. C’est une clarification issue de la jurisprudence récente de la CJUE, mais elle a des effets pratiques sur la portée du RGPD pour vos jeux de données pseudonymisés ou agrégés.

L’harmonisation des AIPD. Le CEPD (Comité européen de la protection des données, en anglais EDPB : European Data Protection Board) sera chargé de produire des listes communes d’opérations de traitement nécessitant (ou non) une AIPD (Analyse d’Impact relative à la Protection des Données, en anglais DPIA : Data Protection Impact Assessment), avec un modèle standardisé. Fini les divergences entre les listes nationales des CNIL européennes. C’est une simplification opérationnelle directe pour les DPO.

L’extension du délai de notification des violations. Le délai de 72 heures (souvent vécu comme intenable en pratique) passerait à 96 heures, avec un portail unique de notification. C’est modeste, mais c’est concret pour les équipes en charge des incidents.

En résumé : si votre organisation traite des données personnelles, ce qui est le cas de la quasi-totalité des entreprises, le Digital Omnibus vous concerne, même si vous êtes loin de NIS2, DORA ou de l’IA à haut risque.

Le Digital Omnibus Package se compose de quatre éléments publiés simultanément le 19 novembre 2025 :

1. Le Digital Omnibus on AI (COM(2025) 836 final) :

• C’est un texte distinct, centré exclusivement sur l’AI Act.
• Il n’amende pas d’autres règlements.
• Son objet : ajuster le calendrier d’application des obligations haut risque et clarifier certaines zones d’ambiguïté.

2. Le Digital Omnibus Regulation (COM(2025) 837 final) :

• C’est le texte principal, qui amende et consolide les règles sur les données, la vie privée et la cybersécurité.
• Il modifie le RGPD, la directive ePrivacy, NIS2, DORA, eIDAS et le Data Act.
• Il abroge également plusieurs textes devenus redondants : le Data Governance Act, la directive Open Data, le règlement Free Flow of Non-Personal Data et le règlement P2B (relations plateformes-entreprises).

3. La Data Union Strategy :

• C’est une communication politique (non législative) définissant la vision de la Commission pour l’accès aux données à des fins d’innovation IA : data labs, espaces européens de données communs, données synthétiques.

4. Le règlement European Business Wallet :

• C’est une proposition autonome pour créer un identifiant numérique unique permettant aux entreprises et aux administrations d’interagir sans papier à travers les 27 États membres.
• Ne pas confondre :
  • l’EUDI Wallet est conçu pour les personnes physiques (citoyens, résidents, et dans une certaine mesure les personnes morales).
  • L’European Business Wallet est conçu spécifiquement pour les entreprises dans leurs relations B2G (business-to-government) : interactions avec les administrations, marchés publics, procédures transfrontalières, formalités réglementaires.

Les deux règlements suivent la procédure législative ordinaire (codécision Parlement + Conseil). Les communications et stratégies n’ont pas de valeur législative contraignante.

Le Digital Omnibus ne crée pas de nouvelles obligations. Il modifie des textes existants, ce qui signifie que son périmètre est celui des textes qu’il amende.

Toute organisation déjà soumise au RGPD est concernée par les dispositions relatives à la protection des données : clarification de la notion de données personnelles, harmonisation des AIPD, nouvelle base légale pour le traitement à des fins d’IA, portail unique de notification des violations.

Toute organisation soumise à NIS2 (opérateurs de services essentiels et importants dans les secteurs critiques) bénéficiera du guichet unique de signalement des incidents.

Les entités financières soumises à DORA (banques, assureurs, prestataires de services de paiement, entreprises d’investissement, fournisseurs de services cloud critiques pour le secteur financier) sont concernées par la rationalisation du reporting d’incidents ICT.

Les fournisseurs et déployeurs de systèmes d’IA, en particulier ceux opérant des systèmes classés à haut risque, sont directement impactés par le volet AI Omnibus : report des échéances, extension des exemptions PME aux petites mid-caps (entreprise qui dépasse les seuils PME (plus de 250 salariés, ou plus de 50 M€ de CA, ou plus de 43 M€ de bilan) mais reste en dessous de 1 500 salariés), clarification des bases légales pour l’entraînement sur données personnelles.

Les PME bénéficient d’un traitement spécifique sur plusieurs volets : allègements sur les obligations Data Act pour les contrats antérieurs à septembre 2025, extension des régimes simplifiés de l’AI Act, et exemptions ciblées sur les règles de portabilité cloud.

En pratique, une grande organisation opérant dans un secteur réglementé (c’est à dire banque, santé, énergie, infrastructure numérique) est susceptible d’être concernée par les quatre ou cinq textes que le Digital Omnibus amende simultanément. C’est précisément pour ces organisations que l’effet de simplification sera le plus tangible.

Le Digital Omnibus Regulation (volet données/cyber) suit un calendrier séparé, plus long. Il n’a pas encore fait l’objet d’un accord provisoire au printemps 2026.