La proposition de règlement européen Digital Omnibus présentée le 19 novembre 2025 par la Commission européenne s’inscrit dans une volonté de moderniser et d’harmoniser le cadre juridique applicable à l’environnement numérique au sein de l’Union européenne[1]. Bien qu’il ne traite pas spécifiquement des questions liées à la propriété intellectuelle, ce texte, en cas d’adoption par le Parlement européen, aura un impact sur la protection des marques.

Simplification de l’accès aux données WHOIS

La redéfinition plus restrictive de la notion de donnée personnelle envisagée dans le cadre du Digital Omnibus apparaît susceptible d’atténuer certaines difficultés pratiques rencontrées en matière d’identification des titulaires de noms de domaine. En effet, en excluant du champ du Règlement Général sur la Protection des Données (« RGPD »)[2] les informations qui ne permettent pas d’identifier clairement une personne physique, le Digital Omnibus contribuerait à limiter une application automatique du régime de protection des données à des informations techniques ou résiduelles figurant dans les bases WHOIS[3]. Une telle clarification, sans bouleverser les pratiques existantes, pourrait faciliter l’accès à certaines données utiles à la lutte contre le cybersquatting et à la conduite des procédures extrajudiciaires[4].

Cette précision est particulièrement utile pour les titulaires de marques confrontés aux fraudeurs qui utilisent des identités de personnes physiques ou des données masquées pour enregistrer des noms de domaine litigieux. En clarifiant ce qui relève ou non de la protection des données personnelles, le texte permet d’assurer un meilleur équilibre entre protection de la vie privée et efficacité des actions contre les atteintes aux marques en ligne.

Centralisation des notifications : vers une meilleure réactivité face aux cyberattaques

Par ailleurs, le Digital Omnibus prévoit la création d’un guichet unique pour centraliser les notifications en cas de cyberattaque[5]. Jusqu’à présent, une attaque pouvait nécessiter plusieurs notifications, en fonction des obligations issues de textes variés tels que le RGPD, Directive sur la sécurité des réseaux et des systèmes d’information 2 (« NIS2 »)[6], Digital Operational Resilience Act (« DORA »)[7], etc. Le tout avec des délais et formats différents selon chaque réglementation. Cette multiplicité alourdissait considérablement la charge administrative des entreprises.

La mise en place d’un guichet unique pourrait véritablement simplifier le processus en permettant aux acteurs concernés de signaler un incident à un organisme bénéficiant d’une compétence exclusive. Ce dispositif devrait contribuer à une meilleure réactivité face aux cyberattaques, et indirectement, à la protection des actifs immatériels, y compris les marques.

Toutefois, si le Digital Omnibus facilite l’accès à certaines données utiles à la lutte contre les atteintes en ligne, il ne permet pas, à lui seul, de garantir une identification fiable des titulaires de noms de domaine. En l’absence de contrôle d’identité harmonisé pour l’ensemble des registres, il demeure en effet possible de renseigner des alias ou des noms de sociétés fictives comme données de contact du titulaire.

Par ailleurs, la proposition de règlement traite également de l’intelligence artificielle (IA), mais uniquement sous l’angle des données personnelles. D’autres textes seront probablement nécessaires pour encadrer des problématiques émergentes liées à l’IA, telles que les deepfakes ou les actes de contrefaçon générés par intelligence artificielle.

Proposé par la Commission européenne, le règlement Digital Omnibus sera prochainement examiné par le Parlement et le Conseil, avec la possibilité d’amendements. Son évolution reste donc à suivre.

Notes

[1] Proposition de règlement du Parlement européen et du Conseil COM(2025) 837 final (« Digital Omnibus ») : digital-strategy.ec.europa.eu.

[2] Règlement (UE) 2016/679 dit « Règlement Général sur la Protection des Données » ou RGPD : eur-lex.europa.eu.

[3] Proposition de règlement du Parlement européen et du Conseil COM(2025) 837 final (« Digital Omnibus »), art. 3, §1, modifiant l’art. 4 du Règlement (UE) 2016/679 (RGPD) afin de préciser que l’information n’est pas considérée comme donnée personnelle pour une entité donnée lorsque celle-ci ne dispose pas de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique concernée. V. aussi les considérants 27 et 28.

[4] Dont les Règles relatives au règlement des litiges concernant les domaines .EU (« Règles ADR » : eurid.eu) (pour les noms de domaine européens), mais également les procédures Uniform Domain Name Dispute Resolution Policy (« UDRP » : icann.org) ou potentiellement toutes autres procédures assimilées.

[5] Proposition de règlement du Parlement européen et du Conseil COM(2025) 837 final (« Digital Omnibus »), art. 3, §6, qui propose d’harmoniser et simplifier les obligations de notification des violations de données en prévoyant notamment l’utilisation d’un « single-entry point » (guichet unique) pour les notifications adressées aux autorités de contrôle.

[6] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 sur des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union : eur-lex.europa.eu.

[7] Règlement (UE) 2023/1114 du Parlement européen et du Conseil du 22 mai 2023 relatif à la résilience opérationnelle numérique du secteur financier : eur-lex.europa.eu.