Loi omnibus : l'allègement du RGPD se précise

L'article 30 du RGPD n'existera peut-être bientôt plus sous sa forme actuelle.

Imposant la tenue de registres des activités de traitement de données personnelles, il pourrait faire l'objet d'un amendement dans le cadre des "paquets omnibus".

Avec ces trains de mesures de simplification, la Commission européenne entend "réduire d'au moins 25 % le fardeau administratif" d'ici à la fin de son mandat. Elle en a déjà annoncé deux. L'un assouplit des exigences de reporting extra-financier (report de l'entrée en application de la CS3D et de certaines dispositions de la CSRD, réduction du champ d'application de cette dernière, limitation des obligations de due diligence, abandon de normes sectorielles, etc.). L'autre applique la même logique aux règlements InvestEU et EFSI, dans le but de stimuler les investissements stratégiques.

Trois autres trains de mesure sont pour le moment à l'agenda. Respectivement pour l'agriculture, la défense... et une nouvelle catégorie d'entités dites "small mid-caps". En l'occurrence, les organismes comptant entre 250 et 500 employés.

Aux dernières nouvelles, l'annonce de l'omnibus ciblant ces organismes est prévue pour le 21 mai 2025. Il englobera le RGPD, comme l'avait confirmé, mi-mars, Michael McGrath, commissaire européen à la démocratie, à la justice et à l'État de droit.

Vers une exemption de registre pour certains traitements routiniers

Il est prévu un amendement ciblé sur le paragraphe 5 de l'article 30. En l'état, il permet aux entreprises et aux organisations de moins de 250 de se soustraire de l'obligation de tenir un registre de leurs activités des traitements. Sauf pour ceux :

• Susceptibles de comporter un risque pour les droits et des libertés des personnes concernées
• Non occasionnels
• Qui portent sur les catégories particulières de données visées à l'article 9(1) ou sur des données personnelles relatives à des condamnations pénales visées à l'article 10

La Commission européenne compterait relever le seuil à 500 employés, dans la limite d'un certain chiffre d'affaires. La dérogation serait assouplie en parallèle, par la suppression des exceptions relatives aux traitements non occasionnels et aux catégories particulières de données.

C'est en tout cas ainsi que l'entendent l'EDPB (Comité européen de la protection des données) et l'EDPS (Contrôleur européen de la protection des données). La lettre que Bruxelles leur a adressée début mai est explicite sur le premier point, estiment-is. Pas sur le deuxième, mais les considérants vont dans ce sens, en ce qu'ils apparaissent restrictifs. Ils prévoient en l'occurrence ne pas limiter la dérogation... dans des cas bien spécifiques : si le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale.

À ce stade, EDPB et EDPS "peuvent exprimer leur soutien" à cette initiative. Ils suggèrent toutefois, pour mieux évaluer l'impact, de comprendre, entre autres, combien d'entités en bénéficieraient, et avec quels effets sur la protection des données personnelles. Ils se satisfont que soit conservée l'exception à la dérogation pour les traitements porteurs de risques.

Illustration générée par IA