Simplification du RGPD – impact pour le DPD ?

Date
29.05.2025

Le 21 mai 2025, la Commission européenne a publié une proposition visant à modifier le règlement général sur la protection des données (RGPD). Cette proposition fait partie d’un « paquet Omnibus » visant à simplifier les réglementations européennes afin d’accroître la résilience des petites et moyennes organisations. L’accent est mis sur la réduction des charges administratives résultant d’une surréglementation.

Le registre des activités de traitement est un élément clé de cette simplification. Ce registre oblige les organisations à documenter systématiquement tous les traitements de données à caractère personnel. Dans l’analyse ci-dessous, nous examinons l’impact que les changements proposés peuvent avoir sur le travail du DPD.

Le registre des activités de traitement tel qu’il est établi aujourd’hui

Afin de réduire la charge administrative, le texte actuel du RGPD prévoit une exception à l’obligation de tenir un registre des activités de traitement pour les organisations comptant moins de 250 employés. Celles-ci ne sont pas tenues d’établir un registre, sauf si au moins une des trois conditions suivantes est remplie :

  • le traitement est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées ;
  • le traitement n’est pas occasionnel ;
  • le traitement porte sur des catégories particulières de données à caractère personnel (article 9) ou sur des données relatives à des condamnations pénales et à des infractions (article 10).

Étant donné qu’il suffit qu’une seule de ces conditions soit remplie pour qu’un registre soit obligatoire pour tous les traitements, cette exception semble rarement s’appliquer dans la pratique. Toutefois, des doutes subsistent quant à l’interprétation de ces règles, à savoir s’il n’y a pas d’obligation de registre dans ces cas, ou si le registre des activités de traitement dans les petites organisations est limité à l’ensemble des opérations de traitement énumérées à l’article 30, paragraphe 5 (voir la FAQ de l’EDPB à ce sujet et la publication du groupe de travail « Article 29 » (WP29)).

Que dit la récente proposition de la Commission ?

Tout d’abord, la proposition de la Commission vise à garantir que les entreprises de taille moyenne puissent également bénéficier des assouplissements prévus. À cette fin, elle propose d’introduire une définition des petites entreprises de taille moyenne (PME), c’est-à-dire des organisations comptant jusqu’à 750 salariés.

En outre, la Commission propose d’assouplir les trois conditions qui déterminent actuellement si un registre de traitement est obligatoire. Cet ajustement devrait réduire la nécessité d’un registre dans la pratique.

Désormais, un registre ne sera obligatoire que pour les entreprises ou organisations

  • qui emploient 750 personnes ou plus ou
  • qui emploient moins de 750 personnes et
    • qui effectuent des traitements présentant un «  risque élevé pour les droits et libertés des personnes physiques » (en pratique : pour lesquels vous devez effectuer une AIPD en vertu de l’article 35) , à l’exception des traitements relatifs au droit du travail et au droit de la sécurité sociale et de la protection sociale (9.2 (b))

En résumé, si vous êtes une organisation comptant moins de 750 employés, vous ne devrez bientôt tenir un registre des activités de traitement que si vous effectuez des traitements à haut risque qui ne sont pas liés à des traitements légaux de gestion des ressources humaines.

Notez que l’exemption s’applique aux « entreprises ou organisations« . La question se pose de savoir ce que l’on entend par cette dernière catégorie. Les agences gouvernementales sont-elles également des organisations ? Dans le contexte du paquet Omnibus, nous pourrions affirmer qu’il s’agit uniquement d’organisations ayant une finalité commerciale.

En effet, la Commission se réfère aux définitions des « entreprises PME/PMI », qui se réfèrent à des organisations ayant une activité économique. Étant donné que nous supposons qu’en termes d’obligations administratives, les autorités publiques ont peu d’exclusions (voir également plus loin : les critères de nomination d’un DPD), nous supposons dans cet article que les autorités publiques ne sont pas couvertes par l’exemption.

Pourquoi le DPD a-t-il besoin d’un registre ?

Un registre actualisé et complet des activités de traitement constitue la base d’une mission de contrôle efficace du délégué à la protection des données (DPD). Avec un registre correctement rempli, le DPD peut non seulement mieux informer sur les obligations applicables, mais aussi fournir des conseils et une supervision plus ciblés.

Sans une vue d’ensemble claire des traitements effectués au sein de l’organisation, le DPD ne dispose pas du point de départ nécessaire pour évaluer le respect des règles du RGPD.

Le registre est donc bien plus qu’une obligation administrative : c’est un outil stratégique qui permet au DPD d’identifier les risques, d’établir des priorités et d’effectuer des contrôles ciblés.

L’EDPB souligne également l’importance du registre dans la ligne directrice wp243. Elle indique explicitement que le registre est un outil essentiel pour permettre au DPD d’exercer ses fonctions de supervision. Bien que la création et la tenue du registre ne relèvent pas de la responsabilité formelle du DPD, elles doivent être placées sous sa supervision. En ce sens, le registre constitue un outil essentiel de suivi, de conseil et de contrôle.

Quel est l’impact de la proposition sur le travail du DPD ?

La simplification proposée du RGPD n’a que des effets indirects sur le fonctionnement du délégué à la protection des données (DPD). En effet, la proposition de la Commission européenne ne modifie en rien les dispositions relatives à la désignation ou aux fonctions du DPD telles qu’elles sont énoncées dans le RGPD actuel.

Une conséquence indirecte possible survient lorsqu’un DPD doit être désigné dans un contexte où il n’y a pas d’obligation d’établir un registre des activités de traitement. Comme expliqué précédemment, ce registre est un outil essentiel pour permettre au DPD de s’acquitter correctement de ses fonctions.

Un DPD peut-il être désigné sans obligation d’établir un registre ?

Que disent le texte du RGPD et la nouvelle proposition de la Commission.

L’article 37 du RGPD stipule dans quels cas un DPD doit être désigné de manière obligatoire. Ainsi, un DPD est obligatoire lorsque les opérations de traitement sont effectuées par une autorité publique. Comme indiqué précédemment, nous supposons dans cet article que les autorités publiques ne sont pas couvertes par l’exemption prévue.

Les deux autres cas où la désignation d’un DPD est obligatoire – à savoir en cas de suivi systématique à grande échelle ou de traitement à grande échelle de données sensibles (articles 9 et 10) – impliquent presque toujours un risque élevé.

Par conséquent, dans la pratique, l’obligation de tenir un registre reste en vigueur, le cas échéant, quelle que soit la taille de l’organisation. (note : nous discutons plus tard d’une exception spécifique dans la proposition pour le traitement dans le cadre d’une relation de travail).

Situations spécifiques en Belgique

En Belgique et en Flandre, cependant, une situation spécifique peut se présenter où un DPD doit être désigné, alors qu’il n’y a pas d’obligation d’enregistrement. C’est le cas des sous-traitants agissant pour le compte des autorités publiques. Selon les réglementations flamandes et fédérales, en fonction du niveau, ces sous-traitants doivent toujours ou sous certaines conditions désigner un DPD :

  • En Flandre : si une autorité fait appel à un sous-traitant, la désignation d’un DPD auprès de ce sous-traitant est nécessaire
  • En Belgique : les sous-traitants des autorités publiques désignent un DPD si le traitement de ces données peut présenter un risque élevé

Ainsi, lorsqu’un sous-traitant est une PME privée désignée par une institution flamande, la désignation d’un DPD peut être obligatoire, mais l’obligation de registre ne s’applique pas. En effet, les opérations de traitement de la PME ne présentent pas nécessairement un risque élevé. Dans ce cas, le délégué à la protection des données doit, s’il le souhaite, répertorier les activités de traitement d’une autre manière, ou encore par le biais d’un registre créé volontairement.

Exception article 9.2(b)

Une deuxième situation d’exception se présente pour les organisations qui effectuent exclusivement des traitements à haut risque dans le cadre de la gestion des ressources humaines, lorsque des catégories particulières de données à caractère personnel sont traitées en vertu de l’exception prévue à l’article 9, paragraphe 2, point b). Dans ce cas, l’organisation pourrait être exemptée de l’obligation de tenir un registre, mais la désignation d’un DPD pourrait rester obligatoire.

Toutefois, ces traitements doivent être fondés sur une législation qui permet au législateur de déterminer si et dans quelles conditions ce scénario est possible. Les réglementations nationales peuvent imposer des obligations supplémentaires.

Désignation volontaire d’un DPD

Enfin, il existe une situation dans laquelle les organisations désignent volontairement un DPD, par exemple parce qu’elles traitent un grand nombre de données à caractère personnel de leur personnel, même si la désignation d’un DPD n’est pas exigée par la loi. Dans ce cas, l’obligation de registre peut ne pas s’appliquer. Compte tenu de ce qui précède, il est fortement recommandé d’établir un registre des activités de traitement. En effet, sans ce registre, le travail du DPD peut être considérablement entravé.

L’obligation de rendre compte ne concerne-t-elle que les traitements à haut risque ?

À première vue, la simplification proposée semble donc avoir peu d’impact sur le travail du DPD, à quelques exceptions près. Cependant, la simplification proposée, selon laquelle une obligation administrative, basée sur le nombre d’employés, ne s’appliquera qu’aux opérations de traitement à haut risque, donne matière à réflexion.

Tout d’abord, une critique courante est que le nombre d’employés n’est pas une mesure du risque qu’une opération de transformation peut comporter. En outre, on peut noter qu’un grand nombre d’obligations administratives (y compris la préparation d’un registre) prévues par le GDPR peuvent être considérées comme une mesure de diligence raisonnable qui, lorsqu’elle est correctement gérée, garantit automatiquement la protection de la personne concernée (dans le cas où le registre fournit une bonne vue d’ensemble des opérations de traitement).

L’érosion de ces meilleures pratiques est considérée par les critiques comme une érosion du droit à la protection des données. Toutefois, les partisans de cet « assouplissement » feront également valoir qu’un législateur ne devrait que définir les limites et ne pas s’impliquer dans l’imposition des meilleures pratiques.

Ce qui n’a pas encore été démontré, c’est si l’assouplissement prévu soulagera réellement (c’est-à-dire en pratique) les petites et moyennes entreprises. En effet, on entend dire dans les couloirs que ces organisations n’ont le plus souvent pas le registre requis par la loi. Le respect de la conformité exige non seulement des règles, mais aussi un contrôle strict.

Date
29.05.2025

Dernières nouvelles

default-image
Bilan du Privacy Café : discussions sur la coopération, la certification et les cookies
default-image
CPDP 2025 : le tout premier programme de formation pour les DPD établit une nouvelle norme en matière de leadership dans le domaine de la protection de la vie privée
default-image
CPDP lance sa toute première piste DPO
DPO in the spotlight: Regine Van Ackere

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Inscrire