Simplifier le RGPD : une fausse bonne idée ?

La Commission européenne propose d’étendre certaines mesures d’atténuation, initialement réservées aux petites et moyennes entreprises (PME), aux entreprises de taille intermédiaire, définies comme ayant moins de 750 employés et un chiffre d’affaires inférieur à 150 M€. « Le vrai sujet, ne réside pas tant dans le nombre de salariés, mais dans le niveau de risque généré par le traitement des données. Le critère matériel est important. Si l’activité principale d’une entreprise est centrée sur le traitement des données à caractères personnelles, alors nous pouvons en déduire que le risque est plus élevé. Mais aujourd’hui, qui est capable de définir concrètement ce risque ? », commente Alan Walter, associé en IP/IT du cabinet d’avocats Walter Billet. 

Parmi les modifications envisagées, l’assouplissement de l’article 30 du RGPD, relatif à l’obligation de tenir un registre des activités de traitement. Actuellement, seules les entités de moins de 250 employés sont exemptées de cette obligation, et uniquement pour les traitements occasionnels. Le projet propose d’étendre cette exemption aux entreprises de moins de 750 employés, pour tous les traitements ne comportant pas un risque élevé pour les droits et libertés des personnes concernées. Alan Walter commente : « le registre des activités de traitement présente un intérêt fondamental : il oblige à une autoévaluation et une autocritique, qu’il est cependant nécessaire de mener régulièrement. C’est un outil de conformité précieux, que je recommande toujours à mes clients, même quand ce n’est pas une obligation ».

Des réserves exprimées de toute part

Le projet de texte de la Commission emporte donc les critiques. L’AFCDP, association regroupant plus de 6 000 professionnels de la conformité au RGPD, exprime de vives préoccupations. Elle estime que ce projet de règlement pourrait affaiblir la protection des données personnelles et les droits des individus. Elle souligne que la tenue d’un registre des traitements est un outil essentiel pour les Délégués à la Protection des Données (DPO), leur permettant d’exercer efficacement leur rôle de conseil et de contrôle. « Ce registre est une pierre angulaire de la gouvernance des données. Le supprimer revient à priver les DPO de leur principal outil de travail », alerte l’AFCDP, soulignant qu’un tel allègement rendrait la supervision et le conseil du DPO beaucoup plus difficiles. Dans le dernier baromètre AFCDP, qui a recueilli 312 réponses de professionnels membres et non membres de l’AFCDP début mai 2025, les DPD/DPO et autres professionnels de la protection des données se sont très majoritairement montrés opposés (48 %). Pour beaucoup, si simplification il doit y avoir, elle devrait viser d’autres aspects plus contraignants, comme la lourdeur des analyses d’impact (AIPD), et non le cœur du dispositif de gouvernance. 

Côté ONG, le projet ne laisse pas non plus indifférent. Dans plus de 100 ONG, universitaires, syndicats et experts œuvrant pour la protection des droits et libertés des personnes réunis par l’organisation EDRi, ont publié le 19 mai 2025 une lettre ouverte dans laquelle ils expriment leur préoccupation et appelle la Commission à « rejeter toute réouverture du RGPD et réaffirmer son intégrité en tant que fondement du droit numérique de l’UE ».

Même prudence du côté des institutions européennes. Dans un avis conjoint publié le 8 mai dernier, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (EDPS) ont souligné la nécessité « de mieux évaluer l’impact sur les organisations concernées par cette modification, afin de déterminer si le projet de proposition garantit un équilibre proportionné et équitable entre la protection des données à caractère personnel et les intérêts des organisations de moins de 500 employés ». 

Pour Alan Walter, « Le RGPD est souvent vu comme une contrainte, mais il peut devenir un élément différenciateur, une marque de qualité. C’est un moyen de valoriser un service respectueux des données ». Il ajoute : « Ce projet de simplification n’envoie pas un bon signal. La protection du consommateur, c’est vertueux. Ce n’est pas le bon moment pour édulcorer ce cadre ». Il rappelle d’ailleurs que le RGPD a inspiré d’autres législations, notamment en Californie ou au Royaume-Uni. « C’est un socle solide qu’il faut préserver », conclut l’avocat.

Qu’en est-il de la CNIL ? 

Paradoxalement, alors que la Commission européenne envisage de simplifier certaines obligations du RGPD, la CNIL (Commission nationale de l’informatique et des libertés) semblait ces dernières années intensifier, quant à elle, ses actions de contrôle et de sanction. Selon la troisième édition de « L’observatoire des sanctions CNIL » publié par le cabinet Walter Billet Avocats, en portant à 150 le nombre de sanctions prononcées entre 2022 et 2024 (dont 87 l’an dernier pour un montant total de 55,2 M€), la CNIL démontre une nouvelle fois sa volonté de traquer tout manquement aux dispositions régissant le traitement des données à caractère personnel. Mais depuis le début de l’année, on observe une baisse notable du nombre de sanctions prononcées, ou du moins une communication bien plus discrète autour de celles-ci, et des amendes moins élevées. Cela s’explique notamment par le succès de la procédure simplifiée créée en avril 2022 et dont la peine maximale s’établit à 20 000 € d’amende. Si dix sanctions ont été recensées depuis janvier, une seule a été rendue publique, pour un montant de 80 000 €. Début janvier 2025, la CNIL a en outre procédé à une réorganisation interne en créant deux directions distinctes, dédiées à l’exercice des droits et des plaintes, d’une part, et aux contrôles et sanctions, d’autre part.