Civil Law

Assouplissement du RGPD pour les PME ?

Le 21 mai 2025, la Commission européenne a publié une proposition de nouveau règlement visant à simplifier plusieurs instruments juridiques de l’UE, notamment le Règlement Général de Protection des Données (RGPD). L’objectif annoncé est d’alléger les obligations de conformité pour les petites et moyennes entreprises (TPE/PME) et d’étendre certains avantages réglementaires aux « petites sociétés mid cap » (acronyme anglais « SMC ») – une catégorie d’entreprises qui est souvent confrontée à des contraintes réglementaires comparables à celles des grandes entreprises, mais qui ne dispose pas de ressources équivalentes.

Dans le domaine de la protection des données, la proposition se concentre notamment sur la révision de l’obligation de tenir des registres des activités de traitement prévue à l’article 30 du RGPD. Elle propose de relever le seuil d’effectif à partir duquel cette obligation s’applique et de préciser que la tenue de registres ne serait requise que lorsque le traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes.

Certains pourraient voir dans cette réforme une montagne qui accouche d’une souris.

I. Relèvement du seuil : de 250 à 750 employés

L’un des changements les plus notables concerne donc l’article 30, paragraphe 5, du RGPD, qui exempte actuellement les organisations de moins de 250 employés de l’obligation de tenir un registre des activités de traitement, à condition toutefois que les traitements qu’elles effectuent (1) ne soient pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, (2) soient occasionnels et (3) ne portent pas sur des catégories particulières de données (article 9 du RGPD) ni sur des données relatives à des condamnations pénales et infractions (article 10 du RGPD).

La proposition de règlement relève le seuil de déclenchement à 750 employés, ce qui pourrait permettre à environ 38 000 entreprises supplémentaires de bénéficier de la dérogation. Toutefois, cela est subordonné à la condition que leurs activités de traitement « ne soient pas susceptibles d’engendrer un risque élevé pour les personnes concernées ».

Si dans leur avis conjoint 01/2025 , le Comité Européen de la Protection des Données (acronyme anglais « EDPB ») et le Contrôleur Européen de la Protection des Données (acronyme anglais « EDPS ») soutiennent la réduction de la charge de la conformité pour les entreprises de taille moyenne, ils demandent une justification plus détaillée du choix du seuil de 750 employés (d’autant plus que les versions précédentes proposaient un seuil inférieur, à savoir 500 employés).

II. Champ d’application de l’exemption : définitions et clarification concernant le secteur public

L’EDPB et l’EDPS ont également demandé qu’il soit clairement précisé que les autorités et organismes publics sont exclus du champ d’application de la dérogation. Le projet actuel fait référence de manière générale aux « organisations » (ce qui pourrait être interprété à tort comme incluant les entités à but non lucratif ou d’autres organismes qui ne sont pas destinés à bénéficier de la dérogation).

Afin d’éviter toute ambiguïté, il est recommandé que les considérants explicitent l’exclusion des entités du secteur public dans le champ d’application de la dérogation. Cela garantirait la sécurité juridique et éviterait des interprétations erronées.

III. Clarification des cas dans lesquels la tenue des registres reste obligatoire

La proposition introduit un principe simplifié : la tenue du registre ne serait requise pour les PME ou les SMC que lorsque le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes.

Cela s’aligne conceptuellement sur l’article 35 du RGPD, qui régit l’obligation d’effectuer des analyses d’impact relatives à la protection des données (AIPD). Toutefois, il incombe toujours au responsable du traitement d’évaluer le niveau de risque associé à chaque activité de traitement.

Par conséquent, cette exemption ne signifie pas que toutes les PME et les SMC seraient automatiquement dispensées de l’obligation de tenue de registres. Certains types de traitement (tels que la surveillance à grande échelle des employés ou le traitement de données sensibles relatives à la santé) peuvent toujours être considérés comme présentant un risque élevé, quelle que soit la taille de l’organisation.

L’EDPB et l’EDPS recommandent, en outre, qu’il soit précisé que, dans ce cas, le registre ne doit contenir que les activités de traitement à haut risque, plutôt que d’exiger des entreprises qu’il porte sur l’ensemble des activités de traitement, du seul fait que certaines activités présentent un risque élevé.

L’article 35, paragraphe 3, et les considérants 71, 75 et 91 fournissent quelques exemples de cas dans lesquels une opération de traitement est « susceptible de présenter des risques élevés », ces exemples incluent également la notion de « traitement à grande échelle ». Les lignes directrices de l’EDPB (WP 248 sur l’analyse d’impact relative à la protection des données et WP 243 sur le DPD ou DPO) fournissent des orientations supplémentaires sur les activités « susceptibles d’entraîner des risques élevés » et les « traitements à grande échelle ». En outre, chaque État membre de l’EEE a publié une liste noire des activités qu’il considère comme présentant un risque élevé et une liste blanche des activités ne nécessitant pas d’AIPD.

Il est important de noter que le premier exemple d’activité à risque élevé cité à l’article 35, paragraphe 3, point a), est « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ». Dans le contexte du développement d’outils d’IA, il sera souvent nécessaire d’évaluer s’il existe un risque élevé pour les personnes concernées et si le cas échéant cela exigera l’inscription au registre.

IV. Règles « simplifiées » : le traitement à haut risque comme seul déclencheur

En vertu du texte actuel du RGPD, même les organisations ayant moins de 250 employés doivent tenir un registre si leur traitement présente l’une des caractéristiques suivantes : (1) susceptible d’entraîner un risque, (2) non occasionnel, (3) portant sur des catégories particulières de données ou des condamnations pénales et infractions.

La proposition de règlement remplace ces conditions par un critère unique fondé sur le risque : les registres ne seraient obligatoires que lorsque le traitement est susceptible d’engendrer un risque élevé pour les personnes concernées.

Bien que cette simplification semble avoir pour objectif de réduire la charge administrative et soit conforme à une approche fondée sur les risques, l’EDPB et l’EDPS mettent en garde contre le fait qu’elle pourrait involontairement affaiblir la protection des données si les organisations ne procèdent pas à des évaluations des risques rigoureuses. En effet, ce critère unique pourrait s’avérer plus complexe pour les organisations que les critères multiples existants, qui sont plus simples. Déterminer ce qui constitue une opération « susceptible d’engendrer un risque élevé » pour les droits et libertés des personnes nécessite déjà un certain niveau de connaissance et de maîtrise du RGPD.

En fonction de la nature et de la portée du traitement (comme la surveillance systématique ou le traitement de données à grande échelle), la tenue des registres peut encore être un outil utile ou nécessaire pour démontrer la conformité (en application notamment du principe de responsabilité ou « accountability » de l’article 24 RGPD).

De plus, si les obligations formelles en matière de tenue des registres sont chronophages et, soyons honnêtes, quelque peu désagréables, elles n’en constituent pas moins la suite logique d’un exercice de cartographie des données qui reste nécessaire pour garantir la conformité au RGPD. En outre, l’EDPB et l’EDPS soulignent que la tenue volontaire et proportionnée des registres reste une bonne pratique recommandée. Même une documentation simplifiée peut être un outil précieux pour démontrer la conformité et garantir une gouvernance structurée des données.

V. Inclusion des « SMC » dans les codes de conduite et les certifications

La proposition modifie également les articles 40, paragraphe 1, et 42, paragraphe 1, du RGPD afin d’inclure explicitement les SMC dans l’élaboration des codes de conduite et des systèmes de certification.

Cette modification a pour objet de s’assurer de prendre en compte, lors de la création d’outils pratiques et de normes sectorielles, les défis spécifiques auxquels sont confrontées les entreprises de taille moyenne en matière de conformité. Elle s’aligne sur la stratégie 2024-2027 de l’EDPB (qui promeut de tels instruments afin de favoriser la sécurité réglementaire, de réduire les charges de conformité et de cultiver une culture de la responsabilité).

La participation des SMC à l’élaboration de codes de conduite ou certifications, leur permettrait de démontrer qu’elles possèdent une bonne gouvernance des données et d’instaurer un climat de confiance à leur profit (sans qu’elles ne soient soumises à toutes les exigences administratives qui s’appliquent aux grandes organisations).

Prochaines étapes

La proposition est actuellement examinée par le Parlement européen et le Conseil de l’Union européenne. Aucune date officielle d’adoption n’a été annoncée et il n’est pas encore certain qu’une période transitoire sera accordée une fois que le règlement final entrera en vigueur.

Points clés

  • Le seuil d’effectif pour bénéficier des exemptions en matière de tenue de registres des activités de traitement passerait de 250 à 750 employés (ce qui pourrait bénéficier à environ 38 000 entreprises supplémentaires).
  • Les autorités publiques resteraient exclues de la dérogation (mais cela doit être clarifié explicitement).
  • Le traitement à « risque élevé » sera le facteur déterminant pour l’obligation de tenue de registres et les organisations devront être capables de comprendre quels types d’activités relèvent de cette définition.
  • Les SMC seraient davantage impliquées dans les codes de conduite et les systèmes de certification.
  • La tenue volontaire de registres reste une bonne pratique, recommandée pour démontrer sa conformité et responsabilité.

Lien vers la version anglaise de cet article

LexBlog

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.