Alliance Digitale, qui se présente comme une association professionnelle rassemblant les acteurs du marketing digital dont l’IAB France et la Mobile Marketing Association, a publié "une note de position" dans laquelle sont détaillées 9 propositions de "modification ou d'ajustement" du Règlement général sur la protection des données personnelles (RGPD). Elles ont pour objectif de "répondre aux difficultés, contraintes et incertitudes du secteur dur marketing digital".
Le RGPD passe son examen en mai
Ce document est élaboré à l'occasion de la future évaluation du RGPD par la Commission européenne prévue en mai 2024. Il s'inscrit également dans le contexte des futures élections européennes qui auront lieu du 6 au 9 juin 2024.
"Des axes d'améliorations significatifs existent en matière d'harmonisation, d'interprétation par les différentes autorités nationales ou de simplification des procédures", écrit l'association. Parmi ses propositions, elle propose d'exempter les petites entreprises ne traitant pas de données sensibles de tenues de registres de traitement. Le but : ne plus entraver leur développement économique.
Pour rappel, le registre prévu à l'article 30 du texte européen recense et analyse les traitements effectués par une entité. En d'autres termes, il reflète "la réalité" de leurs traitements de données, comme l'explique la Commission nationale de l'informatique et des libertés (Cnil). Actuellement, dès lors qu'ils traitent des données personnelles, tous les organismes publics comme privés et quelle que soit leur taille sont concernés par cette obligation. Ce registre peut être demandé par la Cnil.
Une charge trop importante pour les PME et les start-up
Alliance Digitale cite la position du Conseil de l'Union européenne du 17 novembre 2023. Ce dernier a jugé que "la charge que représente certaines dispositions du RGPD pour les PME et start-up est parfois trop importante". Un avis partagé en particulier par la France et l'Allemagne, rapporte l'association professionnelle, qui ont appelé dans une déclaration conjointe "à des ajustements pour soulager efficacement les PME et les start-up (...) des obligations de fournir des informations, de la documentation et des preuves de conformité".
Ainsi, l'association propose d'instaurer "un principe de proportionnalité en exonérant les start-up et petites entreprises de moins de 50 salariés" de la tenue d'un tel registre à condition qu'elles ne traitent pas des données comportant "un risque pour les droits et des libertés des personnes concernées".
Quelle articulation entre IA Act et RGPD ?
Alliance Digitale souhaite également que des précisions soient apportées sur l'articulation entre l'AI Act, proposition de règlement européen visant à encadrer l'intelligence artificielle, et le RGPD. Elle souhaite que "des lignes directrices" soient élaborées sur la limitation des finalités des traitements des données personnelles, l'importance accordée à l'intérêt légitime vis-à-vis du consentement, le principe de minimisation des données ainsi que la limitation de la durée de conservation "réduisant les possibilités d'entraînement". L'association souhaite ainsi s'assurer que les autorités nationales de protection des données partagent la même vision et qu'elles "n'interprètent pas ces enjeux au niveau national".
Au sujet des évolutions technologiques, Alliance Digitale souhaite aussi que le RGPD distingue les données anonymisées et des données pseudonymisées via des lignes directrices. Alors que l'anonymisation consiste à supprimer définitivement tout caractère identifiant à un ensemble de données, la pseudonymisation permet de traiter des données personnelles de manière à ce que l'on ne puisse plus attribuer les données à une personne physique identifiée sans information supplémentaire. La seconde méthode est réversible, contrairement à la première.
"Il est essentiel (...) que le niveau de risques (et donc d'obligations) associés à ces données soit modulé selon les possibilités réelles d'identification", écrit-elle. En effet, elle regrette que "ces deux types de données fondamentalement différentes [soient] considérées de la même manière par les autorités". A ce sujet, l'association rappelle l'amende de 40 millions d'euros prononcée contre Criteo par la Cnil en juin 2023. L'autorité n'a pas considéré "la pseudonymisation des données comme une circonstance atténuante lors de la fixation de l'amende" considérant "qu'une clé de déchiffrement existe et que la réidentification est donc théoriquement possible".
Stopper la "sur-précaution" du marché
Plus généralement, dans ses propositions, Alliance Digitale regrette l'effet de "sur-précaution" provoqué par le RGPD sur le marché "en raison des incertitudes encadrant la gestion et le traitement des données personnelles". Elle donne comme exemple les transferts de données vers des pays tiers, en particulier les Etats-Unis. "Nous remarquons que les autorités se fondent désormais davantage sur de potentielles infractions en ce qui concerne le transfert de données (...) que sur de véritables infractions observées", note-t-elle. Ce qui provoque un "niveau d'incertitude juridique (...) élevé pour les entreprises, même si elles agissent de bonne foi et dans le cadre de décisions européennes".
Ainsi, l'association propose pour "un retour à une approche fondée sur les niveaux de risques prévue par le RGPD en matière d'usage et de traitement de données personnelles". Cette vision aurait été "progressivement abandonnée au profit d'une vision suprotectrice, alors même que le niveau de risque réel n'existe pas toujours". De plus, le consentement, l'une des bases légales du RGPD, ne devrait plus être considéré comme "la meilleure garantie de la protection de la vie privée". L'intérêt légitime est qualifié de "vecteur d'innovation et de concurrence" et "sans pour autant diminuer le niveau de protection des données", écrivent les acteurs du marketing digital.
Cette proposition n'a rien de surprenant étant donné que l'intérêt légitime est la base légale la plus souple. Néanmoins, le recours à cette base légale, estime la Cnil, suppose que les intérêts poursuivis par l'organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.
Faire émerger une autorité européenne en charge du RGPD
Enfin, l'association professionnelle souhaite que les pouvoirs du Comité européen de la protection des données (CEPD) soient renforcés afin de "permettre l'émergence d'une véritable autorité indépendante européenne en charge du RGPD". Le but serait "d'harmoniser les décisions au niveau européen" afin "d'éviter les initiatives purement nationales" ainsi que "veiller à ce que les autorités nationales n'outrepassent pas les exigences du RGPD".
Sur la procédure, Alliance Digitale propose de rendre obligatoire l'anonymisation des acteurs visés par des procédures de mises en demeure par la Cnil. Celle-ci utiliserait cette procédure comme "un outil de communication, au détriment de l'acteur visé" alors même que "l'impact des agissements de l'entreprise sur les droits et libertés fondamentales des personnes est limité voire inexistant".
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
