Le Digital Omnibus veut dispenser de consentement l'analytique first-party

Le 19 novembre 2025, la Commission européenne a publié le Digital Omnibus, une proposition qui redéfinit où résident les règles de consentement pour les cookies et le suivi. L'essentiel pour les développeurs est enfoui dans un article du projet : la mesure d'audience first-party, agrégée et à usage interne, ne nécessiterait plus aucun consentement.

Cette dérogation ne décrit pas un outil futur. Elle décrit le modèle de données que l'analytique sans cookies fait tourner depuis le début.

Ce que la proposition déplace réellement

Aujourd'hui, l'obligation de demander avant de lire ou d'écrire sur l'appareil de l'utilisateur découle de l'article 5, paragraphe 3 de la directive ePrivacy — la racine juridique du bandeau cookies. Le Digital Omnibus sort cette règle de l'ePrivacy et l'intègre au RGPD via un nouvel article 88a.

L'effet pratique est un régime unique. Là où des données personnelles sont traitées, le consentement ePrivacy cesse de s'appliquer et seul le RGPD s'impose. La Commission présente cela comme une simplification d'un corpus de règles qui se chevauchent, en s'appuyant sur plus d'un an de retours des parties prenantes sur la lassitude face aux bandeaux.

C'est une proposition de la Commission, pas une loi. Elle est entrée dans la procédure législative ordinaire le jour de sa publication et passe désormais au Parlement européen et au Conseil, où le texte peut changer substantiellement avant de lier qui que ce soit.

La dérogation de mesure d'audience

L'article 88a conserve le consentement comme règle par défaut pour l'accès à l'appareil, puis énumère des exceptions étroites. Aux côtés de la transmission strictement nécessaire et de la sécurité, il en ajoute une qui compte pour l'analytique : stocker ou accéder à des informations pour générer des données agrégées de mesure d'audience, à condition que le fournisseur le fasse uniquement pour son propre service en ligne et son propre usage interne.

Les analyses juridiques convergent sur les conditions que porte cette dérogation :

• First-party uniquement. L'exploitant du site contrôle les données ; le fournisseur d'analytique agit comme sous-traitant et ne les utilise jamais à ses propres fins.
• Aucun partage avec des tiers. Rien ne circule vers les annonceurs, les plateformes publicitaires ou les réseaux de mesure inter-sites.
• Statistiques uniquement. La finalité est la statistique web et l'optimisation du site — ni activation marketing, ni profilage.
• Opt-out simple. L'utilisateur peut refuser la mesure, expliqué clairement dans la politique de confidentialité.
• Conservation courte. Les données ne sont gardées que le temps nécessaire aux statistiques.

Le cadrage est délibérément serré. Les commentateurs qui ont lu le projet notent qu'il semble exclure tout outil qui mesure à travers plusieurs services, clients ou plateformes — c'est-à-dire l'essentiel de la mesure ad-tech. La dérogation récompense une architecture précise, pas une catégorie de fournisseur.

Pourquoi cela correspond à l'analytique sans cookies

Comparez cette liste à la façon dont se construit un traqueur privacy-first et le recouvrement est quasi total. Il n'y a aucun identifiant à partager, car l'identité du visiteur est un hachage quotidien à sens unique — SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD) — irréversible et qui disparaît chaque nuit.

visitor_hash = SHA-256( IP | UA | SALT_SECRET | "2026-06-08" )

L'IP brute et le User-Agent ne servent qu'en mémoire pour calculer ce hachage ; la base de données stocke le hachage, jamais les valeurs brutes. Il n'y a pas de graphe inter-sites parce qu'il n'y a rien à joindre demain. La conservation est bornée — les pages vues de plus de deux ans sont purgées — et les données sont agrégées par construction : décomptes, durées, type d'appareil grossier, pays obtenu à l'edge.

Le beacon /collect transporte des temps et des métadonnées de page, pas une personne. C'est exactement la « mesure d'audience agrégée, à usage interne » que le projet met en avant.

L'article 88b et la fin des bandeaux par site

La disposition complémentaire, l'article 88b, s'attaque à la lassitude du consentement par l'autre bout. Elle exige que le refus et l'opposition puissent s'exprimer via des signaux automatisés et lisibles par machine, les fournisseurs de navigateurs et de systèmes d'exploitation (hors petites entreprises) étant tenus de prendre en charge l'infrastructure.

C'est la même direction que le Global Privacy Control a déjà imposée dans le droit des États américains : déplacer la décision de mille bandeaux vers un seul réglage au niveau de l'appareil que le site doit respecter. Un outil qui ne pose pas de cookies et ne construit pas de profil a peu de choses à respecter ici — pas de stockage à contrôler ni de registre de consentement à tenir.

Que faire avant son entrée en vigueur

Rien dans le Digital Omnibus n'est encore opposable, et le calendrier s'étend sur des périodes d'application échelonnées après un éventuel texte final. Mais la direction est fixée, et elle favorise un seul design : collecter des statistiques agrégées en first-party, ne rien partager, n'identifier personne et conserver brièvement.

Si votre analytique atteint déjà ce seuil, la réforme est un vent favorable — la loi qui se rapproche de l'architecture, plutôt que l'architecture qui court après la loi. Sinon, le chemin de conformité le moins coûteux n'est pas un meilleur bandeau. C'est collecter moins.

Sources

• Proposition de règlement Digital Omnibus (Commission européenne)
• The Digital Omnibus: cookies, consent and digital advertising (Taylor Wessing)
• EU Digital Omnibus: The European Commission Proposes Important Changes to the EU's Digital Rulebook (Sidley Austin)
• First-party analytics without consent: Your Digital Omnibus compliance guide (Piwik PRO)
• Digital Omnibus reshapes EU cookie rules but leaves banner fatigue largely intact (Osborne Clarke)