Le 31 mars 2026, la Défenseure des droits française et plus de 60 institutions européennes indépendantes ont publié une alerte commune. Leur cible : le « Digital Omnibus », cette réforme massive que la Commission européenne veut faire passer au pas de course. Leur message est clair : attention à ne pas sacrifier les droits fondamentaux sur l’autel de la simplification.

Deux jours plus tôt, les trilogues devaient s’ouvrir au Parlement européen, avec un vote en session plénière prévu pour juin 2026.

Qu’est-ce qui se joue exactement ? Et pourquoi ça concerne tous les acteurs du digital en Europe ?

Un texte qui change tout sur les cookies

Le Digital Omnibus, présenté par la Commission le 19 novembre 2025, est un paquet législatif qui fusionne et réécrit plusieurs textes fondateurs du droit numérique européen. Le point qui nous intéresse ici : il absorbe les règles cookies de la directive ePrivacy directement dans le RGPD, via un nouvel article 88a.

Concrètement, trois changements majeurs pour les bandeaux de consentement :

• Le refus en un seul clic devient obligatoire. Si vous proposez un bouton « Accepter », le bouton « Refuser » doit être aussi simple d’accès > déjà obligatoire en France.
• Après un refus, interdiction de redemander le consentement pour le même usage pendant au moins 6 mois > était une recommandation, deviendrait une obligation.
• Et surtout, l’article 88b prévoit la mise en place progressive de signaux de préférence automatisés, directement depuis le navigateur ou le système d’exploitation. L’idée : votre choix se fait une fois dans votre navigateur, pas site par site.

Sur le papier, c’est une avancée. La « consent fatigue » est un vrai problème : les internautes cliquent sur « Accepter » par lassitude, pas par choix éclairé.

Ce que dit le CEPD (et pourquoi c’est important)

Le 10 février 2026, le Comité Européen de la Protection des Données (CEPD) et le Contrôleur Européen de la Protection des Données (EDPS) ont publié un avis conjoint sur le Digital Omnibus. Leur position se résume en une phrase : oui à la simplification, non à l’affaiblissement.

Leur principale inquiétude ne porte pas sur les cookies. Elle porte sur la définition même des données personnelles.

Le Digital Omnibus propose d’ajouter au RGPD un paragraphe qui dit, en substance : une information n’est pas forcément une donnée personnelle pour toute entité. Si une entreprise ne peut pas identifier la personne derrière une donnée, cette donnée n’est pas « personnelle » pour elle, même si une autre entité pourrait faire l’identification.

Le CEPD s’y oppose frontalement. Selon eux, cette modification « réduirait significativement le périmètre des données protégées » et créerait des failles que certains acteurs pourraient exploiter pour contourner le RGPD. Leur recommandation : la définition des données personnelles « devrait dire ce que sont les données personnelles, plutôt que ce qu’elles ne sont pas. »

En clair : on ne simplifie pas une loi fondamentale en rétrécissant son champ d’application.

L’alerte du 31 mars : 60 institutions tirent la sonnette d’alarme

Ce qui rend ce sujet brûlant, c’est la mobilisation sans précédent du 31 mars 2026. La Défenseure des droits, aux côtés des réseaux Equinet (organismes d’égalité) et ENNHRI (institutions nationales des droits de l’Homme), a publié une déclaration commune. Plus de 60 institutions issues de plus de 40 pays européens.

Leur alerte dépasse le cadre des cookies et de la data. Elle touche à la non-discrimination et aux droits fondamentaux dans l’ensemble du cadre numérique européen. Le Digital Omnibus, en voulant alléger les contraintes pour les entreprises, risque de diluer des protections qui existent précisément parce qu’elles sont nécessaires.

C’est un signal politique fort. Quand autant d’institutions indépendantes se dressent contre un texte législatif en cours de négociation, c’est qu’il y a un vrai risque.

Ce que ça change pour les éditeurs et les annonceurs

Parlons concret. Si le Digital Omnibus est adopté tel quel (adoption estimée en 2027, application progressive 2030-2031), voici ce qui attend les professionnels du digital :

2030 : l’article 88a entre en vigueur. Les bandeaux cookies doivent intégrer le refus en un clic et respecter la règle des 6 mois. Pour les éditeurs qui jouent déjà le jeu, pas de révolution. Pour les autres, il va falloir revoir les parcours de consentement.

2031 : l’article 88b entre en application. Les signaux navigateur commencent à remplacer les bandeaux. C’est là que ça se complique : si les navigateurs envoient un signal « refus par défaut », les taux de consentement pourraient chuter drastiquement. On parle de scénarios à 30% de consentement, voire moins.

Une avancée qui a du sens : les cookies purement statistiques (mesure d’audience agrégée, anonymisée) pourraient être exemptés de consentement. C’est une simplification bienvenue pour les sites qui ne vont pas plus loin que l’analyse statistique.

Le mirage du signal navigateur

Revenons sur l’article 88b, parce que c’est là que le texte passe de la bonne idée au casse-tête industriel.

L’idée de base est séduisante : au lieu de cliquer sur un bandeau différent sur chaque site, l’utilisateur configure ses préférences une seule fois dans son navigateur, qui transmet ensuite un signal automatique aux sites visités. Plus de consent fatigue, plus de dark patterns. Sur le papier, tout le monde gagne.

Sauf qu’il n’existe aucun standard technique pour ce signal. Et c’est un détail qui change tout.

Aujourd’hui, pour que le consentement fonctionne entre un site, une CMP, un ad server et des dizaines de partenaires publicitaires, tout le monde parle le même langage : le TCF (Transparency & Consent Framework), maintenu par l’IAB. C’est imparfait, mais c’est un protocole commun, adopté par l’ensemble de l’écosystème. Le signal navigateur prévu par l’article 88b n’a rien de tout ça. Il n’y a pas de protocole. Pas de spécification technique. Pas de format de données.

Et la Commission ne propose pas de solution. Elle dit, en substance : débrouillez-vous. L’article 88b donne 2 ans aux acteurs de l’industrie pour se mettre d’accord sur un standard, puis 4 ans aux navigateurs pour l’implémenter. Au total, on parle d’un horizon 2030-2031 pour que le système soit opérationnel. Sauf que se mettre d’accord sur un standard global de consentement entre des acteurs aux intérêts radicalement opposés (éditeurs, annonceurs, Big Tech, CMPs, régulateurs), c’est demander à des concurrents de construire ensemble les règles du jeu. On en est très loin.

Pour comprendre l’ampleur du problème, prenons un exemple concret. Quand un utilisateur refuse le tracking via son navigateur, qu’est-ce que ça couvre exactement ? Les cookies publicitaires ? L’analytics ? La personnalisation ? Le retargeting ? Un site peut appeler une même finalité « performance du site », un autre « mesure du comportement utilisateur », un troisième « mesure de la fraude ». Sans taxonomie commune, sans format de données partagé, le signal navigateur ne peut pas traduire fidèlement les préférences d’un utilisateur d’un site à l’autre. Le consentement transmis ne serait même pas juridiquement valable, puisque le RGPD exige un consentement spécifique, éclairé et granulaire.

Comme le résume Thomas Adhumeau, Chief Privacy Officer chez Didomi : « l’absence de standardisation rend ce système très difficile à mettre en œuvre. Un signal navigateur universel nécessiterait un « protocole CMP globalisé », ce qui relève de l’utopie dans un marché aussi fragmenté. »

Et il ne s’agit pas de partir de zéro. Un framework décentralisé existe déjà : le TCF (Transparency & Consent Framework), développé sous l’égide de l’IAB Europe, offre une gestion granulaire du consentement, respectueuse des principes du RGPD et adaptée à la complexité des écosystèmes multi-acteurs. Comme le souligne l’Alliance Digitale (qui représente 300 acteurs de la chaîne de valeur publicitaire en France), la Commission propose tout simplement de court-circuiter ce qui fonctionne au nom d’une simplification qui n’en a que le nom. On casserait un système construit collectivement par l’industrie pour le remplacer par un mécanisme binaire, centralisé, et dont personne ne sait encore comment il fonctionnera.

Car c’est aussi ça le problème : la binarité. Dire « oui » ou « non » à la publicité personnalisée au niveau du navigateur, ce n’est pas résoudre la fatigue du consentement. C’est déplacer le problème. Un consentement éclairé suppose de comprendre pour quoi on consent, auprès de qui, et pour quelles finalités. Un toggle binaire dans les paramètres du navigateur ne permet rien de tout ça.

Et même si ce signal existait demain, un problème fondamental demeure : le navigateur peut émettre un refus, mais il est techniquement incapable de vérifier si le site respecte réellement ce choix ou s’il continue à traiter les données en arrière-plan. Aujourd’hui, c’est la CMP, côté site, qui joue ce rôle de contrôle et de traçabilité du consentement. Demain, qui le fera ? Le navigateur ? Celui-là même qui appartient à Google ou Apple ?

Le paradoxe Google : quand la simplification profite aux géants

C’est peut-être la critique la plus percutante du Digital Omnibus.

Confier la gestion du consentement aux navigateurs, c’est confier les clés de la régulation à une poignée d’acteurs dominants. Chrome (Google) représente environ 65% du marché des navigateurs en Europe. Safari (Apple) en détient environ 20%. À eux deux, ils couvrent 85% des utilisateurs européens. Centraliser le consentement dans le navigateur, c’est très concrètement remettre le contrôle de la relation privacy entre l’utilisateur et le site web dans les mains de Google et Apple.

Le scénario le plus redouté par les éditeurs, c’est celui qu’on a déjà vécu côté mobile. Quand Apple a lancé l’App Tracking Transparency (ATT) sur iOS en 2021, le résultat a été sans appel : plus de 75% des utilisateurs ont refusé le tracking. Et pour cause, les propriétaires d’Iphones se retrouvent maintenant à devoir valider leur choix deux fois : sur l’ATT puis sur la CMP, simplification ?
Et ce n’est pas le seul problème : l’ATT a déjà fait l’objet de condamnations, en France comme en Italie, pour pratiques anticoncurrentielles. L’Alliance Digitale dénonce ce mécanisme depuis sa mise en œuvre.

Si Chrome ou Safari implémente un mécanisme similaire à l’installation du navigateur (un seul choix, une seule fois, « oui » ou « non » au tracking), on peut s’attendre à des taux de refus comparables sur le web.

Et c’est là que la mécanique devient redoutable. Avec le contrôle de la couche de consentement au niveau du navigateur, l’ensemble du marché publicitaire peut basculer par une simple décision unilatérale de Google ou Apple. Sans recours, sans négociation, sans contre-pouvoir. Les éditeurs indépendants, les intermédiaires, les acteurs de taille moyenne : tous se retrouvent structurellement dépendants d’une décision à laquelle ils ne sont pas associés.

Pour l’open web, c’est un séisme. Pour les walled gardens (Google, Meta, Amazon), c’est un avantage concurrentiel massif. Pourquoi ? Parce qu’ils ne dépendent pas du consentement cookies pour leur ciblage. Ils ont les données first-party de milliards d’utilisateurs connectés à Gmail, YouTube, Instagram, Amazon. Quand un utilisateur refuse les cookies dans son navigateur, il coupe l’herbe sous le pied du site qu’il visite, pas de Google qui le cible déjà via son compte.

Et c’est là que le paradoxe devient flagrant.

En septembre 2025, la Commission européenne a infligé 2,95 milliards d’euros d’amende à Google pour abus de position dominante dans la publicité en ligne. L’enquête, initiée en 2021 suite à une plainte du European Publishers’ Council, a conclu que Google avait systématiquement favorisé ses propres services publicitaires (AdX, Google Ads, DV360) au détriment des éditeurs et des concurrents. La Commission a même évoqué des « remèdes structurels » comme la cession d’activités pour résoudre le conflit d’intérêts. Aux Etats-Unis, un juge a également statué que Google détenait un monopole sur la recherche en ligne.

La même Commission qui sanctionne Google pour son monopole adtech, la même Europe qui a créé le DMA pour limiter le pouvoir des gatekeepers, confie donc via le Digital Omnibus un levier supplémentaire de contrôle sur l’écosystème publicitaire à ces mêmes gatekeepers. C’est incohérent.

Google l’a bien compris et se positionne déjà. Son Privacy Sandbox (Topics API, Protected Audiences, Aggregated Reporting) transforme Chrome en intermédiaire publicitaire intégré, capable de gérer le ciblage, la mesure et l’attribution directement dans le navigateur, sans cookies tiers. L’article 88b ne fait qu’accélérer cette dynamique : si le consentement se gère dans le navigateur, celui qui contrôle le navigateur contrôle le consentement.

Pour les éditeurs, le risque est très concret. Aujourd’hui, la relation de consentement se fait entre le site et l’utilisateur, via la CMP. L’éditeur maîtrise son bandeau, son taux de consentement, sa monétisation. Il peut choisir son design, son discours, sa stratégie de consentement. Demain, cette relation pourrait être court-circuitée par un paramètre navigateur sur lequel l’éditeur n’a aucune prise. Kim van Sparrentak, eurodéputée, dénonce un texte qui « déroule le tapis rouge à un modèle économique basé sur le vol de données » au profit des Big Tech.

On passe d’un système décentralisé à un système centralisé entre les mains de deux ou trois gatekeepers technologiques. C’est exactement l’inverse de ce que le DMA était censé accomplir.

Simplifier ou complexifier ? Le vrai bilan pour les entreprises

C’est là qu’on touche au cœur du problème. L’objectif affiché du Digital Omnibus, c’est la simplification : réduire la charge réglementaire, harmoniser les règles, faciliter la conformité. La Commission annonce même plus de 800 millions d’euros d’économies annuelles pour les entreprises européennes. Mais quand on regarde dans le détail, le constat est plus nuancé.

En transférant les règles cookies de l’ePrivacy vers le RGPD et en introduisant de nouvelles catégories d’exemptions, le texte ne supprime pas de la complexité. Il en déplace, et il en crée de nouvelles couches. Concrètement, les organisations vont devoir répondre à des questions qui n’existaient pas avant : ce traitement nécessite-t-il encore un consentement, ou relève-t-il d’une des nouvelles exemptions « à faible risque » ? Comment classifier précisément chaque vendor et chaque finalité, sachant que les exemptions varient selon la finalité, la technologie et la catégorie de données ? Comment documenter ces choix pour prouver la conformité ? Comment gérer le consent capping à travers les bannières, l’analytics et les parcours utilisateurs ? Et comment articuler tout ça avec un éventuel signal navigateur dont on ne connaît ni le format ni le fonctionnement ?

Comme le résume Romain Gauthier, CEO de Didomi : « En l’état, le Digital Omnibus va probablement accroître la complexité des activités numériques pour les entreprises européennes les plus avancées. »

Certains petits sites pourraient effectivement y gagner en simplicité grâce aux exemptions. Mais pour la majorité des organisations impliquées dans la publicité, la personnalisation, le suivi cross-domain ou l’IA, le nouveau cadre introduit des niveaux supplémentaires de subtilité, de conditions, de seuils et d’exemptions qui nécessiteront une expertise juridique et technique accrue. La « simplification » risque de se transformer en complexification pour ceux qui en avaient le moins besoin.

Peter Craddock, associé spécialisé en droit numérique chez Keller and Heckman, est encore plus direct : selon lui, « la proposition ne fait que rendre les choses plus complexes et remet en question même les approches considérées comme valides aujourd’hui dans certaines juridictions. »

On remplace un problème (la consent fatigue) par un autre (la dépendance aux Big Tech pour la gestion du consentement), sans standard technique prêt, sans garantie de contrôle effectif, et avec un calendrier d’implémentation qui s’étire jusqu’en 2030. Le tout en déléguant la construction du standard à une industrie dont les acteurs sont en compétition frontale les uns avec les autres.

Sur la définition des données personnelles, le Digital Omnibus ouvre une brèche. Et dans un monde où les données circulent entre des dizaines d’acteurs (annonceurs, SSP, DSP, DMP, CDPs…), réduire ce qui est considéré comme « donnée personnelle » revient à créer des angles morts dans la protection des utilisateurs.

Et sur le plan concurrentiel, on aboutit à un paradoxe : un texte qui prétend protéger les citoyens européens pourrait finir par renforcer la domination des acteurs que l’Europe passe son temps à sanctionner.

---

Thomas Gicquel – CEO de Gimii Les Cookies Solidaires