Avis de la Banque centrale européenne du 10 mars 2026 sur une proposition de règ — MeilleurAvocats.fr

Journal officiel
de l'Union européenne

Série C

C/2026/2621

26.5.2026

AVIS DE LA BANQUE CENTRALE EUROPÉENNE

du 10 mars 2026

sur une proposition de règlement concernant la simplification du cadre législatif numérique (règlement omnibus numérique)

(CON/2026/9)

(C/2026/2621)

Introduction et fondement juridique

Le 9 décembre 2025, la Banque centrale européenne (BCE) a reçu une demande de consultation de la part du Parlement européen portant sur une proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 et (UE) 2023/2854 ainsi que les directives 2002/58/CE, (UE) 2022/2555 et (UE) 2022/2557 en ce qui concerne la simplification du cadre législatif numérique, et abrogeant les règlements (UE) 2018/1807, (UE) 2019/1150 et (UE) 2022/868 ainsi que la directive (UE) 2019/1024 (règlement omnibus numérique) (1) (ci-après le «règlement proposé»).

La BCE a compétence pour émettre un avis en vertu de l’article 127, paragraphe 4, et de l’article 282, paragraphe 5, du traité sur le fonctionnement de l’Union européenne, étant donné que le règlement proposé contient des dispositions relevant des domaines de compétence de la BCE, notamment la mise en œuvre de la politique monétaire conformément à l’article 127, paragraphe 2, premier tiret, et l’article 282, paragraphe 1, du traité, le bon fonctionnement des systèmes de paiement conformément à l’article 127, paragraphe 2, quatrième tiret, et à l’article 282, paragraphe 1, du traité, le contrôle prudentiel des établissements de crédit conformément à l’article 127, paragraphe 6, du traité, et les missions de la BCE concernant la collecte d’informations statistiques conformément à l’article 5 des statuts du Système européen de banques centrales et de la Banque centrale européenne (ci-après les «statuts du SEBC»). Conformément à l’article 17.5, première phrase, du règlement intérieur de la Banque centrale européenne, le présent avis a été adopté par le conseil des gouverneurs.

1. Observations générales

1.1.

La BCE soutient le règlement proposé, qui constitue une réforme importante visant à simplifier et à optimiser l’application du corpus réglementaire numérique dans l’Union. Dans la mesure où le règlement proposé est efficace pour atteindre ses objectifs, visant à promouvoir des politiques qui renforcent la compétitivité de l’Union et alléger la charge réglementaire pesant sur les citoyens, les entreprises et les administrations, il supprimera les obstacles à la fourniture des services et contribuera au développement de l’économie numérique dans l’Union, tout en tenant compte de la nécessité de maintenir les normes les plus élevées aux fins de la promotion des valeurs de l’Union, y compris la préservation des droits fondamentaux. L’économie numérique prend de plus en plus d’importance et peut avoir des répercussions sur la conduite de la politique monétaire, étant donné qu’elle a une incidence sur l’environnement dans lequel celle-ci est menée, en transformant les profils de consommation et de production, les modèles d’entreprise et les prix relatifs de manière hétérogène dans l’ensemble de la zone euro et des États membres. Ces évolutions ont d’importants effets sur les variables pertinentes pour la politique monétaire et leur mesure, notamment l’emploi, la productivité, la production potentielle et l’inflation. Elles ont également des conséquences sur la manière dont les décisions de politique monétaire sont transmises aux ménages et aux entreprises, ce qui accroît l’incertitude et la complexité auxquelles sont confrontés les décideurs politiques.

1.2.

En particulier, la BCE accueille favorablement les propositions visant à simplifier les modalités du partage de données entre les entreprises et les administrations publiques, ainsi que les dispositions régissant le traitement des données à caractère personnel figurant dans le règlement (UE) 2023/2854 du Parlement européen et du Conseil (2) (ci-après le «règlement sur les données»). La BCE participe largement à la collecte, l’élaboration, la production et la diffusion des données, qu’elle utilise pour exercer les missions et les activités relevant de ses domaines de compétence. Cette compétence comprend la collecte d’informations statistiques, le cas échéant, afin d’accomplir les missions du Système européen de banques centrales (SEBC) en vertu de l’article 5 des statuts du SEBC. La BCE participe en outre à de nombreuses initiatives de coopération en faveur du partage de données et de la collaboration avec d’autres institutions, organes et organismes de l’Union, ainsi qu’avec les autorités compétentes des États membres, des pays tiers et des organisations internationales. Dans l’accomplissement de ses missions, elle peut également traiter des données à caractère personnel, dans certaines circonstances, conformément au règlement (UE) 2018/1725 du Parlement européen et du Conseil (3) (ci-après le «RPDUE»). C’est pour ces raisons que la BCE est favorable à des mesures qui établiront un cadre réglementaire cohérent et uniforme pour la mise à disposition et l’utilisation des données.

1.3.

La BCE est également chargée de veiller au respect du règlement (UE) 2022/2554 du Parlement européen et du Conseil (4) (ci-après le «règlement DORA») pour les établissements de crédit classés comme importants en vertu de l’article 6, paragraphe 4, du règlement (UE) no 1024/2013 du Conseil (5), conformément aux pouvoirs et missions de surveillance prudentielle conférés par ledit règlement (6). À ce titre, la BCE reçoit des rapports, envoyés par des établissements de crédit importants à leurs autorités compétentes nationales, à propos d’incidents liés aux technologies de l’information et de la communication (ci-après les «incidents liés aux TIC») à caractère majeur et de cybermenaces importantes. En outre, l’une des missions fondamentales du SEBC est de promouvoir le bon fonctionnement des systèmes de paiement, conformément à l’article 127, paragraphe 2, quatrième tiret, du traité, tel que reflété à l’article 3.1 des statuts du SEBC. À cet égard, la BCE reçoit des rapports d’incidents provenant d’établissements de paiement et d’établissements de monnaie électronique, ainsi que d’établissements de crédit, conformément au règlement DORA. Compte tenu de ces responsabilités et missions, la BCE se félicite, d’une manière générale, des efforts visant à simplifier et harmoniser davantage le cadre de signalement des incidents liés aux TIC au sein de l’Union et à mettre en place un signalement centralisé des incidents majeurs de ce type. Étant donné que le secteur financier joue un rôle de premier plan dans la mise en place d’un cadre harmonisé, complet et efficace pour le signalement des incidents, la BCE soutient les mesures qui simplifient le respect des exigences de signalement, compte tenu de l’expérience acquise au sein de ce secteur.

1.4.

Toutefois, la BCE s’inquiète de la mesure dans laquelle le règlement proposé mettrait en œuvre l’objectif de simplification dans des cas précis où cela n’allège pas la charge, liée au respect de la réglementation, pesant sur les entreprises et les autorités publiques. En conséquence, la BCE soumet, dans le présent avis, quelques observations et suggestions techniques spécifiques sur le règlement proposé.

1.5.

Par ailleurs, étant donné ces inquiétudes, la BCE se félicite de l’évaluation des principaux chapitres du règlement sur les données à laquelle la Commission procédera d’ici au 12 septembre 2028, ainsi que de l’évaluation des nouveaux chapitres qu’elle effectuera dans un délai de cinq ans à compter de l’entrée en vigueur du règlement proposé (7). Il importe également que la clause de réexamen figurant dans le règlement DORA (8) reste inchangée; celle-ci impose à la Commission de procéder à un réexamen et de remettre un rapport sur le fonctionnement de nombreux aspects du règlement DORA. Ce processus de réexamen devrait garantir que les règlements concernés continuent de fonctionner efficacement pour servir leurs objectifs, contribuant ainsi au développement de l’économie numérique dans l’Union.

2. Règles numériques

2.1.

La BCE souscrit pleinement au règlement proposé, qui constitue la première étape vers la simplification du corpus réglementaire numérique et l’optimisation de son application. Le corpus des règles numériques, qui a été élaboré au fil du temps dans les domaines des données, de l’intelligence artificielle, des plateformes en ligne, de la protection des données et de la cybersécurité, s’est complexifié et comporte désormais des dispositions fragmentées et redondantes qui suscitent de l’incertitude, tant pour les autorités publiques que pour les entreprises.

2.2.

La consolidation, dans le règlement sur les données, des règles du règlement (UE) 2022/868 du Parlement européen et du Conseil (9) concernant la réutilisation des données protégées détenues par des organismes du secteur public dans les États membres, avec les règles de la directive (UE) 2019/1024 du Parlement européen et du Conseil (10) concernant la réutilisation de documents détenus par des organismes du secteur public des États membres ou des entreprises publiques, rend plus cohérentes la structure et les définitions des termes clés, ce qui facilite l’application des règles relatives au partage des données. Cela est facilité par l’abrogation de règles obsolètes, en particulier celles du règlement (UE) 2018/1807 du Parlement européen et du Conseil (11).

2.3.

Pour les banques centrales nationales (BCN), qui sont généralement des organismes du secteur public des États membres et donc soumises à des règles visant à faciliter la réutilisation des données, cela apporte une clarté bienvenue. La BCE et les BCN bénéficieront également de modalités plus claires en ce qui concerne la disponibilité des données, en particulier des sources des données ouvertes qui ont été classées comme des ensembles de données de forte valeur (12). Ces ensembles de données sont largement utilisés par la BCE dans l’exercice de sa mission au titre de l’article 5, paragraphe 1, des statuts du SEBC, qui consiste à collecter les informations statistiques nécessaires à l’accomplissement des missions du SEBC.

2.4.

Par exemple, les informations sur les entreprises et la propriété d’entreprises sont utilisées pour tenir le registre des données relatives aux institutions et aux filiales (Register of Institutions and Affiliates Data, RIAD), qui est la base de données partagée de données de référence concernant les institutions juridiques et divers organismes statistiques, dont la collecte facilite les processus opérationnels au sein de l’Eurosystème et l’accomplissement des missions du SEBC et du mécanisme de surveillance unique (MSU) (13). Lorsque la BCE peut s’appuyer sur des données ouvertes, c’est-à-dire des données présentées dans un format ouvert qui peuvent être librement utilisées, réutilisées et partagées par tous quelle qu’en soit la finalité (14), elle est en mesure de réduire la charge liée à la déclaration de ces données par les agents déclarants et de partager ces informations sans restriction au sein du SEBC et avec d’autres autorités publiques avec lesquelles elle coopère. La BCE se félicite que les modalités relatives à la mise à disposition, par les pouvoirs publics, de données et de documents aux entreprises (15) soient sans préjudice du régime juridique de l’Union, en excluant l’accès aux données et documents sensibles pour des raisons de secret statistique et de secret professionnel.

2.5.

Le règlement proposé introduit une modification importante (16) de l’obligation incombant aux détenteurs de données de mettre des données à la disposition de la BCE — ainsi que d’autres organismes du secteur public, de la Commission et des organes de l’Union — lorsqu’il existe un besoin exceptionnel d’utiliser ces données (17). Cette disposition permet à la BCE de demander aux détenteurs de données de mettre des données à disposition, si nécessaire, pour réagir à une situation d’urgence ou lorsqu’un besoin exceptionnel est démontré. Étant donné que les détenteurs de données sont définis d’une manière large (18), cette disposition permet à la BCE de collecter des données, dans ces cas exceptionnels, auprès d’un éventail de personnes plus large que ce qui est autorisé lorsqu’elle collecte des informations statistiques en vertu de ses pouvoirs existants. La BCE ne peut collecter des informations statistiques qu’auprès des membres de la population soumise à déclaration définie par le règlement (CE) no 2533/98 du Conseil (19), qui relèvent principalement du secteur des «sociétés financières» tel que défini dans le système européen des comptes (20) ou qui sont des personnes physiques ou morales détenant certaines positions financières ou réalisant des opérations financières.

2.6.

Comme la BCE l’a précédemment exprimé dans l’un de ses avis, il y a des avantages considérables au fait de permettre aux autorités publiques d’avoir accès aux données de détenteurs de données privés et de les utiliser pour un certain nombre d’objectifs d’intérêt public définis (21). Dans l’exercice de ses missions de politique monétaire, la BCE utilise largement, non seulement les statistiques officielles qu’elle produit, avec l’assistance des BCN et du système statistique européen (SSE), mais aussi des sources de données non officielles et non traditionnelles. Les données non traditionnelles peuvent provenir, par exemple, d’informations sur les prix à haute fréquence, d’indicateurs de mobilité de la population ou d’autres sources de données qui ne sont pas nécessairement détenues par des sociétés financières. La BCE n’a le pouvoir de demander ces données aux détenteurs de données privés qu’en cas de besoin exceptionnel.

2.7.

La principale modification que le règlement proposé introduirait est de limiter aux situations d’urgence les cas dans lesquels ce pouvoir peut être exercé, à l’exclusion des autres cas dans lesquels il peut y avoir un besoin exceptionnel d’utiliser des données. La BCE devrait démontrer l’existence d’un besoin exceptionnel d’utiliser certaines données pour exercer ses fonctions statutaires à des fins d’intérêt public dans le cadre de la réaction à une situation d’urgence, de l’atténuation d’une situation d’urgence ou du soutien au rétablissement à la suite d’une situation d’urgence.

2.8.

La BCE soutient les objectifs de ces modifications, estimant qu’il convient de simplifier le cadre de partage de données entre les entreprises et les administrations publiques prévu par le règlement sur les données et de clarifier les ambiguïtés qui pourraient être apparues lors de l’imposition d’obligations aux entreprises. Elle souscrit également au point de vue selon lequel il est essentiel de préserver le rôle des statistiques officielles dans le cadre du règlement sur les données, étant donné que le cadre actualisé de l’Union relatif aux statistiques européennes au titre du règlement (CE) no 223/2009 du Parlement européen et du Conseil (22) ne couvre pas les situations d’urgence (23).

2.9.

Toutefois, contrairement aux membres du SSE, qui peuvent collecter des données auprès de détenteurs de données privés à certaines conditions pour accomplir leurs missions statistiques (24), la BCE n’a aucun pouvoir pour collecter des informations statistiques auprès de détenteurs de données privés qui ne sont pas des agents déclarants, sauf en cas de besoin exceptionnel. Pour obtenir ces données, elle ne peut s’appuyer que sur des mécanismes permettant le partage de données entre le SSE et le SEBC. Si le champ d’application de la disposition concernée est restreint pour ne couvrir que les situations d’urgence, il est de la plus haute importance de veiller à la bonne application, sans aucune ambiguïté, de cette disposition dans les situations d’urgence dans lesquelles des sources de données supplémentaires sont nécessaires pour que la BCE puisse accomplir soit sa mission de collecte de statistiques, soit d’autres missions de banque centrale ou de surveillance prudentielle. Par conséquent, la BCE recommande de simplifier encore les conditions à remplir par les autorités publiques pour demander des données, car cela permettrait également de minimiser la complexité à laquelle les détenteurs de données doivent faire face lorsqu’ils vérifient si ces conditions sont remplies.

2.10.

En outre, la BCE estime que des mesures supplémentaires devraient être prises pour clarifier la définition d’une «situation d’urgence». L’un des éléments de la définition est qu’elle doit être «déterminée ou officiellement déclarée conformément aux procédures pertinentes prévues par le droit de l’Union ou le droit national» (25). Toutefois, au vu de l’ensemble fragmenté des bases juridiques existantes, en droit primaire et en droit dérivé, sur lesquelles la détermination ou la déclaration d’une situation d’urgence peut s’effectuer, il conviendrait de préciser que, lorsqu’une telle détermination ou déclaration est effectuée, la définition d’une «situation d’urgence» n’exige pas que des critères supplémentaires soient remplis — compte tenu de l’urgence avec laquelle une telle situation doit être traitée. À titre d’exemple, le règlement (UE) 2024/2747 du Parlement européen et du Conseil (26) permet au Conseil d’activer un mode d’alerte dans le marché intérieur en cas de menace d’une crise susceptible de se transformer en une situation d’urgence dans le marché intérieur dans les six prochains mois. Il devrait être précisé que, lorsque les missions de l’autorité publique comprennent l’atténuation de la situation d’urgence, la menace d’une telle situation devrait justifier le besoin exceptionnel de demande de données. Par ailleurs, la décision 2014/415/UE du Conseil (27) établissant le dispositif intégré pour une réaction au niveau politique dans les situations de crise aux fins de la mise en œuvre de la clause de solidarité (article 222 du traité) ne restreint pas l’étendue des circonstances dans lesquelles la décision s’applique à des situations exceptionnelles «d’une durée limitée» (28). Il devrait donc être plus clair que la définition d’une situation d’urgence correspond entièrement aux situations dans lesquelles des dispositifs d’urgence sont invoqués en vertu du droit de l’Union et du droit national, et n’est pas plus restrictive que celles-ci.

2.11.

En ce qui concerne les modalités de la compensation (29), la BCE se félicite de l’obligation de mettre gratuitement à disposition les données nécessaires pour réagir à une situation d’urgence, sauf lorsque le détenteur de données est une microentreprise ou une petite entreprise. Toutefois, elle estime qu’il importe de veiller à ce que, lorsque les autorités publiques se voient accorder l’accès à des données privées, elles ne supportent pas de coûts excessifs. Étant donné que chaque demande de données sert l’intérêt public, les données devraient être mises à disposition à prix coûtant et sans imposition d’une «marge raisonnable» (30).

3. Protection des données

3.1.

La BCE se félicite des modifications, introduites dans le règlement proposé, qui visent à simplifier la législation en matière de protection des données. Elle estime que, dans les domaines relevant de sa compétence, plusieurs points méritent un examen plus approfondi afin d’atteindre l’objectif de simplification, tant en ce qui concerne la réduction de la charge administrative qu’en ce qui concerne la garantie d’un signalement efficace, rapide et sûr des incidents.

3.2.

La BCE effectue toute une série d’opérations de traitement des données à caractère personnel en coopération avec les BCN. De plus, elle coopère avec les autorités compétentes nationales (ACN) pour mener des activités de traitement des données à caractère personnel dans le domaine de la surveillance bancaire. En tant qu’institution de l’Union, la BCE traite les données à caractère personnel conformément au RPDUE, tandis que les BCN et les ACN traitent les données à caractère personnel conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil (31) (ci-après le «RGPD»).

3.3.

Dans les cas où la BCE et les BCN et/ou les ACN déterminent conjointement les finalités et les moyens du traitement des données à caractère personnel, elles effectuent ce traitement en tant que responsables conjoints du traitement (32). À l’inverse, lorsqu’une entité détermine les finalités et les moyens du traitement et que l’autre traite les données à caractère personnel pour son compte, l’une agit en qualité de responsable du traitement et l’autre en qualité de sous-traitant (33). Dans les deux cas, la BCE traite les données à caractère personnel en vertu du RPDUE, tandis que les BCN et les ACN traitent les données à caractère personnel en vertu du RGPD. Par conséquent, une même opération de traitement est simultanément régie par deux instruments juridiques distincts, quoique complémentaires, de l’Union.

3.4.

Cela peut se produire lorsqu’à la fois la BCE et les BCN qui participent à des règlements de paiements instantanés TARGET (TIPS) traitent des données à caractère personnel au sein du système TIPS. Dans un tel cas, un accord de responsabilité conjointe est conclu. De même, le traitement des données à caractère personnel effectué dans le cadre du futur euro numérique peut nécessiter la conclusion d’un contrat ou accord de protection des données entre la BCE et des BCN de la zone euro.

3.5.

Lorsque la BCE accomplit les missions du SEBC et du MSU en coopération avec les BCN et les ACN, il est primordial pour elle que les actes juridiques régissant le traitement des données à caractère personnel soient, dans toute la mesure du possible, harmonisés et compatibles les uns avec les autres. La BCE se félicite donc que les modifications proposées du RGPD et du RPDUE soient formulées en parallèle, ce qui contribue à l’instauration d’un cadre juridique cohérent et uniforme. Cela évite qu’une insécurité juridique n’apparaisse en raison de calendriers différents pour l’entrée en vigueur et l’application des actes juridiques.

3.6.

Par conséquent, au vu de sa coopération avec les BCN et les ACN pour le traitement des données à caractère personnel lorsque cela est nécessaire à l’accomplissement des missions du SEBC et du MSU, la BCE fait part des éléments d’appréciation suivants:

3.7.

En ce qui concerne le mécanisme du guichet unique, la BCE recommande d’habiliter les responsables conjoints du traitement à notifier les violations de données à caractère personnel au nom de tous les responsables conjoints du traitement (34). Cela est possible car le règlement proposé prévoit l’introduction d’un guichet unique harmonisé, par l’intermédiaire duquel les entités pourront, au moyen d’une notification unique, s’acquitter simultanément des obligations en matière de signalement des incidents qui leur incombent au titre de plusieurs actes juridiques de l’Union. En mettant en œuvre le principe du «signalement unique pour un partage multiple», le guichet unique vise à réduire la charge administrative pesant sur les entités, tout en garantissant un signalement efficace, rapide et sûr des incidents. À cette fin, le guichet unique est conçu pour servir de canal commun pour la soumission des notifications en vertu de plusieurs instruments juridiques (35). Comme la BCE l’a précédemment exprimé dans l’un de ses avis, elle soutient fermement le partage d’informations entre les autorités pour permettre un apprentissage intersectoriel, contribuer à la prévention et à la gestion efficace des cyberattaques et promouvoir l’évaluation cohérente des risques liés aux TIC dans l’ensemble de l’Union (36). Dans cet esprit, la BCE est favorable à l’introduction du guichet unique dans le cadre du signalement des violations de données à caractère personnel.

3.8.

Lors de l’application du mécanisme du guichet unique aux activités de traitement conjoint effectuées par la BCE en coopération avec les BCN (et les ACN), les BCN bénéficieraient, en vertu du règlement proposé, de l’utilisation du guichet unique pour la réception des notifications d’incidents. À l’inverse, la BCE, en tant qu’institution de l’Union, continuerait de s’appuyer, en vertu du règlement proposé, sur le canal de signalement établi par le RPDUE, par lequel elle notifie les incidents au Contrôleur européen de la protection des données (CEPD) (37).

3.9.

La BCE réaffirme la nécessité de rationaliser, d’accélérer et d’optimiser l’échange d’informations sur les incidents, ainsi que d’assurer la cohérence entre le RGPD et le RPDUE. Par conséquent, il conviendrait d’inclure le RPDUE dans les actes juridiques de l’Union pour lesquels le guichet unique doit être utilisé aux fins de notification des violations de données à caractère personnel.

3.10.

En ce qui concerne le signalement unique des violations de données en cas de responsabilité conjointe du traitement, la BCE soutient que les responsables conjoints du traitement devraient être libres de déterminer s’ils font usage de cette possibilité et dans quelles conditions. Le CEPD a récemment confirmé qu’aux fins de déterminer si la BCE est tenue de lui notifier une violation de données à caractère personnel, il importe peu que la BCE, en tant que responsable conjoint du traitement, soit responsable de la survenance de cette violation. Le simple fait que la BCE soit un responsable conjoint pour l’opération de traitement dans le cadre de laquelle est survenue la violation de données à caractère personnel suffit à déclencher son obligation de notifier le CEPD, lorsque les conditions applicables prévues par le RPDUE sont remplies (38).

3.11.

Il importe de relever que, dans les nombreux cas où un accord de responsabilité conjointe entre la BCE et toutes les BCN de l’Eurosystème est en place, une seule violation de données à caractère personnel pourrait entraîner jusqu’à vingt-deux notifications, dont le contenu serait selon toute probabilité similaire ou identique. Un tel système se révèlerait contraire à l’objectif de simplification de la charge administrative pour les autorités publiques. Il conviendrait donc de prévoir que les responsables conjoints du traitement ne puissent notifier qu’une seule fois les violations de données à caractère personnel aux autorités de contrôle compétentes, par l’intermédiaire du guichet unique. Conformément aux objectifs de simplification, un tel système de notification ne s’appliquerait pas lorsqu’il est peu probable que la violation de données à caractère personnel en question engendre un risque pour les droits et libertés des personnes physiques (39).

3.12.

Pour ces raisons, la BCE recommande de laisser aux responsables conjoints du traitement le soin de déterminer s’ils souhaitent utiliser la possibilité de soumettre une seule notification au nom de tous les responsables conjoints du traitement dans le cadre d’un accord de responsabilité conjointe bien précis, et dans quelles conditions. Une telle notification serait soumise une seule fois par l’intermédiaire du guichet unique et serait ainsi adressée à toutes les autorités de contrôle concernées, sans amoindrir le rôle que jouent les obligations de notification pour garantir une transparence totale et un échange complet d’informations.

4. Signalement des incidents

4.1.

Comme indiqué au point 1.3, la BCE se félicite de l’initiative visant à simplifier et à harmoniser les procédures de signalement des incidents liés aux TIC et à mettre en place un signalement centralisé des incidents majeurs de ce type. Cependant, cela devrait dans chaque cas réduire la charge administrative pesant sur les établissements de crédit contrôlés, les établissements de paiement, les établissements de monnaie électronique et les autorités publiques. À cet égard, il est important de reconnaître qu’un certain degré de simplification des procédures de signalement a déjà été atteint grâce à la mise en œuvre du règlement DORA dans le secteur financier. Le règlement DORA a effectivement remplacé différentes exigences en matière de signalement des incidents liés aux TIC pour les entités financières (40), ce qui a permis de réduire considérablement la charge de déclaration qui leur incombait et de mettre en œuvre des mécanismes de coordination efficaces et efficients au sein des différentes autorités compétentes (41). Le règlement DORA a atteint cet objectif en définissant des taxinomies, des modèles et des procédures de déclaration communs et en établissant un guichet unique pour ces déclarations.

4.2.

Si la BCE soutient ces efforts de simplification, elle émet par ailleurs des réserves sur certains aspects des mesures de signalement des incidents liés aux TIC prévues dans le règlement proposé, et ce, pour trois raisons principales.

4.3.

Premièrement, la proposition d’un guichet unique n’est pas efficace pour réduire la charge de déclaration pesant sur les entités financières et les autres entreprises qui sont soumises à des obligations de signalement des incidents. S’il est vrai que le guichet unique permet d’avoir un seul portail pour le signalement des incidents, cela ne change rien au fait qu’il existe toujours des taxinomies, modèles et procédures de signalement différents pour chaque rapport d’incident établi en vertu des autres cadres que le règlement DORA. Pour signaler un incident, une entité financière doit établir différents rapports conformément à différentes réglementations (par exemple, en vertu du RGPD et du règlement DORA). Le simple fait de permettre que ces rapports soient notifiés à un seul destinataire n’allège pas sensiblement la charge administrative. C’est pourquoi il conviendrait de tenir dûment compte des normes techniques de réglementation adoptées conformément au règlement DORA, afin de favoriser des processus de signalement plus efficaces et rationalisés (42). La BCE apprécierait également que les taxinomies, modèles et procédures de signalement des incidents définis dans les différents cadres continuent d’être harmonisés et, le cas échéant, fusionnés, afin de parvenir à une véritable simplification.

4.4.

Deuxièmement, un rapport d’incident établi en vertu du règlement DORA déclenche des processus urgents qui peuvent entraîner la mise en place de procédures de crise. L’intégration d’un nouvel acteur et d’un nouveau système dans le processus de réception de ces rapports d’incidents s’accompagne de risques supplémentaires en ce qui concerne la disponibilité et la communication en temps utile des informations requises. Pour cette raison, la solution la plus efficace et la plus solide consiste à envoyer ces rapports directement à l’autorité compétente, comme le prévoit le règlement DORA (43), afin d’éviter que la réaction des autorités de contrôle à une situation potentiellement critique soit indûment retardée.

4.5.

Troisièmement, il convient de tenir compte des efforts et dépenses déjà supportés par le secteur financier pour la mise en œuvre du règlement DORA, qui ne s’applique que depuis le 17 janvier 2025. Les établissements de crédit contrôlés et les autorités compétentes ont investi des ressources importantes dans la mise en œuvre du nouveau cadre. Dès lors, il serait utile de reporter l’intégration du signalement des incidents liés aux TIC au moyen du guichet unique. Cela laisserait plus de temps pour recenser les améliorations et moyens possibles de simplifier davantage la charge administrative, tant pour le MSU que pour les établissements de crédit contrôlés.

4.6.

Pour ces raisons, la BCE propose que le règlement DORA soit exclu du règlement proposé. Il serait opportun d’acquérir de l’expérience, de façon séparée, avec le nouveau guichet unique (valable pour les autres règlements, y compris le RPDUE) et avec le dispositif de signalement au titre du règlement DORA, nouvellement mis en œuvre, puis d’examiner la meilleure manière de les regrouper à un stade ultérieur.

Lorsque la BCE recommande d’apporter une modification au règlement proposé, des suggestions de rédaction précises, accompagnées d’un texte explicatif, sont présentées dans un document de travail technique distinct. Le document de travail technique peut être consulté en anglais sur le site internet EUR-Lex.

Fait à Francfort-sur-le-Main, le 10 mars 2026.

La présidente de la BCE

Christine LAGARDE

(1) COM (2025) 837 final.

(2) Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données) (JO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(3) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE)no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011(JO L 333 du 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

(5) Règlement (UE) no 1024/2013 du Conseil du 15 octobre 2013 confiant à la Banque centrale européenne des missions spécifiques ayant trait aux politiques en matière de surveillance prudentielle des établissements de crédit (JO L 287 du 29.10.2013, p. 63, ELI: http://data.europa.eu/eli/reg/2013/1024/oj).

(6) Article 46, point a), du règlement DORA.

(7) Article 1er, paragraphe 26, du règlement proposé, modifiant l’article 49 du règlement sur les données. Voir aussi point 1.2 de l’avis de la Banque centrale européenne du 5 septembre 2022 sur une proposition de règlement fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données) (CON/2022/30) (JO C 402 du 19.10.2022, p. 5).

(8) Article 58 du règlement DORA.

(9) Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) (JO L 152 du 3.6.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/868/oj).

(10) Directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public (JO L 172 du 26.6.2019, p. 56, ELI: http://data.europa.eu/eli/dir/2019/1024/oj).

(11) Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne (JO L 303 du 28.11.2018, p. 59), ELI: http://data.europa.eu/eli/reg/2018/1807/oj).

(12) En vertu de l’article 13, paragraphe 1, de la directive sur les données ouvertes, les catégories thématiques d’ensembles de données de forte valeur sont les suivantes: géospatiales, observation de la terre et environnement, météorologiques, statistiques, entreprises et propriété d’entreprises, mobilité. En vertu de l’article 13, paragraphe 2, la Commission est habilitée à adopter des actes délégués afin de modifier l’annexe I en y ajoutant de nouvelles catégories thématiques d’ensembles de données de forte valeur afin de refléter les progrès technologiques et l’évolution du marché.

(13) Orientation (UE) 2018/876 de la Banque centrale européenne du 1er juin 2018 sur le registre des données relatives aux institutions et aux filiales (BCE/2018/16) (JO L 154 du 18.6.2018, p. 3, ELI: http://data.europa.eu/eli/guideline/2018/876/oj).

(14) Voir considérant 16 de la directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public (JO L 172 du 26.6.2019, p. 56, ELI: http://data.europa.eu/eli/dir/2019/1024/oj).

(15) Article 1er, paragraphe 18, du règlement proposé, introduisant un nouveau chapitre VII quater dans le règlement sur les données.

(16) Article 1er, paragraphe 7, du règlement proposé, insérant un nouvel article 15 bis dans le règlement sur les données.

(17) Articles 14 et 15 du règlement sur les données.

(18) «Détenteur de données» est défini à l’article 2, paragraphe 13, du règlement sur les données comme «une personne physique ou morale qui, conformément au présent règlement, aux dispositions applicables du droit de l’Union ou à la législation nationale adoptée conformément au droit de l’Union, a le droit ou l’obligation d’utiliser et de mettre à disposition des données, y compris, lorsqu’il en a été convenu par contrat, des données relatives au produit ou des données relatives au service connexe qu’elle a extraites ou générées au cours de la fourniture d’un service connexe».

(19) Article 2 du règlement (CE) no 2533/98 du Conseil du 23 novembre 1998 concernant la collecte d’informations statistiques par la Banque centrale européenne (JO L 318 du 27.11.1998, p. 8, ELI: http://data.europa.eu/eli/reg/1998/2533/oj).

(20) Voir le Système européen des comptes nationaux et régionaux (SEC 2010), disponible sur le site internet d’Eurostat à l’adresse suivante: www.ec.europa.eu/eurostat.

(21) Point 2.3.1 de l’avis CON/2022/30.

(22) Règlement (CE) no 223/2009 du Parlement européen et du Conseil du 11 mars 2009 relatif aux statistiques européennes et abrogeant le règlement (CE, Euratom) no 1101/2008 relatif à la transmission à l’Office statistique des Communautés européennes d’informations statistiques couvertes par le secret, le règlement (CE) no 322/97 du Conseil relatif à la statistique communautaire et la décision 89/382/CEE, Euratom du Conseil instituant un comité du programme statistique des Communautés européennes (JO L 87 du 31.3.2009, p. 164, ELI: http://data.europa.eu/eli/reg/2009/223/oj).

(23) Considérant 15 du règlement proposé.

(24) Article 17 ter du règlement (CE) no 223/2009.

(25) Article 2, paragraphe 29, du règlement (UE) 2023/2854.

(26) Règlement (UE) 2024/2747 du Parlement européen et du Conseil du 9 octobre 2024 établissant un cadre de mesures relatives à une situation d’urgence dans le marché intérieur et à la résilience du marché intérieur et modifiant le règlement (CE) no 2679/98 du Conseil (règlement sur les situations d’urgence dans le marché intérieur et la résilience du marché intérieur) (JO L, 2024/2747, 8.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2747/oj).

(27) Décision 2014/415/UE du Conseil du 24 juin 2014 concernant les modalités de mise en œuvre par l’Union de la clause de solidarité (JO L 192 du 1.7.2014, p. 53, ELI: http://data.europa.eu/eli/dec/2014/415/oj).

(28) Article 2, paragraphe 29, du règlement (UE) 2023/2854.

(29) Article 1er, paragraphe 12, du règlement proposé, modifiant l’article 20 du règlement sur les données.

(30) Voir point 2.3.3 de l’avis CON/2022/30.

(31) Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(32) Au sens de l’article 26 du RGPD et de l’article 28 du RPDUE.

(33) Au sens de l’article 28 du RGPD et de l’article 29 du RPDUE.

(34) Comme l’exige l’article 34 du RPDUE.

(35) Il s’agit notamment du RGPD et de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj); du règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj) (règlement eIDAS) et de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques et abrogeant la directive 2008/114/CE du Conseil (JO L 333 du 27.12.2022, p. 164, ELI: http://data.europa.eu/eli/dir/2022/2557/oj) (directive REC).

(36) Voir point 3.3.1 de l’avis de la Banque centrale européenne du 11 avril 2022 sur une proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (JO C 233 du 16.6.2022, p. 22).

(37) Comme l’exige l’article 34 du RPDUE.

(38) Avis de contrôle 18/2025 du CEPD sur un projet d’accord de responsabilité conjointe entre la Banque centrale européenne et les autorités nationales compétentes dans le cadre du mécanisme de surveillance unique (affaire 2024-1002), disponible sur le site internet du CEPD à l’adresse suivante: www.edps.europa.eu.

(39) Article 34 du RPDUE.

(40) Voir, dans ce sens, les considérants 16, 18, 19 et 23 du règlement DORA.

(41) Cela a permis de régler la question de la fourniture parallèle de rapports au titre du règlement DORA, de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj). ainsi que des orientations correspondantes de l’ABE, telle que mise en évidence au point 4.2.2 de l’avis CON/2021/20 de la Banque centrale européenne du 4 juin 2021 sur une proposition de règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier (JO C 343 du 26.8.2021, p. 1).

(42) Comme cela est envisagé au considérant 54 du règlement proposé.

(43) Article 19 du règlement DORA.

ELI: http://data.europa.eu/eli/C/2026/2621/oj

ISSN 1977-0936 (electronic edition)

CELEX	52026AB0009
Type	Avis institutionnel
Date	mardi 26 mai 2026

Avis de la Banque centrale européenne du 10 mars 2026 sur une proposition de règlement concernant la simplification du cadre législatif numérique (règlement omnibus numérique) (CON/2026/9)

Résumé IA

Texte intégral

Documents similaires