Bruxelles, le 9 juillet 2025 – Le comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont publié aujourd’hui un avis conjoint sur la proposition de règlement de la Commission européenne modifiant certains règlements, dont le RGPD.
La proposition, qui fait partie du quatrième règlement omnibus sur la simplification, vise à simplifier les règles de l’UE et à réduire la charge administrative, en étendant certaines mesures d’atténuation disponibles pour les petites et moyennes entreprises (PME) aux petites entreprises à moyenne capitalisation (PME), et comprend de nouvelles mesures de simplification.
La proposition vise à modifier l’article 30, paragraphe 5, du RGPD, en prévoyant une dérogation à l’obligation de tenir un registre des opérations de traitement des données. Actuellement, cette dérogation ne s'applique qu'aux entreprises et organisations de moins de 250 salariés, sauf dans certains cas. En vertu de la proposition, la dérogation s’appliquerait à une entreprise ou organisation employant moins de 750 personnes, à moins que l’opération de traitement effectuée ne soit susceptible d’entraîner un risque élevé pour les droits et libertés des personnes, au sens de l’article 35 du RGPD.
En outre, la proposition introduit une définition des PME et des PSM à l’article 4 du RGPD et étend le champ d’application de l’article 40, paragraphe 1, et de l’article 42, paragraphe 1, du RGPD aux PSM, qui font référence aux codes de conduite et à la certification. Ces outils sont actuellement conçus pour aider les entreprises et les organisations à démontrer leur conformité au RGPD en se concentrant sur les besoins spécifiques des PME.
Wojciech Wiewiórowski, CEPD, a déclaré: «Nous soutenons l’objectif général de la proposition visant à réduire la charge administrative pesant sur les PME et les PME, pour autant que cela ne réduise pas la protection des droits fondamentaux des personnes, en particulier le droit au respect de la vie privée et le droit à la protection des données à caractère personnel. À cette fin, nous nous félicitons que les modifications proposées visant à simplifier et à clarifier l’obligation de tenir un registre des traitements soient ciblées et limitées par nature, et n’aient pas d’incidence sur les principes fondamentaux et les autres obligations au titre du RGPD».
Anu Talus, président du comité européen de la protection des données, a déclaré: «L’EDPB soutient l’objectif général de la proposition de réduire la charge administrative pesant sur les PME et les PME et de veiller à ce que, dans la pratique, elles puissent bénéficier d’une dérogation à l’obligation de tenir des registres des activités de traitement. La dérogation actuelle n'a pas toujours atteint son objectif. Dans le même temps, l'enregistrement des activités de traitement est un outil utile pour soutenir le respect d'autres obligations, telles que celle de transparence ou pour donner effet aux droits des personnes concernées. La simplification offrira une plus grande flexibilité aux PME et aux PME pour choisir la méthode la plus appropriée pour être conformes.»
En ce qui concerne les organisations faisant l’objet de la dérogation, étant donné que la proposition a une incidence sur la législation dans d’autres domaines d’action, l’EDPB et le CEPD attendent des précisions supplémentaires sur les raisons pour lesquelles le nouveau seuil d’entreprises ou d’organisations employant moins de 750 personnes serait plus approprié en vertu du RGPD, plutôt que le seuil de 500 employés initialement envisagé. En outre, la nouvelle exemption de l’article 30, paragraphe 5, fait référence aux «entreprises employant moins de 750 salariés» sans faire référence aux nouvelles définitions des PME et des PME, qui comprennent également des critères financiers. Afin de garantir que l’exemption bénéficiera aux PME et aux PME, l’EDPB et l’avis conjoint du CEPD recommandent de se référer aux définitions nouvellement introduites des PME et des PME.
L’EDPB et le CEPD demandent également aux colégislateurs de préciser dans la proposition que le terme «organisation», qui relève du champ d’application de la dérogation proposée au titre de l’article 30, paragraphe 5, du RGPD, n’inclut pas les autorités et organismes publics.
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.