testez votre conformité
logo_agence
testez votre conformitéDevenir franchisé

Vers un allègement du RGPD : la Commission européenne propose de nouvelles mesures

Introduction

Le 21 mai 2025, la Commission européenne a déposé une proposition de réforme dans le cadre du 4e paquet “Omnibus” visant à simplifier certaines obligations du Règlement général sur la protection des données (RGPD). Cette initiative cible particulièrement les entreprises de taille intermédiaire, appelées “small mid-caps” (SMC), définies comme les entreprises de moins de 750 salariés ET réalisant un chiffre d’affaires annuel net inférieur à 150 millions d’euros ou disposant d’un total de bilan inférieur à 129 millions d’euros.

L’objectif : alléger les contraintes administratives sans compromettre la protection des données personnelles, avec une économie estimée à 300 millions d’euros par an au niveau européen.

Une modification clé : l’extension de l’exemption du registre des traitements

Une nouvelle limite fixée à 750 salariés avec critères financiers

Jusqu’à présent, seules les organisations de moins de 250 salariés étaient exemptées de l’obligation de tenir un registre des traitements, sauf en cas de traitement à risque élevé, non occasionnel ou portant sur des données sensibles.

La nouvelle proposition étendrait cette exemption aux “small mid-caps” (SMC) : entreprises de moins de 750 salariés ET avec un chiffre d’affaires inférieur à 150 millions d’euros, sauf si leurs activités présentent un risque élevé pour les droits et libertés des personnes concernées.

Cette mesure concernerait environ 38 000 entreprises dans l’Union européenne et vise à réduire la charge réglementaire pour les entreprises de taille intermédiaire, tout en maintenant les obligations pour les traitements sensibles.

Suppression de la notion de “traitement occasionnel”

La réforme proposerait également de supprimer la condition de “traitement occasionnel” de l’exemption actuelle, afin de limiter les interprétations divergentes entre États membres et de simplifier l’application de l’exemption.

D’autres assouplissements prévus

Extension aux codes de conduite (article 40 RGPD)

La Commission souhaite que les codes de conduite sectoriels prennent désormais explicitement en compte les spécificités des SMC. Cette mesure vise à faciliter l’adoption de ces outils de conformité sectoriels tout en garantissant un niveau de conformité adapté.

Adaptation des procédures de certification (article 42 RGPD)

Les mécanismes de certification RGPD seraient également revus pour intégrer les besoins des SMC, facilitant leur accès aux labels de conformité et réduisant les contraintes associées.

Ces ajustements devraient améliorer l’accès à des outils concrets de conformité pour les structures de taille intermédiaire.

Une réforme ciblée dans un contexte économique tendu

Aucun impact sur les principes fondamentaux

La proposition ne remet pas en cause les piliers du RGPD : licéité, transparence, minimisation des données, sécurité ou droits des personnes concernées. Elle vise uniquement à rendre certains volets plus accessibles et opérationnels pour les entreprises de taille intermédiaire.

Un contexte de compétitivité européenne

Cette réforme s’inscrit dans une démarche plus large de simplification réglementaire portée par la Commission européenne, visant à renforcer la compétitivité européenne face aux défis économiques mondiaux, notamment face aux puissances américaines et chinoises.

Des bénéfices attendus, mais un impact pratique potentiellement limité

Les entreprises concernées gagneraient du temps sur la documentation, tout en pouvant recentrer leurs efforts sur les traitements à risque. Cependant, l’impact réel pourrait rester limité car le registre des traitements demeure un outil central de pilotage de la conformité RGPD, et de nombreuses entreprises continueront probablement à en tenir un par prudence.

Réactions mitigées des professionnels

Opposition organisée

L’Association française des correspondants à la protection des données à caractère personnel (AFCDP) et 107 organisations de la société civile ont exprimé leurs réserves dans une lettre ouverte du 19 mai 2025. Ces professionnels (48 % opposés et 32 % très réservés) estiment que cette réforme affaiblirait la traçabilité et ferait disparaître un outil méthodologique important.

Calendrier d’adoption incertain

La proposition doit désormais être examinée par le Parlement européen et le Conseil de l’Union européenne. À ce jour, aucun changement n’est encore acté et son adoption n’est pas garantie compte tenu des oppositions exprimées.

Points clés à retenir

  • L’exemption s’étendrait aux SMC (moins de 750 salariés ET chiffre d’affaires < 150 M€)
  • Les traitements à risque élevé restent soumis à l’obligation de registre
  • Les principes fondamentaux du RGPD demeurent inchangés
  • 38 000 entreprises européennes seraient concernées
  • L’impact pratique pourrait rester limité en raison de l’utilité du registre pour la gouvernance des données

Conclusion

Cette première proposition d’allègement du RGPD vise à réduire les contraintes administratives pour les entreprises de taille intermédiaire, tout en préservant les droits fondamentaux des personnes concernées. Si elle est adoptée, cette réforme marquera une évolution pragmatique vers plus de proportionnalité, sans compromettre les objectifs de protection des données personnelles. Les entreprises devront néanmoins rester vigilantes car les autres obligations du RGPD continuent de s’appliquer intégralement.

Restez informé !

Des nouveautés RGPD

Suivez les actualités et les évolutions de la réglementation relative à la protection des données et profitez des conseils de l’Agence RGPD.



    Les informations recueillies sur ce formulaire permettent à l’Agence RGPD de vous transmettre sa Newsletter mensuelle. Les champs « * » sont indispensable à cette fin ; la non-fourniture de ces données entraine l’impossibilité pour nous de vous transmettre notre Newsletter.
    Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, cliquez ici»