Une nouvelle proposition pour alléger les obligations des PME et entreprises à moyenne capitalisation
La Commission européenne a récemment présenté un projet de modification ciblée du RGPD, avec pour objectif de simplifier les obligations de tenue de registre des traitements pour les petites structures. Ce texte vise notamment à modifier l’article 30 du RGPD, qui impose à chaque organisme de documenter l’ensemble de ses opérations de traitement de données.
La principale nouveauté proposée : une dérogation à cette obligation pour les structures de moins de 750 salariés, contre 250 aujourd’hui.
Une réforme saluée, mais à clarifier selon les autorités européennes
Le soutien de l’EDPB et du CEPD
L’European Data Protection Board (EDPB) et le Contrôleur européen de la protection des données (CEPD/EDPS) ont publié une réaction conjointe saluant cette initiative. Les deux instances européennes reconnaissent que certaines obligations du RGPD peuvent être lourdes pour les petites structures et que des ajustements sont bienvenus.
Objectif : alléger la charge administrative, tout en maintenant un niveau de protection adéquat des données personnelles.
Un besoin d’éclaircissements sur le seuil de 750 salariés
Cependant, l’EDPB et le CEPD formulent plusieurs interrogations :
- Pourquoi fixer la limite à 750 salariés ?
- Sur quelle base ce nouveau seuil a-t-il été défini ?
- Ce chiffre est-il cohérent avec les réalités opérationnelles du traitement de données ?
Les autorités appellent donc la Commission européenne à justifier davantage ce seuil, afin de garantir que la simplification reste compatible avec les principes de protection des données.
Ce que cette proposition signifie pour les DPO et leurs clients
Tenue de registre : une obligation allégée… mais sous conditions
Si la réforme est adoptée, les entreprises de moins de 750 salariés ne seraient plus tenues de tenir un registre des traitements, sauf si :
- elles traitent des données sensibles ou à risque élevé,
- elles réalisent un traitement non occasionnel (autrement dit, des traitements de données personnel récurrents, ce qui est le cas de la majorité des structures),
- elles transfèrent des données vers l’étranger.
Cela signifie que l’exemption ne sera pas automatique : il faudra continuer à évaluer chaque situation au cas par cas, en fonction de la nature et des finalités des traitements. Cette évolution ne semble pas avoir de réel impact sur le quotidien des responsables de traiement.
Une opportunité de pédagogie pour les DPO externalisés
Pour les délégués à la protection des données (DPO), notamment en mission externalisée, cette réforme peut devenir un levier pédagogique :
- pour aider leurs clients à comprendre si l’exemption est applicable à leur activité,
- pour mettre à jour leur documentation,
- et pour accompagner la sécurisation des traitements à risque, toujours encadrés.
Conclusion
La proposition de la Commission européenne de relever à 750 salariés le seuil d’exemption au registre des traitements marque une volonté claire d’adapter le RGPD aux réalités des PME et des structures intermédiaires. Néanmoins, cette évolution devra s’accompagner d’une analyse fine des risques, d’une communication pédagogique auprès des entreprises, et d’un accompagnement expert pour distinguer les cas où l’exemption s’applique ou non.
Les DPO ont ici un rôle central à jouer pour traduire la simplification réglementaire en pratiques de conformité solides.
