Privacy Statnive Live · Parhum Khoshbakht

Digital Omnibus et article 88a, paragraphe 3, point c : ce que les opérateurs doivent surveiller en 2026

Le projet Digital Omnibus de la Commission européenne du 19 novembre 2025 prévoit une exemption pour la mesure d'audience. Ce qui changerait — et ce qui ne change pas encore.

Ceci est une recherche en matière de protection des données, et non un conseil juridique. Voir la note de bas de page pour la clause de non-responsabilité complète.

TL;DR

  • L’article 88a, § 3, point c créerait une exemption de consentement à l’échelle de l’UE pour la mesure d’audience en propre — s’il est adopté, c’est la voie juridique la plus claire vers une analyse web sans bandeau de cookies dans les 27 États membres.
  • C’est un projet de la Commission, pas une loi. Le Parlement européen n’a pas encore voté en plénière sur le règlement COM(2025) 837 (le vote du 26 mars 2026 concernait le fichier distinct Digital Omnibus sur l’IA).
  • Le CEPD et le EDPS ont publié l’avis conjoint 2/2026 le 11 février 2026, exprimant de sérieuses préoccupations quant à la protection individuelle et à la sécurité juridique.
  • La proposition représente un glissement de couche, non un ajout parallèle — les règles sur les cookies passent, pour les données personnelles, de la directive ePrivacy vers le RGPD ; les deux cadres s’appliquent de manière séquentielle, et non simultanément.
  • Concevoir aujourd’hui pour les deux scénarios. Un déploiement sans cookie, en propre, satisfait les règles actuelles les plus strictes des États membres et sera qualifié dès le premier jour si l’article 88a est adopté en l’état.

La proposition que tout le monde veut analyser

Le 19 novembre 2025, la Commission européenne a publié la COM(2025) 837 final — le Digital Omnibus — un ensemble dont le numéro de dossier interinstitutionnel est 2025/0360(COD). EUR-Lex publie le texte consolidé à eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52025PC0837, et la page d’accueil de la Commission se trouve sur digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal. Dissimulé dans l’ensemble se trouve un projet de nouvel article 88a du RGPD qui — s’il est adopté en l’état — dispenserait du consentement à l’échelle de l’UE le cas d’usage analytique le plus demandé : « creating aggregated information about the usage of an online service to measure the audience of such a service, where it is carried out by the controller of that online service solely for its own use » (texte anglais original du projet de la Commission ; version juridiquement contraignante).

Cette phrase, à l’article 88a, § 3, point c du projet, est ce que les opérateurs souffrant de la fatigue des bandeaux attendent depuis six ans. L’ancien projet de règlement ePrivacy — censé harmoniser les lois nationales sur les cookies — a finalement été retiré le 11 février 2025 après huit années d’échecs dans les négociations au Conseil. Le Digital Omnibus est la réponse plus petite, plus rapide et plus pragmatique de la Commission : amender directement le RGPD avec une liste limitative d’objectifs sans consentement et un mécanisme de refus en un clic.

Ce billet est la lecture de l’opérateur. Ce que le texte dit réellement, quel statut il a dans le processus législatif en mai 2026, ce qu’il changerait s’il était adopté en l’état, et — surtout — comment concevoir aujourd’hui pour les deux scénarios.

Ce que l’article 88a, § 3 disposerait

Le texte de la Commission introduit une liste limitative d’objectifs pour lesquels le traitement de données personnelles est permis sans consentement. Le sous-paragraphe pertinent pour les opérateurs de services analytiques est le 88a § 3 point c, qui autorise le traitement pour (texte anglais original du projet de la Commission ; version juridiquement contraignante) :

« creating aggregated information about the usage of an online service to measure the audience of such a service, where it is carried out by the controller of that online service solely for its own use »

Quatre expressions accomplissent un travail juridique.

« Aggregated information » — pas de flux d’événements au niveau individuel. Les identifiants par visiteur, les cookies de session et les replays de session par utilisateur nécessiteraient toujours une base légale de consentement distincte. La dérogation vise les comptages, les distributions, les entonnoirs et les agrégats similaires.

« The audience of such a service » — mesure d’audience au sens strict, pas de publicité comportementale. Le texte ne couvre pas le reciblage, la modélisation par sosies, le partage d’identifiants tiers, ni les flux dont l’objectif commercial est le marketing en aval.

« The controller of that online service » — les analyses propres au site. La responsabilité conjointe avec une plateforme publicitaire, ou le traitement dans lequel l’éditeur de solutions analytiques utilise les données pour ses propres objectifs, ne relève pas de la dérogation.

« Solely for its own use » — les analyses propres de l’opérateur, non un outil qui mutualise des données entre ses clients ou les partage avec un écosystème de partenaires. C’est cette formulation qui, si le texte survit en l’état, réglerait le débat de longue date sur la question de savoir si Google Analytics 4 relève de la dérogation pour la mesure d’audience (la position actuelle de la CNIL est que ce n’est pas le cas ; le Garante est parvenu à la même conclusion dans sa décision Caffeina Media du 9 juin 2022).

Le mécanisme de refus — article 88a, § 4

Le projet n’autorise pas simplement l’analyse sans consentement dans l’abstrait ; il précise également l’expérience utilisateur. L’article 88a, § 4 proposé exige que les opérateurs permettent le refus « in an easy and intelligible manner with a single-click button or equivalent means ». Une fois le refus exprimé, l’opérateur ne peut pas relancer la demande pendant au moins six mois. Si le consentement est accordé, l’opérateur ne peut pas relancer pendant la période de validité du consentement.

L’effet politique est de transformer le bandeau d’une présence permanente en une décision ponctuelle par utilisateur et par semestre — et, pour les cas visés par la dérogation, en quelque chose qui n’a peut-être pas besoin d’apparaître d’emblée.

Signaux au niveau du navigateur — article 88b

L’ensemble propose également un nouvel article 88b imposant aux responsables de traitement de permettre aux personnes concernées de donner ou refuser leur consentement « through automated and machine-readable means ». Une fois les normes techniques en place, les responsables de traitement doivent respecter ces signaux après une période de grâce de six mois ; une présomption de conformité s’attache aux opérateurs qui le font.

C’est l’ancrage juridique tant attendu pour le Global Privacy Control. Si l’article 88b survit en l’état, le signal GPC deviendra présomptif dans les juridictions de l’UE — une position que le CCPA en Californie et plusieurs lois d’États américains adoptent déjà, mais que l’UE a jusqu’à présent laissée à l’appréciation des opérateurs. Le considérant 46 exclut les fournisseurs de services de médias de l’obligation d’être liés par les signaux automatisés, ce qui constitue une restriction significative.

Où en est le dossier — mai 2026

C’est là que le billet devient moins satisfaisant pour les opérateurs qui attendent le feu vert.

En mi-mai 2026, le Digital Omnibus est un projet de la Commission, pas une loi. Le dossier avance via la procédure législative ordinaire avec des dossiers conjoints dans les commissions du Parlement européen :

  • ITRE (industrie, recherche et énergie), rapporteure : Aura Salla (PPE/FI) — nomination contestée par sept organisations de la société civile en raison d’un conflit d’intérêts potentiel lié à son ancienne activité de lobbying pour Meta — et
  • LIBE (libertés civiles, justice et affaires intérieures), rapporteure : Marina Kaljurand (S&D/EE).

Le Comité économique et social européen a adopté son avis le 18 mars 2026. Les discussions du groupe de travail du Conseil se poursuivent — le document WK 3736/2026 INIT du 19 mars 2026 montre que les délégations néerlandaise, estonienne et finnoise débattent activement de la portée précise de l’article 88a, § 3, point c.

Il n’y a pas encore eu de vote en plénière du Parlement européen sur le COM(2025) 837. Un vote en plénière du 26 mars 2026 a approuvé la position de négociation du Parlement sur le fichier distinct Digital Omnibus sur l’IA — un autre projet du même paquet de simplification numérique. Le dossier portant sur les données et la vie privée dont traite ce billet est encore au stade de la commission en mai 2026. La fenêtre d’adoption réaliste — à condition que le dossier ne s’enlise pas en trilogue — est fin 2026 à 2027 ; l’entrée en vigueur probablement 2027 à 2028. L’article 88a proposé s’appliquerait six mois après l’entrée en vigueur ; l’article 88b dans un délai de vingt-quatre mois.

Pour l’opérateur, cela signifie : le Digital Omnibus est une feuille de route, pas une base juridique présente. C’est ce sur quoi il est juste de travailler à terme, et ce qu’il est juste de communiquer aux clients. Ce n’est pas ce sur quoi il faut parier une stratégie de conformité pour un lancement en 2026.

Le dossier fait face à de sérieux vents contraires politiques.

Le CEPD et l’EDPS ont publié l’avis conjoint 2/2026 le 11 février 2026 — une position coordonnée du Comité européen de la protection des données (réunissant les 27 autorités nationales de protection des données) et du Contrôleur européen de la protection des données. L’avis conjoint soulève de sérieuses préoccupations quant au fait que les changements proposés « pourraient affecter défavorablement le niveau de protection dont bénéficient les personnes », créer « une insécurité juridique » et « rendre le droit à la protection des données plus difficile à appliquer ». NOYB a publié son rapport V3 le 24 février 2026 sous l’angle « Les autorités européennes de protection des données rejettent de nombreuses modifications proposées au RGPD ».

La nomination de la rapporteure ITRE est contestée. Sept organisations de surveillance de la société civile — dont Transparency International EU, Corporate Europe Observatory et The Good Lobby — ont conjointement demandé aux coordinateurs de la commission ITRE de retirer la nomination d’Aura Salla, en citant son rôle de lobbying exécutif chez Meta Platforms de mai 2020 à avril 2023 comme un conflit d’intérêts potentiel au titre de l’article 3 du code de conduite du Parlement européen. Salla reste la rapporteure nommée en mai 2026 ; la controverse est non résolue.

Les coalitions de l’industrie des médias estiment que le point c du § 3 de l’article 88a est trop restrictif. Une déclaration conjointe de mai 2026 de l’Union européenne de radio-télévision (UER) — rejointe par egta et d’autres associations médias européennes — soutient que la dérogation pour la mesure d’audience telle que rédigée exclut la mesure d’audience tierce dans le cadre des Joint Industry Committees, qui est une pratique standard dans les médias européens. La formule « solely for its own use » est le point de cristallisation du lobbying de l’industrie des médias pour un amendement. Le combat politique est donc vif dans les deux sens — les APD et les ONG s’opposant à l’ensemble du paquet, tandis que les coalitions de l’industrie des médias poussent pour élargir la dérogation.

Pourquoi les bandeaux de cookies ne sont pas encore « terminés »

Trois sources de friction justifieront la prudence des opérateurs même si l’article 88a est adopté en substance.

Premièrement, la proposition est un glissement de couche, non un ajout parallèle. Selon l’analyse de Taylor Wessing, « les règles ePrivacy ne s’appliqueront plus lorsque des données personnelles seront traitées. Dans ces situations, seul le RGPD s’appliquera. Les deux cadres fonctionneront de manière séquentielle, et non en parallèle. » Autrement dit : pour l’accès aux données personnelles sur les équipements terminaux — la grande majorité des cas de cookies, car la plupart des cookies traitent des données personnelles en vertu de l’arrêt Breyer — c’est l’article 88a RGPD qui s’applique et l’article 5 § 3 de la directive ePrivacy cesse de s’appliquer à ces opérations. Pour l’accès aux données non personnelles sur les équipements terminaux (une catégorie résiduelle plus étroite et purement technique), l’article 5 § 3 de la directive ePrivacy continue de s’appliquer via ses transpositions nationales (article 82 de la loi 78-17 en France, § 25 TDDDG en Allemagne, article 11.7a de la Telecommunicatiewet aux Pays-Bas). L’effet pratique pour l’opérateur est de même nature : une architecture sans cookie, côté serveur, en propre, contourne les deux couches, mais la voie juridique à travers elles change.

Deuxièmement, la mise en œuvre au niveau des États membres variera. La CNIL a passé la dernière décennie à ériger sa fiche n°16 en une exemption nationale détaillée avec des limites de durée de vie, des fenêtres de conservation et des exigences d’agrégation spécifiques. Le Garante et l’AEPD ont développé les leurs. Le Digital Omnibus introduit un plancher à l’échelle de l’Union ; si les régulateurs nationaux reculent de leurs positions plus strictes, s’harmonisent autour du nouveau texte ou interprètent la dérogation de manière restrictive, cela déterminera la charge réelle pour l’opérateur dès le premier jour.

Troisièmement, l’opposition est forte, coordonnée et de haut niveau. Comme indiqué ci-dessus : l’avis conjoint 2/2026 du CEPD-EDPS du 11 février 2026, le rapport V3 de NOYB du 24 février 2026 et l’appel à la retrait de la rapporteure ITRE par la société civile s’opposent tous à l’ensemble du paquet. La dérogation pour la mesure d’audience bénéficie d’un soutien relativement large des APD ; si le Parlement peut découpler des dispositions individuelles, ou vote le paquet dans son ensemble, cela façonnera le texte final. Un vote de paquet avec des amendements de dernière minute est un résultat moins favorable à la sécurité juridique qu’une adoption propre de l’article 88a.

Ce qui change pour les opérateurs si le § 3 point c de l’article 88a est adopté en l’état

Un rapide delta mental par rapport à la situation actuelle en 2026.

Exemption de consentement à l’échelle de l’UE pour l’analyse agrégée en propre. Une seule configuration satisferait la France, l’Allemagne, l’Italie, l’Espagne, les Pays-Bas et les États membres restants simultanément — sans chaque test d’exemption nationale. Parce que l’article 88a est un glissement de couche — les règles sur les cookies passent de la directive ePrivacy vers le RGPD pour les cas de données personnelles —, la règle RGPD de l’article 88a supplanterait, pour les cookies en données personnelles, le verrou allemand du § 25 TDDDG sans dérogation. La couche ePrivacy art. 5 § 3 résiduellement étroite continuerait de couvrir les accès purement non-personnels aux équipements terminaux, mais c’est une catégorie étroite en pratique.

Le refus devient un opt-out de six mois, non une friction par session. La règle de l’article 88a § 4 — refus en un clic, pas de relance pendant au moins six mois — fait de l’UX du bandeau une décision ponctuelle par utilisateur et par semestre. Pour les opérateurs qui relancent actuellement à chaque session parce que leur CMP utilise par défaut une durée de vie de 30 jours, c’est un gain UX significatif.

Les signaux au niveau du navigateur (GPC) deviennent présomptifs de conformité. L’article 88b accorde une présomption de conformité aux responsables de traitement qui respectent les signaux de consentement lisibles par machine. La démarche naturelle pour l’opérateur est d’honorer le GPC immédiatement plutôt que d’attendre l’adoption des normes.

Le contentieux IAB Europe TCF se rétrécit. Si la mesure d’audience agrégée n’a pas besoin d’une chaîne TC, la surface du contentieux TCF (qui a déjà produit l’arrêt de la CJUE dans l’affaire IAB Europe, C-604/22, du 7 mars 2024) se réduit. Les opérateurs s’appuyant uniquement sur l’intérêt légitime pour les analyses d’audience obtiennent une base RGPD claire sans enchevêtrement IAB-TCF.

Ce qui ne change pas : la couche ePrivacy art. 5 § 3 pour les cookies et le localStorage dans les cas non-personnels ; la relation de sous-traitance au titre de l’article 28 pour tout éditeur de solution analytique en mode SaaS ; l’horloge de notification de violation au titre de l’article 33 ; le déclencheur d’AIPD au titre de l’article 35 pour les traitements à risque élevé ; et les droits des personnes concernées aux articles 15/17 — tout cela continue de s’appliquer en complément de la nouvelle dérogation sans consentement.

Concevoir aujourd’hui pour les deux scénarios

La position robuste de l’opérateur est actuellement de développer une configuration qui survit à la fois au patchwork actuel de 2026 ET au texte du Digital Omnibus proposé, de sorte que le jour où l’article 88a s’applique, rien dans la pile analytique ne doit changer.

La configuration qui survit aux deux :

  • Pas de cookies, pas de localStorage, pas de fingerprinting. Satisfait le verrou du § 25 TDDDG en Allemagne (aucun stockage ni accès sur l’équipement terminal ne se produit du tout) ; après le glissement de couche, la même architecture satisfait l’article 88a RGPD pour tout traitement résiduel de données personnelles.
  • Collecte de données en propre sur le domaine de l’opérateur. S’aligne sur la condition « en propre » de la fiche n°16 de la CNIL ; s’aligne sur la formule « contrôleur de ce service en ligne » de l’article 88a § 3 point c.
  • Rollups agrégés, pas de flux d’événements au niveau individuel. S’aligne sur la recommandation d’agrégation de la CNIL (arrondi à la dizaine la plus proche) et sur la formule « informations agrégées » de l’article 88a § 3 point c.
  • Pas de mutualisation des données entre les clients. S’aligne sur l’interdiction de la fiche n°16 de la CNIL de partager des données brutes entre les clients du prestataire ; s’aligne sur la formule « solely for its own use ».
  • Respecter GPC et DNT au niveau de l’ingestion. S’aligne sur les « means automatisés et lisibles par machine » de l’article 88b proposé — et donne à l’opérateur une réponse crédible « nous honorons déjà les signaux du navigateur » si une autorité de protection des données l’interroge aujourd’hui.
  • Conservation bornée. Le plafond de 25 mois de la CNIL est le seuil européen actuel le plus strict ; l’article 88a ne spécifie pas directement de durée de conservation mais le principe de limitation de la conservation (RGPD art. 5 § 1 point e) s’applique toujours. Se conformer au plafond CNIL maintenant offre la meilleure compatibilité future.
  • Une évaluation des intérêts légitimes documentée au titre de l’article 6 § 1 point f du RGPD. Parce que la couche stockage/accès (ePrivacy art. 5 § 3) est contournée et que l’opérateur traite des identifiants pseudonymes (une adresse IP, un identifiant de cookie haché), la base RGPD art. 6 reste une question ouverte aujourd’hui et probablement demain. Le test en trois étapes des lignes directrices 1/2024 du CEPD (identification de l’intérêt → nécessité → mise en balance) est le modèle durable.

C’est aussi l’architecture avec laquelle Statnive Live est fourni par défaut. Son préréglage de politique de site consent-free désactive les cookies et le localStorage, génère des signatures BLAKE3-HMAC à rotation quotidienne qui se détruisent lors de la rotation du sel, tronque les IP côté serveur, réduit les User-Agents aux versions majeures et ne stocke que la partie hôte du référent. Son préréglage hybrid ajoute un chemin de mise à niveau imposé côté serveur pour les opérateurs qui souhaitent d’abord des métriques agrégées anonymes, puis une attribution complète après le consentement du visiteur — un schéma que Google a déployé en mars 2024 sous le nom de « Consent Mode v2 », mais que Statnive Live propose avec une application côté serveur plutôt qu’une confiance côté client.

L’énumération de politique de site à onze juridictions de Statnive Live — DE, FR, IT, ES, NL, BE, IE, UK, OTHER-EU, IR, OTHER-NON-EU — dispose d’un validateur de règle stricte qui empêche les opérateurs allemands de choisir le mode permissive (le § 25 TDDDG l’interdit) et de choisir consent-required sans intégration de consentement active. Cette même énumération se mappe proprement sur un monde futur avec l’article 88a : chaque cellule dérivant aujourd’hui vers consent-free continue de s’appliquer ; la charge de l’opérateur ne change pas.

Ce qu’il faut surveiller en 2026 et 2027

Une liste de surveillance courte pour les opérateurs qui suivent le dossier :

  1. Résolution de la controverse autour de la rapporteure ITRE. Si les coordinateurs de la commission ITRE répondent à l’appel à retrait de la société civile — et si une substitution, un rôle de rédaction délégué ou aucun changement en résulte — cela façonnera le ton politique du dossier.
  2. Rapports des rapporteurs ITRE et LIBE. Ces rapports détermineront la position en trilogue. Aura Salla (PPE) et Marina Kaljurand (S&D) ont des points de départ politiques différents, et la dérogation pour la mesure d’audience peut attirer des amendements des deux côtés. Le lobbying de l’industrie des médias soutient que le point c du § 3 de l’article 88a est trop restrictif (il exclut la mesure d’audience tierce JIC) ; les ONG de protection de la vie privée sont plus à l’aise avec la portée actuelle et étroite.
  3. Débats du groupe de travail du Conseil sur la portée de l’article 88a § 3 point c. Le document de travail WK 3736/2026 INIT indique que les délégations néerlandaise, estonienne et finnoise sondent ce que « solely for its own use » signifie en pratique. Surveiller si le Conseil le rétrécit ou l’élargit.
  4. Positionnement de suivi du CEPD et de l’EDPS. L’avis conjoint 2/2026 du 11 février 2026 est la position la plus faisant autorité avant le trilogue. Toute suite — avis complémentaire, déclarations de DPA nationales individuelles, ou texte alternatif coordonné — sera un signal fort.
  5. Rapport V4 de NOYB et stratégie contentieuse. Le rapport V3 du 24 février 2026 complète les V1 et V2 avec des commentaires explicites sur l’avis conjoint. NOYB ne s’est pas opposé à la dérogation pour la mesure d’audience elle-même, mais peut contester la mise en œuvre : des enchevêtrements de type chaîne TC, des UX de refus basés sur des dark patterns, ou des opérateurs confondant mesure d’audience et reciblage.
  6. Anticipation réglementaire nationale. La CNIL, le Garante et l’AEPD peuvent publier des lignes directrices avant l’adoption, signalant comment chacun lira l’article 88a dans son propre ordre juridique national. Surveiller particulièrement la CNIL ; ses lignes directrices post-1er-janvier-2026 sur l’auto-évaluation pour la mesure d’audience sont les plus orientées opérateurs parmi les régulateurs de l’UE et seraient normalement les premières à se mettre à jour.
  7. Calendrier du trilogue. Si le dossier entre en trilogue fin 2026, surveiller les amendements substantiels à l’article 88a § 3 point c. L’expérience passée avec le règlement ePrivacy suggère que le texte le plus propre de la Commission est souvent dilué au moment où le Conseil et le Parlement parviennent à un accord.

Ce qu’il faut faire — et ce qu’il faut éviter

À faireÀ éviter
Traiter l’article 88a § 3 point c comme une feuille de route — développer l’architecture d’aujourd’hui pour qu’elle soit qualifiée dès le premier jour si le texte est adopté en l’état.Traiter l’article 88a § 3 point c comme une base juridique présente. C’est un projet de la Commission ; le Parlement n’a pas voté.
Développer pour le régime actuel le plus strict de l’État membre concerné (§ 25 TDDDG en Allemagne) afin que la configuration soit compatible avec l’avenir.Développer pour le texte futur le plus permissif et découvrir en trilogue que le Conseil a rétréci la dérogation.
Lors de l’avancement du dossier, relire l’avis conjoint 2/2026 du CEPD-EDPS (11 février 2026) en parallèle — le positionnement des APD façonnera la portée finale.Présenter l’article 88a comme un droit établi. Toute référence à l’article 88a doit porter la mention « projet, pas encore de vote en plénière ».
Dater chaque page de mise à jour réglementaire afin que les lecteurs sachent quelle version ils lisent.Confondre le vote en plénière du Parlement européen du 26 mars 2026 sur le dossier IA avec le COM(2025) 837 — ce sont des dossiers distincts.
S’abonner au Legislative Train Schedule pour les changements de statut du COM(2025) 837.Parier le lancement d’un produit sur le calendrier d’adoption du Digital Omnibus. Entrée en vigueur réaliste : 2027 à 2028.

Le principal point à retenir pour les opérateurs

L’article 88a § 3 point c est le texte le plus favorable aux opérateurs en matière de réforme des cookies dans l’UE depuis 2018. Il harmoniserait — s’il est adopté en l’état — la mosaïque nationale de la conformité à la mesure d’audience et la remplacerait par une règle unique à l’échelle de l’Union. C’est aussi un projet, pas une loi ; le dossier n’a pas encore vu de vote en plénière du Parlement ; l’adoption est peu probable avant 2027 ; et la couche des équipements terminaux de l’ePrivacy art. 5 § 3 continue de s’appliquer parallèlement pour les cas non-personnels.

La position robuste est de développer aujourd’hui pour le régime actuel le plus strict (§ 25 TDDDG en Allemagne) et le texte proposé simultanément — de sorte que, que le Digital Omnibus soit adopté en l’état, adopté sous forme diluée ou bloqué, la configuration analytique de l’opérateur continue de fonctionner sans changement. C’est l’objectif avec lequel nous avons conçu Statnive Live : une configuration qui ne dépend pas de l’adoption du Digital Omnibus, mais qui sera qualifiée dès le premier jour si c’est le cas.

Pour le guide complet derrière chaque dérogation État par État — la plongée approfondie sur la fiche n°16 de la CNIL pour la France, la contrainte serveur-uniquement du § 25 TDDDG pour l’Allemagne et la carte pays par pays — voir les billets liés dans cette série. Pour l’architecture que le texte de la Commission permettrait à un opérateur de standardiser, le billet pilier Guide 2026 pour l’analyse web sans consentement dans l’UE est la pièce de référence.

Ceci est une recherche en matière de protection des données, et non un conseil juridique. Les configurations décrites sont qualifiées au titre des lignes directrices des régulateurs lorsqu’elles sont déployées conformément à une évaluation des intérêts légitimes (LIA) documentée et à l’auto-évaluation nationale pertinente. Chaque client de Statnive reste responsable du traitement et est responsable de sa propre configuration et AIPD. Consultez un conseil juridique qualifié dans votre juridiction avant toute publication.

État des références réglementaires au 13 mai 2026 : Digital Omnibus COM(2025) 837 final — projet de la Commission du 19 novembre 2025 ; dossiers conjoints en ITRE et LIBE ; rapporteure Aura Salla PPE/FI — nomination contestée depuis février 2026 par sept organisations de la société civile — et rapporteure Marina Kaljurand S&D/EE ; avis du CESE adopté le 18 mars 2026 ; document du groupe de travail du Conseil WK 3736/2026 INIT du 19 mars 2026 ; avis conjoint 2/2026 du CEPD-EDPS du 11 février 2026 sur les préoccupations relatives à la protection individuelle et à la sécurité juridique ; rapport V3 de NOYB du 24 février 2026 ; déclaration conjointe des associations européennes de médias de mai 2026 (l’article 88a § 3 point c est trop restrictif) ; pas de vote en plénière du Parlement européen sur le COM(2025) 837 (le vote du 26 mars 2026 concernait le fichier distinct Digital Omnibus sur l’IA). Directive ePrivacy 2002/58/CE telle que modifiée par 2009/136/CE — en vigueur ; selon le projet de Digital Omnibus, la couche des règles sur les cookies passe dans le RGPD art. 88a pour les cas de données personnelles. Lignes directrices 2/2023 du CEPD v2.0 du 7 octobre 2024 et lignes directrices 1/2024 du CEPD du 8 octobre 2024 — en vigueur. CJUE C-621/22 KNLTB (ECLI:EU:C:2024:857) — arrêté le 4 octobre 2024. L’ancien projet de règlement ePrivacy a été retiré par la Commission le 11 février 2025.

Installer Statnive gratuitement