{"id":17499,"date":"2025-05-29T13:39:26","date_gmt":"2025-05-29T11:39:26","guid":{"rendered":"https:\/\/www.dp-institute.eu\/gdpr-vereenvoudiging-dpo\/"},"modified":"2025-06-18T16:12:27","modified_gmt":"2025-06-18T14:12:27","slug":"gdpr-simplification-dpo","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/fr\/gdpr-simplification-dpo\/","title":{"rendered":"Simplification du RGPD – impact pour le DPD ?"},"content":{"rendered":"
Le 21 mai 2025, la Commission europ\u00e9enne a publi\u00e9 une proposition visant \u00e0 modifier le r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD)<\/a>. Cette proposition fait partie d’un \u00ab\u00a0paquet Omnibus\u00a0\u00bb visant \u00e0 simplifier les r\u00e9glementations europ\u00e9ennes afin d’accro\u00eetre la r\u00e9silience des petites et moyennes organisations. L’accent est mis sur la r\u00e9duction des charges administratives r\u00e9sultant d’une surr\u00e9glementation.<\/p>\n Le registre des activit\u00e9s de traitement est un \u00e9l\u00e9ment cl\u00e9 de cette simplification. Ce registre oblige les organisations \u00e0 documenter syst\u00e9matiquement tous les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel. Dans l’analyse ci-dessous, nous examinons l’impact que les changements propos\u00e9s peuvent avoir sur le travail du DPD.<\/p>\n Afin de r\u00e9duire la charge administrative, le texte actuel du RGPD pr\u00e9voit une exception \u00e0 l’obligation de tenir un registre des activit\u00e9s de traitement pour les organisations comptant moins de 250 employ\u00e9s. Celles-ci ne sont pas tenues d’\u00e9tablir un registre, sauf si au moins une des trois conditions suivantes est remplie :<\/p>\n \u00c9tant donn\u00e9 qu’il suffit qu’une seule de ces conditions soit remplie pour qu’un registre soit obligatoire pour tous <\/strong>les traitements, cette exception semble rarement s’appliquer dans la pratique. Toutefois, des doutes subsistent quant \u00e0 l’interpr\u00e9tation de ces r\u00e8gles, \u00e0 savoir s’il n’y a pas d’obligation de registre dans ces cas, ou si le registre des activit\u00e9s de traitement dans les petites organisations est limit\u00e9 \u00e0 l’ensemble des op\u00e9rations de traitement \u00e9num\u00e9r\u00e9es \u00e0 l’article 30, paragraphe 5 (voir la FAQ de<\/a> l’EDPB \u00e0 ce sujet et la publication du<\/a> groupe de travail \u00ab\u00a0Article 29\u00a0\u00bb (WP29)).<\/p>\n Tout d’abord, la proposition de la Commission vise \u00e0 garantir que les entreprises de taille moyenne puissent \u00e9galement b\u00e9n\u00e9ficier des assouplissements pr\u00e9vus. \u00c0 cette fin, elle propose d’introduire une d\u00e9finition des petites entreprises de taille moyenne (PME)<\/strong>, c’est-\u00e0-dire des organisations comptant jusqu’\u00e0 750 salari\u00e9s.<\/p>\n En outre, la Commission propose d’assouplir les trois conditions qui d\u00e9terminent actuellement si un registre de traitement est obligatoire. Cet ajustement devrait r\u00e9duire la n\u00e9cessit\u00e9 d’un registre dans la pratique.<\/p>\n D\u00e9sormais, un registre ne sera obligatoire que pour les entreprises ou organisations<\/p>\n En r\u00e9sum\u00e9, si vous \u00eates une organisation comptant moins de 750 employ\u00e9s, vous ne devrez bient\u00f4t tenir un registre des activit\u00e9s de traitement que si vous effectuez des traitements \u00e0 haut risque<\/strong> qui ne sont pas li\u00e9s \u00e0 des traitements l\u00e9gaux de gestion des ressources humaines<\/strong>.<\/p>\n Notez que l’exemption s’applique aux \u00ab\u00a0entreprises ou organisations<\/em>\u00ab\u00a0. La question se pose de savoir ce que l’on entend par cette derni\u00e8re cat\u00e9gorie. Les agences gouvernementales sont-elles \u00e9galement des organisations ? Dans le contexte du paquet Omnibus, nous pourrions affirmer qu’il s’agit uniquement d’organisations ayant une finalit\u00e9 commerciale.<\/p>\n En effet, la Commission se r\u00e9f\u00e8re aux d\u00e9finitions des \u00ab\u00a0entreprises PME\/PMI\u00a0\u00bb, qui se r\u00e9f\u00e8rent \u00e0 des organisations ayant une activit\u00e9 \u00e9conomique. \u00c9tant donn\u00e9 que nous supposons qu’en termes d’obligations administratives, les autorit\u00e9s publiques ont peu d’exclusions (voir \u00e9galement plus loin : les crit\u00e8res de nomination d’un DPD), nous supposons dans cet article que les autorit\u00e9s publiques ne sont pas couvertes par l’exemption.<\/p>\n Pourquoi le DPD a-t-il besoin d’un registre ?<\/p>\n Un registre actualis\u00e9 et complet des activit\u00e9s de traitement constitue la base d’une mission de contr\u00f4le efficace du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD). Avec un registre correctement rempli, le DPD peut non seulement mieux informer sur les obligations applicables, mais aussi fournir des conseils et une supervision plus cibl\u00e9s.<\/p>\n Sans une vue d’ensemble claire des traitements effectu\u00e9s au sein de l’organisation, le DPD ne dispose pas du point de d\u00e9part n\u00e9cessaire pour \u00e9valuer le respect des r\u00e8gles du RGPD.<\/p>\n Le registre est donc bien plus qu’une obligation administrative : c’est un outil strat\u00e9gique qui permet au DPD d’identifier les risques, d’\u00e9tablir des priorit\u00e9s et d’effectuer des contr\u00f4les cibl\u00e9s.<\/p>\nLe registre des activit\u00e9s de traitement tel qu’il est \u00e9tabli aujourd’hui<\/h2>\n
\n
Que dit la r\u00e9cente proposition de la Commission ?<\/h2>\n
\n
\n