RGPD : vers des simplifications ?
Le RGPD impose aux entreprises de tenir un registre de leurs activités de traitement. Les entreprises de moins de 250 salariés sont déjà censées bénéficier d’une exception à cette obligation mais celle-ci est très limitée : elle ne concerne que les traitements « occasionnels ». Pour ainsi dire… aucun.
Le 6 mai 2025, la Commission européenne a sollicité l’EDPB (European Data Protection Board) et l’EDPS (European Data Protection Supervisor) sur un projet de modification du RGPD pour dispenser de tenue d’un registre des traitements les entreprises et organisations de moins de 500 salariés et dont le chiffre d’affaires est inférieur à certains seuils. Cette exception à la tenue du registre ne s’appliquerait pas aux traitements présentant un risque élevé pour les droits et libertés des personnes.
Dans leur réponse conjointe du 8 mai 2025, l’EDPB et l’EDPS expriment un soutien « préliminaire » à cette simplification. Elles appellent toutefois la Commission à évaluer l’impact concret de cette mesure, notamment en identifiant le nombre d’acteurs concernés et les effets potentiels sur la protection des données.
Cette simplification devrait faire partie des dispositions de la 4ème directive « Omnibus » qui doit être prochainement adoptée.
Les autres obligations des entreprises posées par le RGPD ne seraient pas affectées. On peut dès lors s’interroger sur l’intérêt de cette « simplification ». En effet, il est difficile d’assurer sa conformité au RGPD sans faire l’inventaire de ses traitements de données personnelles…
