Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
Dans le cadre du „ Digital Omnibus “, la Commission européenne prévoit une réforme en profondeur du règlement général sur la protection des données, qui concerne en particulier les règles relatives au suivi en ligne et aux bannières de cookies. L'objectif est de limiter le nombre de bannières de consentement et de simplifier le cadre juridique. La protection des données doit toutefois rester garantie. Nous vous présentons ici les principales modifications.
Suppression de l'obligation de consentement pour les cookies
Un élément central de la proposition de réforme est un nouveau cadre juridique pour les cookies et les services de suivi. Jusqu'à présent, selon la directive européenne ePrivacy, les cookies non nécessaires ne peuvent être placés et lus qu'avec le consentement explicite préalable des utilisateurs (obligation d'opt-in). La Commission souhaite désormais supprimer cette obligation de consentement strict.
Au lieu de miser exclusivement sur le consentement, toute base juridique conforme au RGPD doit être autorisée pour le suivi des cookies, y compris l'intérêt légitime des exploitants de sites web. Concrètement, les cookies de suivi pourraient à l'avenir être placés sans bannière préalable, à condition que le responsable du traitement puisse invoquer une autre base légale, par exemple son intérêt commercial légitime. Pour les utilisateurs, cela signifierait un déplacement de l'opt-in vers l'opt-out : Les cookies seraient placés par défaut et les personnes concernées devraient, le cas échéant, s'y opposer ultérieurement au lieu de donner leur consentement préalable. Cela impliquerait également un déplacement de la charge de la preuve.
Cette modification doit en même temps mettre fin à la double réglementation actuelle par le RGPD et ePrivacy. Il est en effet prévu d'ancrer les règles relatives aux cookies directement dans le RGPD (par le biais d'un nouvel article 88a RGPD). Il y aurait ainsi un cadre juridique unique et cohérent pour le suivi en ligne dans l'UE, ce qui devrait éliminer les chevauchements et les incertitudes dus à une double surveillance (autorités de protection des données vs. régulateurs des télécoms).
Moins de bannières de cookies grâce aux préférences de navigation automatisées
L'un des objectifs déclarés de la Commission est de lutter contre l'afflux de bannières de cookies et la „fatigue du consentement“ des utilisateurs. C'est pourquoi les utilisateurs doivent à l'avenir pouvoir transmettre leurs préférences en matière de protection des données de manière automatisée et lisible par une machine, au lieu de devoir cliquer à travers d'innombrables fenêtres pop-up. D'un point de vue technique, il est prévu que les navigateurs ou les systèmes d'exploitation envoient des signaux de confidentialité standardisés aux sites web. Ces signaux indiquent au site web si un utilisateur accepte ou refuse les cookies à certaines fins. Un exemple : le navigateur envoie automatiquement l'information „Cookies publicitaires et de suivi non souhaités“. Le site web doit lire et respecter cette consigne sans que l'utilisateur doive à chaque fois cliquer manuellement sur „Refuser“. Les exploitants de sites web seraient tenus de respecter automatiquement de telles préférences des utilisateurs.
Toutefois, la mise en œuvre dépend de l'accord de toutes les parties concernées sur des normes techniques communes. La Commission souhaite mandater des organismes de normalisation à cet effet et, si nécessaire, obliger les fabricants de navigateurs à mettre à disposition de telles possibilités de réglage.
Une fois les normes techniques définies, une courte période de transition est prévue. On parle d'une période de six mois. Ensuite, tous les fournisseurs devront obligatoirement accepter les signaux Do-Not-Track de la machine.
Inconvénient : tant que de tels standards et solutions ne seront pas disponibles dans la pratique, on en restera pour l'instant aux bannières habituelles. L'automatisation visée nécessite une mise en œuvre à l'échelle du secteur, ce qui prendra du temps.
Réglementation spéciale : exception pour les fournisseurs de médias
Une exception importante dans le projet de réforme est prévue pour les médias journalistiques en ligne et les portails d'information. Les fournisseurs de médias seront exemptés de la prise en compte automatique des préférences de navigation décrite ci-dessus.
La Commission européenne justifie cette décision par le rôle particulier du journalisme indépendant dans la démocratie et son financement : de nombreux sites d'information dépendent des recettes publicitaires, qui passent souvent par la publicité personnalisée. Si les signaux généraux „Do Not Track“ étaient strictement imposés, ces portails ne pourraient plus effectuer de suivi personnalisé, ce qui pourrait mettre en péril leurs recettes publicitaires et donc leur base économique.
Dans la pratique, cette exception signifie que même si un utilisateur a prédéfini „pas de cookies de suivi“ dans son navigateur, un site d'actualités, par exemple, pourrait tout de même afficher sa propre bannière de cookies et demander le consentement à la publicité personnalisée. La préférence générale de l'utilisateur ne devrait pas être automatiquement acceptée dans ce cas particulier.
Conseil de lecture : L'UE annule partiellement la loi sur la chaîne d'approvisionnement - Omnibus devrait alléger la charge des entreprises
Aperçu des autres adaptations techniques
En outre, le projet contient d'autres modifications qui devraient faciliter la gestion des cookies et du tracking du point de vue de l'entreprise. Les points les plus importants sont les suivants :
- Données d'utilisation agrégées sans consentement : L'utilisation de cookies à des fins purement statistiques (par ex. pour mesurer la portée), sans profilage individuel, doit être autorisée sans consentement préalable. Les cookies de sécurité et d'analyse de la portée pourraient notamment être utilisés sans bannière, tant que seules des informations agrégées et anonymes sont collectées. Pour les exploitants de sites web, cela signifierait que le nombre de visiteurs ou les statistiques générales d'utilisation pourraient à l'avenir être collectés sans consentement, dans la mesure où aucun profil de la personnalité n'est établi.
- „Bannières de cookies “en un clic„ (bouton “Rejeter tout„) : Afin de rendre les bannières restantes plus conviviales, un mécanisme de consentement simplifié doit être imposé. Les utilisateurs doivent pouvoir accepter ou refuser les cookies en un seul clic. En particulier, un bouton “Refuser tout„ bien visible sera obligatoire, au même titre que l'actuel bouton “Accepter tout". Les configurations manipulatrices, telles que les options de refus cachées, ne seraient pas autorisées. Ce principe du "clic unique" vise à garantir que le refus des cookies non nécessaires soit aussi simple que leur acceptation, ce qui renforce la protection effective des utilisateurs.
- Signaux du navigateur en tant qu'opposition : comme décrit ci-dessus, les signaux de préférence en matière de vie privée (signaux opt-out lisibles par machine) doivent être expressément reconnus comme une opposition valable selon le RGPD. Si un utilisateur sélectionne par exemple via son navigateur „Interdire le suivi“, cela est considéré comme un droit d'opposition exercé qui s'oppose au traitement des données. Les sites web devraient à l'avenir évaluer automatiquement de tels en-têtes Do-Not-Track et s'abstenir de traiter les données en conséquence. Cela permet d'automatiser l'application des préférences des utilisateurs et évite aux personnes concernées d'exercer à nouveau manuellement leur droit d'opposition sur chaque page. Pour les entreprises, il est important d'implémenter à temps des solutions techniques permettant de recevoir de tels signaux et d'en tenir compte.
Perspectives d'avenir : Quand les nouvelles règles sur les cookies doivent-elles entrer en vigueur ?
La proposition formelle de la Commission européenne a été présentée le 19 novembre 2025. Elle suivra ensuite la procédure législative ordinaire de l'UE : le Parlement européen et le Conseil des États membres examineront le projet et l'adopteront finalement. D'autres modifications des propositions sont tout à fait probables, car des discussions controversées sont déjà en cours et les défenseurs de la protection des données mettent en garde contre un affaiblissement de la protection des données.
Il n'est pas possible pour l'instant d'indiquer avec certitude une date concrète à partir de laquelle les nouvelles règles s'appliqueront. Les scénarios optimistes estiment que la réforme pourrait être adoptée d'ici fin 2026. Elle pourrait alors entrer en vigueur au plus tôt en 2027, en fonction de l'évolution des négociations. De plus, il y aura probablement des périodes de transition. Ainsi, pour l'introduction des signaux de préférence du navigateur, un délai de mise en œuvre d'environ six mois est prévu, une fois que les normes techniques auront été définies.
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec une connaissance approfondie de la protection des données, du RGPD, de la conformité informatique et de la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French