Les exemptions au RGPD concernant le registre des activités soulèvent la polémique

La Commission européenne a inclus dans son quatrième « paquet omnibus », présenté le 21 mai, une nouvelle exemption à la mise en place d’un registre des activités de traitement défini par l’article 30 du RGPD. La Commission présente ces propositions de réformes – incluant l’allègement du RGPD – comme faisant économiser en tout 400 millions d’euros par an aux entreprises européennes.

Demande de rejet de la part des professionnels de la protection des données

Aujourd’hui, seules les entreprises de moins de 250 salariés peuvent, sous conditions, en être dispensées. Face à cette proposition de la Commission européenne, des professionnels de la protection des données, utilisateurs et prestataires, intéressés au premier chef, montent au créneau et demandent son rejet par le parlement européen.

La mesure vise à étendre cette exemption aux structures de moins de 750 employés réalisant moins de 150 millions d’euros de chiffre d’affaires. Seuls les traitements à risque élevé resteraient soumis à l’étude et à la consultation et il n’y aurait pas d’obligation de réaliser une analyse d’impact pour leurs traitements courants. Or, selon l’association AFCDP (Association française des correspondants à la protection des données à caractère personnel), les professionnels du domaine se montrent peu rassurés par cette suppression.

Ils estiment que cela affaiblirait la traçabilité et ferait disparaitre un outil méthodologique important. Dans le même temps, près de la moitié des organisations peinent à mettre en place une gouvernance solide des données.  « Cette proposition de simplification n’est pas une bonne nouvelle pour la protection des données personnelles » estime pour sa part Alessandro Fiorentino, spécialiste RGPD chez Adequacy, société de conseil en conformité RGPD.

Incohérence de la proposition de la Commission européenne

Il voit une certaine incohérence dans l’élargissement de l’exonération de la tenue de registre des activités. La proposition cible les traitements ne comportant pas un risque élevé pour les droits et les libertés des personnes concernées.

Il relève que ce terme est celui utilisé à l’article 35, concernant les analyses d’impact relatives à la protection des données, et qui sont une obligation attendue si le traitement comporte un risque élevé. Mais comment déterminer si un traitement est à risque si on est exempté d’en dresser la liste. « C’est justement la réalisation d’une fiche de traitement dans le cadre de la tenue du registre qui permet d’évaluer si ce risque élevé est présent » déclare-t-il. « On peut donc légitiment se demander si le rédacteur de cette proposition a déjà rédigé une fiche de traitement ou s’il a juste cédé à la pression de lobbyistes bruxellois qui passaient dans les couloirs » interroge-t-il.

De son côté, l’AFCDP s’oppose à ce qu’elle appelle « simplification » du RGPD, entre guillemets. Cette association de professionnels de la protection des données personnelles, qui réunit des utilisateurs, des consultants et des prestataires, appelle les co-législateurs européens à ne pas adopter le texte proposé par la Commission européenne.

Extension de certaines atténuations liées au RGPD

L’AFCDP prend en compte le fait que la Commission européenne a diffusé le 21 mai 2025 un projet de règlement qui vise à étendre aux entreprises de taille moyenne certaines atténuations réservées aux petites structures, dont certaines dispositions du RGPD.

Pour l’AFCPD, le projet de simplification de la Commission européenne est un assouplissement mal évalué. Le projet de règlement publié par la Commission européenne le 21 mai 2025  propose de modifier plusieurs règlements existant pour étendre « certaines mesures d’atténuation disponibles pour les petites et moyennes entreprises aux petites entreprises de taille intermédiaire » et apporter certaines « autres mesures de simplification ». C’est dans ce cadre que le RGPD est concerné, par un article qui modifie 4 dispositions du texte entré en application en 2018.

Cela inclut l’ajout de la définition de « micro, petites et moyennes entreprises » et de la nouvelle catégorie d’entreprises, les “small mid-caps (SMCs)” qui ont moins de 750 employés, et réalise un chiffre d’affaires inférieur à 150 millions d’euros. Le projet prévoit d’étendre à ces « mid-caps » les précautions prévues pour les TPE et PME aux articles 40 (codes de conduite) et 42 (certification) du RGPD.

Exemption pour les traitements occasionnels

Ce qui inquiète surtout l’AFCDP, c’est que le projet propose un assouplissement de l’article 30. Cet article impose aux responsables de traitement de tenir un registre des traitements qui sont mis en œuvre dans leur organisme. Depuis 2018, seuls sont exemptés de cette obligation, les entités de moins de 250 employés, et seulement pour les traitements occasionnels.

L’assouplissement proposé par la Commission étend l’exemption aux organismes de moins de 750 employés, et à tous les traitements ne comportant pas « un risque élevé pour les droits et libertés des personnes concernées », en référence à l’article 35 sur les analyses d’impact relatives à la protection des données (AIPD). Consultés en amont, le Comité européen de protection des données (CEPD/EPDB), et le Contrôleur européen de la protection des données (CEPD/EDPS) ont rendu le 8 mai 2025 un avis indiquant qu’à ce stade, ils pouvaient soutenir cette initiative de simplification ciblée.

Ils demandaient cependant à la Commission de mieux évaluer l’impact sur les organisations concernées par cette modification. “Cela permettrait d’évaluer si le projet de proposition garantit un équilibre proportionné et équitable entre la protection des données personnelles et les intérêts des organisations de moins de 500 employés“. Le projet prévoyait alors un seuil de 500 employés, qui est devenu 750 dans le projet final. Le CEPD et le CEPD rappelaient en outre que même les très petites entreprises peuvent effectuer des traitements à haut risque et qu’il faut conserver une approche fondée sur les risques.

Une lettre ouverte qui rejette toute réouverture du RGPD

L’AFCDP cite d’autre part la lettre ouverte publiée le 19 mai 2025 de la fédération EDRi (European Digital Rights), qui a réuni 107 organisations de la société civile, des universitaires, des entreprises, des syndicats et des experts qui travaillent dans le domaine de la protection des droits et libertés des personnes. Cette lettre demande à la Commission européenne de « rejeter toute réouverture du RGPD et réaffirmer son intégrité en tant que fondement du droit numérique de l’UE ». La lettre ouverte concède toutefois qu’il faut assurer un soutien et une assistance accrus, en particulier pour les petites entités mais reste ferme sur le fait de ne pas réécrire la loi. La lettre demande de résister aux pressions qui « cherchent à sacrifier les droits des personnes au nom de la compétitivité ou des intérêts commerciaux ».

L’AFCDP déclare pour sa part que les DPO et ses membres sont majoritairement défavorables. L’association cite son dernier Baromètre AFCDP, qui a recueilli 312 réponses de professionnels membres et non membres de l’AFCDP début mai 2025. Les DPD/DPO et les autres professionnels de la protection des données ont alors été opposés (48 %) ou très réservés (32 %) sur le projet de simplification du RGPD proposé par la Commission.

Pour les membres de l’AFCDP, le projet de la Commission européenne comporte plusieurs failles. Ils estiment que la tenue du registre n’est pas l’activité la plus contraignante induite par le RGPD. Certes, l’inventaire initial pour créer le registre peut induire une certaine charge de travail mais sa mise à jour régulière n’est pas une contrainte majeure. Ils pensent que cela entre dans le cadre de la cartographie que toute organisation devrait réaliser pour une saine gestion de ses traitements.

Le registre des traitements est essentiel pour le DPO

D’autre part, la tenue du registre est un prérequis essentiel pour permettre au Délégué à la protection des données (DPD/DPO) d’exercer son activité de conseil et de supervision dans les organisations. En l’absence de ce registre des traitements, le DPD/DPO risque de devenir aveugle et impuissant.

Quant à la fixation du seuil de 750 employés, elle semble totalement déconnectée de la réalité de l’écosystème de la protection des données pour l’AFCDP. L’association souligne que la quantité et la sensibilité des traitements et des données ne dépendent pas du nombre d’employés d’une entreprise. « De très nombreuses entreprises de taille modeste sont en pratique à l’origine de traitements pouvant impliquer des millions de personnes » insiste l’AFCDP.

En outre, l’association constate que s’il faut limiter l’obligation de tenue du registre aux cas de traitements à risque élevé, cela suppose que l’organisme soit en mesure de procéder à une AIPD (Analyse d’Impact sur la Protection des Données) de ses traitements. Comment procéder si l’on ne dispose plus d’un inventaire correct de ces traitements ? L’AIPD est une étude qui doit être menée lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Une réforme mal évaluée et à revoir

Dès lors, l’AFCDP estime que la réforme est mal évaluée et à revoir. L’association propose dans une optique de simplification, de plutôt revoir certaines dispositions qui constituent effectivement des charges importantes, comme les exigences de formalisation des AIPD.

Dans ce contexte, l’AFCDP appelle les colégislateurs européens à revoir sérieusement la teneur du projet proposé par la Commission, qui ne devrait pas être adopté en l’état. L’association esstime que cette réforme va conduire à un affaiblissement majeur de la protection des données et des droits des personnes concernées.

Articles similaires