La Commission européenne souhaite alléger les obligations du Règlement général sur la protection des données (RGPD) pour les entreprises de moins de 500 employés. Serait notamment concernée l'obligation de tenue d'un registre des activités de traitement, un document interne qui recense toutes les activités de traitement de données personnelles d'une organisation. Il s'agit d'un outil essentiel pour démontrer la conformité au RGPD, faciliter la gestion des données et améliorer la transparence.
Un soutien préliminaire
Dans un courrier daté du 8 mai 2025, le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (EDPS) ont rendu un avis conjoint sur cette proposition. Ils expriment "un soutien préliminaire à cette initiative de simplification ciblée", à condition que cela ne remette pas en cause l’obligation pour les responsables du traitement et les sous-traitants de se conformer aux autres exigences du RGPD, écrivent Anu Talus, présidente de l'EDPB, et Wojciech Wiewiórowski, contrôleur européen de la protection des données.
La proposition de simplification doit être présentée par l'exécutif européen ce mois de mai dans le cadre du quatrième train de mesures. Plus précisément, c'est l'article 30 (5) du RGPD qui pourrait être modifié. Il prévoit, initialement, que les entreprises de moins de 250 salariés de l’obligation de tenir un registre de leurs traitements de données. La Commission souhaite étendre cette dérogation aux entreprises comptant jusqu'à 500 employés, ainsi qu'organisations à but non lucratif de taille similaire.
Par ailleurs, la Commission envisage de modifier cet article afin de préciser que la dérogation ne s’appliquerait pas si le traitement est "susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques", alors que la disposition actuelle fait référence à un traitement "susceptible d’engendrer un risque".
La nécessité d'une évaluation d’impact du projet
Dans leur courrier, les deux autorités européennes responsables de la protection des données estiment qu'il serait nécessaire de connaître le nombre d'entreprises et d'organisations affectées par ce changement. Elles plaident également pour la réalisation d'une analyse par la Commission européenne. L'objectif est "d'évaluer si la projet de proposition assure un équilibre équitable entre la protection des données personnelles et les intérêts des organisations de moins de 500 salariés".
Les autorités rappellent également que même en étant de petite taille, certaines entreprises traitent des données particulièrement sensibles. "Il est donc crucial de maintenir une approche fondée sur le risque", jugent-elles. Après la publication de la proposition législative, elles pourront participer à une consultation formelle.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
