{"id":17499,"date":"2025-05-29T13:39:26","date_gmt":"2025-05-29T11:39:26","guid":{"rendered":"https:\/\/www.dp-institute.eu\/gdpr-vereenvoudiging-dpo\/"},"modified":"2025-06-18T16:12:27","modified_gmt":"2025-06-18T14:12:27","slug":"gdpr-simplification-dpo","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/fr\/gdpr-simplification-dpo\/","title":{"rendered":"Simplification du RGPD &#8211; impact pour le DPD ?"},"content":{"rendered":"<p>Le 21 mai 2025, la Commission europ\u00e9enne a publi\u00e9 une <a href=\"https:\/\/single-market-economy.ec.europa.eu\/document\/download\/d88a75de-b620-4d8b-b85b-1656a9ba6b8a_en?filename=Proposal for a Regulation - Small mid-caps.pdf\" target=\"_blank\" rel=\"noopener nofollow\">proposition visant \u00e0 modifier le r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD)<\/a>. Cette proposition fait partie d&rsquo;un \u00ab\u00a0paquet Omnibus\u00a0\u00bb visant \u00e0 simplifier les r\u00e9glementations europ\u00e9ennes afin d&rsquo;accro\u00eetre la r\u00e9silience des petites et moyennes organisations. L&rsquo;accent est mis sur la r\u00e9duction des charges administratives r\u00e9sultant d&rsquo;une surr\u00e9glementation.<\/p>\n<p>Le registre des activit\u00e9s de traitement est un \u00e9l\u00e9ment cl\u00e9 de cette simplification. Ce registre oblige les organisations \u00e0 documenter syst\u00e9matiquement tous les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel. Dans l&rsquo;analyse ci-dessous, nous examinons l&rsquo;impact que les changements propos\u00e9s peuvent avoir sur le travail du DPD.<\/p>\n<h2>Le registre des activit\u00e9s de traitement tel qu&rsquo;il est \u00e9tabli aujourd&rsquo;hui<\/h2>\n<p>Afin de r\u00e9duire la charge administrative, le texte actuel du RGPD pr\u00e9voit une exception \u00e0 l&rsquo;obligation de tenir un registre des activit\u00e9s de traitement pour les organisations comptant moins de 250 employ\u00e9s. Celles-ci ne sont pas tenues d&rsquo;\u00e9tablir un registre, sauf si au moins une des trois conditions suivantes est remplie :<\/p>\n<ul>\n<li>le traitement est susceptible d&rsquo;engendrer un risque pour les droits et libert\u00e9s des personnes concern\u00e9es ;<\/li>\n<li>le traitement n&rsquo;est pas occasionnel ;<\/li>\n<li>le traitement porte sur des cat\u00e9gories particuli\u00e8res de donn\u00e9es \u00e0 caract\u00e8re personnel (article 9) ou sur des donn\u00e9es relatives \u00e0 des condamnations p\u00e9nales et \u00e0 des infractions (article 10).<\/li>\n<\/ul>\n<p>\u00c9tant donn\u00e9 qu&rsquo;il suffit qu&rsquo;une seule de ces conditions soit remplie pour qu&rsquo;un registre soit obligatoire pour <strong>tous <\/strong>les traitements, cette exception semble rarement s&rsquo;appliquer dans la pratique. Toutefois, des doutes subsistent quant \u00e0 l&rsquo;interpr\u00e9tation de ces r\u00e8gles, \u00e0 savoir s&rsquo;il n&rsquo;y a pas d&rsquo;obligation de registre dans ces cas, ou si le registre des activit\u00e9s de traitement dans les petites organisations est limit\u00e9 \u00e0 l&rsquo;ensemble des op\u00e9rations de traitement \u00e9num\u00e9r\u00e9es \u00e0 l&rsquo;article 30, paragraphe 5 (voir la <a href=\"https:\/\/www.edpb.europa.eu\/sme-data-protection-guide\/faq-frequently-asked-questions_en\" target=\"_blank\" rel=\"noopener nofollow\">FAQ de<\/a> l&rsquo;EDPB \u00e0 ce sujet et la <a href=\"https:\/\/ec.europa.eu\/newsroom\/article29\/items\/624045\" target=\"_blank\" rel=\"noopener nofollow\">publication du<\/a> groupe de travail \u00ab\u00a0Article 29\u00a0\u00bb (WP29)).<\/p>\n<h2>Que dit la r\u00e9cente proposition de la Commission ?<\/h2>\n<p>Tout d&rsquo;abord, la proposition de la Commission vise \u00e0 garantir que les entreprises de taille moyenne puissent \u00e9galement b\u00e9n\u00e9ficier des assouplissements pr\u00e9vus. \u00c0 cette fin, elle propose d&rsquo;introduire une d\u00e9finition des <strong>petites entreprises de taille moyenne (PME)<\/strong>, c&rsquo;est-\u00e0-dire des organisations comptant jusqu&rsquo;\u00e0 750 salari\u00e9s.<\/p>\n<p>En outre, la Commission propose d&rsquo;assouplir les trois conditions qui d\u00e9terminent actuellement si un registre de traitement est obligatoire. Cet ajustement devrait r\u00e9duire la n\u00e9cessit\u00e9 d&rsquo;un registre dans la pratique.<\/p>\n<p>D\u00e9sormais, un registre ne sera obligatoire que pour les entreprises ou organisations<\/p>\n<ul>\n<li>qui emploient 750 personnes ou plus <strong>ou<\/strong><\/li>\n<li>qui emploient moins de 750 personnes <strong>et<\/strong>\n<ul>\n<li>qui effectuent des traitements pr\u00e9sentant un <strong>\u00ab\u00a0<\/strong> risque <strong> \u00e9lev\u00e9<\/strong> pour les droits et libert\u00e9s des personnes physiques\u00a0\u00bb (en pratique : pour lesquels vous devez effectuer une AIPD en vertu de l&rsquo;article 35) <strong>, \u00e0 l&rsquo;exception des<\/strong> traitements relatifs au droit du travail et au droit de la s\u00e9curit\u00e9 sociale et de la protection sociale (9.2 (b))<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>En r\u00e9sum\u00e9, si vous \u00eates une organisation comptant moins de 750 employ\u00e9s, vous ne devrez bient\u00f4t tenir un registre des activit\u00e9s de traitement que <strong>si vous effectuez des traitements \u00e0 haut risque<\/strong> qui <strong>ne sont pas li\u00e9s \u00e0 des traitements l\u00e9gaux de gestion des ressources humaines<\/strong>.<\/p>\n<p>Notez que l&rsquo;exemption s&rsquo;applique aux \u00ab\u00a0entreprises ou <em>organisations<\/em>\u00ab\u00a0. La question se pose de savoir ce que l&rsquo;on entend par cette derni\u00e8re cat\u00e9gorie. Les agences gouvernementales sont-elles \u00e9galement des organisations ? Dans le contexte du paquet Omnibus, nous pourrions affirmer qu&rsquo;il s&rsquo;agit uniquement d&rsquo;organisations ayant une finalit\u00e9 commerciale.<\/p>\n<p>En effet, la Commission se r\u00e9f\u00e8re aux d\u00e9finitions des \u00ab\u00a0entreprises PME\/PMI\u00a0\u00bb, qui se r\u00e9f\u00e8rent \u00e0 des organisations ayant une activit\u00e9 \u00e9conomique. \u00c9tant donn\u00e9 que nous supposons qu&rsquo;en termes d&rsquo;obligations administratives, les autorit\u00e9s publiques ont peu d&rsquo;exclusions (voir \u00e9galement plus loin : les crit\u00e8res de nomination d&rsquo;un DPD), nous supposons dans cet article que les autorit\u00e9s publiques ne sont pas couvertes par l&rsquo;exemption.<\/p>\n<p>Pourquoi le DPD a-t-il besoin d&rsquo;un registre ?<\/p>\n<p>Un registre actualis\u00e9 et complet des activit\u00e9s de traitement constitue la base d&rsquo;une mission de contr\u00f4le efficace du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD). Avec un registre correctement rempli, le DPD peut non seulement mieux informer sur les obligations applicables, mais aussi fournir des conseils et une supervision plus cibl\u00e9s.<\/p>\n<p>Sans une vue d&rsquo;ensemble claire des traitements effectu\u00e9s au sein de l&rsquo;organisation, le DPD ne dispose pas du point de d\u00e9part n\u00e9cessaire pour \u00e9valuer le respect des r\u00e8gles du RGPD.<\/p>\n<p>Le registre est donc bien plus qu&rsquo;une obligation administrative : c&rsquo;est un outil strat\u00e9gique qui permet au DPD d&rsquo;identifier les risques, d&rsquo;\u00e9tablir des priorit\u00e9s et d&rsquo;effectuer des contr\u00f4les cibl\u00e9s.<\/p>\n<p>L&rsquo;EDPB souligne \u00e9galement l&rsquo;importance du registre dans la ligne directrice <a href=\"https:\/\/ec.europa.eu\/newsroom\/article29\/items\/612048\/en\" target=\"_blank\" rel=\"noopener nofollow\">wp243<\/a>. Elle indique explicitement que le registre est un outil essentiel pour permettre au DPD d&rsquo;exercer ses fonctions de supervision. Bien que la cr\u00e9ation et la tenue du registre ne rel\u00e8vent pas de la responsabilit\u00e9 formelle du DPD, elles doivent \u00eatre plac\u00e9es sous sa supervision. En ce sens, le registre constitue un outil essentiel de suivi, de conseil et de contr\u00f4le.<\/p>\n<p>Quel est l&rsquo;impact de la proposition sur le travail du DPD ?<\/p>\n<p>La simplification propos\u00e9e du RGPD n&rsquo;a que des <strong>effets indirects<\/strong> sur le fonctionnement du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD). En effet, la proposition de la Commission europ\u00e9enne ne modifie en rien les dispositions relatives \u00e0 la d\u00e9signation ou aux fonctions du DPD telles qu&rsquo;elles sont \u00e9nonc\u00e9es dans le RGPD actuel.<\/p>\n<p>Une cons\u00e9quence indirecte possible survient lorsqu&rsquo;un DPD doit \u00eatre d\u00e9sign\u00e9 dans un contexte o\u00f9 il n&rsquo;y a pas d&rsquo;obligation d&rsquo;\u00e9tablir un registre des activit\u00e9s de traitement. Comme expliqu\u00e9 pr\u00e9c\u00e9demment, ce registre est un outil essentiel pour permettre au DPD de s&rsquo;acquitter correctement de ses fonctions.<\/p>\n<p>Un DPD peut-il \u00eatre d\u00e9sign\u00e9 sans obligation d&rsquo;\u00e9tablir un registre ?<\/p>\n<h3>Que disent le texte du RGPD et la nouvelle proposition de la Commission.<\/h3>\n<p>L&rsquo;article 37 du RGPD stipule dans quels cas un DPD doit \u00eatre d\u00e9sign\u00e9 de mani\u00e8re obligatoire. Ainsi, un DPD est obligatoire lorsque les op\u00e9rations de traitement sont effectu\u00e9es par une autorit\u00e9 publique. Comme indiqu\u00e9 pr\u00e9c\u00e9demment, nous supposons dans cet article que les autorit\u00e9s publiques ne sont pas couvertes par l&rsquo;exemption pr\u00e9vue.<\/p>\n<p>Les deux autres cas o\u00f9 la d\u00e9signation d&rsquo;un DPD est obligatoire &#8211; \u00e0 savoir en cas de suivi syst\u00e9matique \u00e0 grande \u00e9chelle ou de traitement \u00e0 grande \u00e9chelle de donn\u00e9es sensibles (articles 9 et 10) &#8211; impliquent presque toujours un risque \u00e9lev\u00e9.<\/p>\n<p>Par cons\u00e9quent, dans la pratique, l&rsquo;obligation de tenir un registre reste en vigueur, le cas \u00e9ch\u00e9ant, quelle que soit la taille de l&rsquo;organisation. (note : nous discutons plus tard d&rsquo;une exception sp\u00e9cifique dans la proposition pour le traitement dans le cadre d&rsquo;une relation de travail).<\/p>\n<h3>Situations sp\u00e9cifiques en Belgique<\/h3>\n<p>En Belgique et en Flandre, cependant, une <strong>situation sp\u00e9cifique<\/strong> peut se pr\u00e9senter o\u00f9 un DPD doit \u00eatre d\u00e9sign\u00e9, alors qu&rsquo;il n&rsquo;y a pas d&rsquo;obligation d&rsquo;enregistrement. C&rsquo;est le cas des <strong>sous-traitants agissant pour le compte des autorit\u00e9s publiques<\/strong>. Selon les r\u00e9glementations flamandes et f\u00e9d\u00e9rales, en fonction du niveau, ces sous-traitants doivent toujours ou sous certaines conditions d\u00e9signer un DPD :<\/p>\n<ul>\n<li>En Flandre : si une autorit\u00e9 fait appel \u00e0 un sous-traitant, la d\u00e9signation d&rsquo;un DPD aupr\u00e8s de ce sous-traitant est n\u00e9cessaire<\/li>\n<li>En Belgique : les sous-traitants des autorit\u00e9s publiques d\u00e9signent un DPD <em>si le traitement de ces donn\u00e9es peut pr\u00e9senter un risque \u00e9lev\u00e9<\/em><\/li>\n<\/ul>\n<p>Ainsi, lorsqu&rsquo;un sous-traitant est une PME priv\u00e9e d\u00e9sign\u00e9e par une institution flamande, la d\u00e9signation d&rsquo;un DPD peut \u00eatre obligatoire, mais l&rsquo;obligation de registre ne s&rsquo;applique pas. En effet, les op\u00e9rations de traitement de la PME ne pr\u00e9sentent pas n\u00e9cessairement un risque \u00e9lev\u00e9. Dans ce cas, le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es doit, s&rsquo;il le souhaite, r\u00e9pertorier les activit\u00e9s de traitement d&rsquo;une autre mani\u00e8re, ou encore par le biais d&rsquo;un registre cr\u00e9\u00e9 volontairement.<\/p>\n<p>Exception article 9.2(b)<\/p>\n<p>Une deuxi\u00e8me situation d&rsquo;exception se pr\u00e9sente pour les organisations qui effectuent <strong>exclusivement des traitements \u00e0 haut risque dans le cadre de la gestion des ressources humaines<\/strong>, lorsque des cat\u00e9gories particuli\u00e8res de donn\u00e9es \u00e0 caract\u00e8re personnel sont trait\u00e9es en vertu de l&rsquo;exception pr\u00e9vue \u00e0 l&rsquo;article 9, paragraphe 2, point b). Dans ce cas, l&rsquo;organisation pourrait \u00eatre exempt\u00e9e de l&rsquo;obligation de tenir un registre, mais la d\u00e9signation d&rsquo;un DPD pourrait rester obligatoire.<\/p>\n<p>Toutefois, ces traitements doivent \u00eatre fond\u00e9s sur une l\u00e9gislation qui permet au l\u00e9gislateur de d\u00e9terminer si et dans quelles conditions ce sc\u00e9nario est possible. Les r\u00e9glementations nationales peuvent imposer des obligations suppl\u00e9mentaires.<\/p>\n<p>D\u00e9signation volontaire d&rsquo;un DPD<\/p>\n<p>Enfin, il existe une situation dans laquelle les organisations <strong>d\u00e9signent volontairement un DPD<\/strong>, par exemple parce qu&rsquo;elles traitent un grand nombre de donn\u00e9es \u00e0 caract\u00e8re personnel de leur personnel, m\u00eame si la d\u00e9signation d&rsquo;un DPD n&rsquo;est pas exig\u00e9e par la loi. Dans ce cas, l&rsquo;obligation de registre peut ne pas s&rsquo;appliquer. Compte tenu de ce qui pr\u00e9c\u00e8de, il est fortement recommand\u00e9 d&rsquo;\u00e9tablir un registre des activit\u00e9s de traitement. En effet, sans ce registre, le travail du DPD peut \u00eatre consid\u00e9rablement entrav\u00e9.<\/p>\n<p>L&rsquo;obligation de rendre compte ne concerne-t-elle que les traitements \u00e0 haut risque ?<\/p>\n<p>\u00c0 premi\u00e8re vue, la simplification propos\u00e9e semble donc avoir peu d&rsquo;impact sur le travail du DPD, \u00e0 quelques exceptions pr\u00e8s. Cependant, la simplification propos\u00e9e, selon laquelle une obligation administrative, bas\u00e9e sur le nombre d&#8217;employ\u00e9s, ne s&rsquo;appliquera qu&rsquo;aux op\u00e9rations de traitement \u00e0 haut risque, donne mati\u00e8re \u00e0 r\u00e9flexion.<\/p>\n<p>Tout d&rsquo;abord, une critique courante est que le nombre d&#8217;employ\u00e9s n&rsquo;est pas une mesure du risque qu&rsquo;une op\u00e9ration de transformation peut comporter. En outre, on peut noter qu&rsquo;un grand nombre d&rsquo;obligations administratives (y compris la pr\u00e9paration d&rsquo;un registre) pr\u00e9vues par le GDPR peuvent \u00eatre consid\u00e9r\u00e9es comme une mesure de diligence raisonnable qui, lorsqu&rsquo;elle est correctement g\u00e9r\u00e9e, garantit automatiquement la protection de la personne concern\u00e9e (dans le cas o\u00f9 le registre fournit une bonne vue d&rsquo;ensemble des op\u00e9rations de traitement).<\/p>\n<p>L&rsquo;\u00e9rosion de ces meilleures pratiques est consid\u00e9r\u00e9e par les critiques comme une \u00e9rosion du droit \u00e0 la protection des donn\u00e9es. Toutefois, les partisans de cet \u00ab\u00a0assouplissement\u00a0\u00bb feront \u00e9galement valoir qu&rsquo;un l\u00e9gislateur ne devrait que d\u00e9finir les limites et ne pas s&rsquo;impliquer dans l&rsquo;imposition des meilleures pratiques.<\/p>\n<p>Ce qui n&rsquo;a pas encore \u00e9t\u00e9 d\u00e9montr\u00e9, c&rsquo;est si l&rsquo;assouplissement pr\u00e9vu soulagera r\u00e9ellement (c&rsquo;est-\u00e0-dire en pratique) les petites et moyennes entreprises. En effet, on entend dire dans les couloirs que ces organisations n&rsquo;ont le plus souvent pas le registre requis par la loi. Le respect de la conformit\u00e9 exige non seulement des r\u00e8gles, mais aussi un contr\u00f4le strict.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le 21 mai 2025, la Commission europ\u00e9enne a publi\u00e9 une proposition visant \u00e0 modifier le r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD). Cette proposition fait partie d&rsquo;un \u00ab\u00a0paquet Omnibus\u00a0\u00bb visant \u00e0 simplifier les r\u00e9glementations europ\u00e9ennes afin d&rsquo;accro\u00eetre la r\u00e9silience des petites et moyennes organisations. L&rsquo;accent est mis sur la r\u00e9duction des charges administratives r\u00e9sultant [&hellip;]<\/p>\n","protected":false},"author":28,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[612],"tags":[],"class_list":["post-17499","post","type-post","status-publish","format-standard","hentry","category-dpo-fr"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/17499","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/comments?post=17499"}],"version-history":[{"count":3,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/17499\/revisions"}],"predecessor-version":[{"id":17506,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/17499\/revisions\/17506"}],"wp:attachment":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media?parent=17499"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/categories?post=17499"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/tags?post=17499"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}