PROTECTION DES DONNÉES : VERS UN ALLÉGEMENT DES OBLIGATIONS EN FAVEUR DESENTREPRISES DE TAILLE INTERMEDIAIRE

Poursuivant sa stratégie de développement du marché unique, la Commission européenne a présenté, le 21 mai 2025, une proposition visant à simplifier la mise en conformité des entreprises de moins de 750 salariés avec le règlement général sur la protection des données (« RGPD »), en allégeant leur obligation de tenir un registre de leurs activités de traitement de données personnelles (COM(2025)501 - Proposal for a Regulation of the European Parliament and of the Council amending Regula5ons (EU) 2016/679, (EU) 2016/1036, (EU) 2016/1037, (EU) 2017/1129, (EU) 2023/1542 and (EU) 2024/573).

Dans le cadre du paquet de mesures de simplification « Omnibus IV » destiné à favoriser la compétitivité et l’accessibilité du marché unique, la Commission européenne a proposé la création d’une nouvelle catégorie d’entreprises : les « petites entreprises à moyenne capitalisation » (entre 250 et 750 salariés), situées entre les petites et moyennes entreprises (PME) et les grandes entreprises.

Dans ce contexte, la Commission européenne a notamment proposé, en mai dernier, d’étendre le seuil d’exemption de l’obligation de tenue de registres des traitements à l’ensemble des organismes de moins de 750 employés.

Pour rappel, l’article 30 paragraphe 1 du RGPD impose à chaque responsable de traitement la tenue d’un registre de l’ensemble des activités de traitement de données personnelles effectuées sous sa responsabilité. Cette obligation s’étend également aux traitements réalisés par les sous-traitants pour le compte des responsables de traitement (art. 30§2).

Toutefois, le paragraphe 5 de ce même article prévoit une dérogation à cette obligation pour les responsables du traitement et les sous-traitants comptant moins de 250 employés. Ceux-ci ne sont tenus d’inscrire au registre que les traitements suivants :

• Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes concernées (par exemple : la vidéosurveillance des locaux) ;

  
  

• Les traitements non occasionnels (par exemple : la gestion de la paie de leurs employés) ;

  
  

• Les traitements portant sur des données sensibles (santé, origine raciale, appartenance syndicale, données biométriques, etc.) ou sur des données relatives à des condamnations ou infractions pénales.

Cette dérogation, limitée aux traitements non récurrents et non risqués, a donc une portée très restreinte en pratique.

La Commission européenne propose donc d’étendre cette dérogation aux entreprises et organisations de moins de 750 employés, tout en maintenant l’obligation de registre pour les traitements présentant un risque élevé pour les droits et libertés des personnes concernées.

Cette mesure vise à garantir un juste équilibre entre les besoins et contraintes des PME et des entreprises de taille intermédiaire, tout en garantissant un niveau de protection approprié aux données personnelles qu’elles traitent.