Moins de bureaucratie ? L’UE propose des exemptions au RGPD pour les PME

données personnellesRGPD
Written By Nathalie Pouderoux

La Commission européenne a proposé une série de modifications qui pourraient considérablement faciliter la mise en conformité au RGPD pour les petites et moyennes entreprises. Parmi les mesures les plus importantes figure un projet visant à exempter les entreprises de moins de 750 employés (classées comme petites et moyennes capitalisations (PMK)) des obligations de conservation des données prévues par le RGPD, à moins que leurs activités de traitement des données ne soient considérées comme « à haut risque ».

La proposition

Actuellement, seules les entreprises de moins de 250 employés bénéficient des exemptions prévues à l'article 30 du RGPD, qui dispense de l'obligation de tenir des registres détaillés des traitements de données, sauf dans les cas impliquant une utilisation de données à haut risque. La nouvelle proposition de la Commission, qui s'inscrit dans le cadre plus large du paquet de simplification Omnibus IV, vise à étendre cette exemption aux PME, définies comme des entreprises employant au maximum 750 personnes, réalisant un chiffre d'affaires inférieur à 150 millions d'euros et dont le total des actifs n'excède pas 129 millions d'euros.

Cette mesure s'inscrit dans une stratégie plus large visant à réduire les coûts administratifs de 400 millions d'euros par an dans l'ensemble de l'UE. Près de 38 000 entreprises devraient en bénéficier, en étant exemptées d'obligations qui s'appliquent souvent dès qu'une entreprise passe du statut de PME à celui de grande entreprise.

S'agit-il vraiment d'une « réduction des formalités administratives » ?

À première vue, cette proposition semble favorable aux entreprises en pleine croissance, car elle supprime les obstacles bureaucratiques qui peuvent ralentir leur expansion. Cependant, l'exemption ne s'applique qu'aux entreprises qui ne traitent pas de données « à haut risque », une évaluation intrinsèquement subjective et souvent complexe. Les activités impliquant des catégories particulières de données, une surveillance à grande échelle ou des informations personnelles sensibles restent soumises à toutes les obligations de conformité. Dans la pratique, de nombreuses entreprises, même celles qui se situent sous le nouveau seuil SMC, devront continuer à tenir des registres détaillés afin d'évaluer leur exposition aux risques.

Toutefois, simplification ne signifie pas exemption totale. Des tâches telles que la cartographie des flux de données ou la réalisation d'analyses d'impact sur la protection des données (AIPD) restent essentielles, non seulement pour se conformer à la réglementation, mais aussi pour déterminer si les règles simplifiées s'appliquent.

 

Opportunités de croissance et d'innovation

Les modifications proposées pourraient encore apporter des avantages substantiels. En réduisant les contraintes réglementaires liées au dépassement du seuil de 250 employés, les entreprises pourraient être plus enclines à se développer sans craindre une charge administrative trop lourde. La libération de ressources internes qui seraient autrement consacrées à la gouvernance des données pourrait encourager l'innovation et les investissements dans des domaines plus stratégiques.

Il est important de noter que la proposition exige également que les besoins spécifiques des PME soient pris en compte dans l'élaboration des futurs codes de conduite et mécanismes de certification en matière de protection des données. Cela ouvre la voie à une réglementation plus adaptée et proportionnée, mieux alignée sur les capacités et les réalités des petites entreprises.

Risques liés à la simplification des règles de protection des données pour les entreprises en croissance

La proposition n'est pas sans risques. L'introduction d'une nouvelle catégorie d'entreprises (les PME) ajoute une couche supplémentaire. Les définitions varient d'une législation européenne à l'autre, et leur harmonisation pourrait s'avérer difficile. Par exemple, les seuils fixés par la directive européenne sur la cybersécurité (NIS2) diffèrent considérablement de ceux proposés actuellement dans le cadre du RGPD, ce qui pourrait semer la confusion dans l'esprit des entreprises quant à leurs obligations dans les différents régimes réglementaires. Voici quelques-uns des risques plus généraux liés à la simplification des règles pour les petites entreprises :

1. Affaiblissement des normes de protection des données

La réduction des exigences telles que la conservation des enregistrements peut involontairement nuire à la qualité de la gouvernance des données. Ces enregistrements sont essentiels pour démontrer la conformité au RGPD et maintenir la surveillance de l'utilisation des données à caractère personnel. Sans eux, les entreprises risquent de perdre la visibilité sur leurs pratiques en matière de données, d'être plus lentes à identifier les violations et d'avoir du mal à démontrer aux régulateurs ou aux consommateurs qu'elles gèrent les informations à caractère personnel de manière responsable.

2. Mauvaise évaluation du traitement « à haut risque »

L'exemption proposée ne s'applique qu'aux entreprises qui ne traitent pas de données susceptibles de présenter un « risque élevé » pour les droits des personnes. Cependant, ce seuil est difficile à évaluer. Sans outils formels tels que les analyses d'impact sur la protection des données (AIPD) ou une documentation claire, les entreprises peuvent à tort considérer que leurs activités présentent un faible risque. Cela pourrait entraîner des lacunes de conformité non détectées, une exposition juridique accrue et un risque plus important de mesures coercitives en cas de problème.

3. Incohérence réglementaire au sein de l'UE

Bien que la Commission européenne vise à harmoniser le cadre réglementaire numérique, la réalité est que son application varie d'un État membre à l'autre. Si les autorités de contrôle interprètent différemment les nouvelles exemptions, les entreprises en croissance qui opèrent au-delà des frontières pourraient être confrontées à des obligations confuses ou contradictoires. Cela compromettrait l'objectif du RGPD, qui est d'assurer la sécurité juridique et l'application uniforme du règlement dans toute l'UE.

4. Désavantage concurrentiel pour les start-ups et les PME

La nouvelle classification « SMC » introduit un juste milieu entre les PME et les grandes entreprises, mais elle pourrait involontairement désavantager les petites entreprises. Si les entreprises de taille moyenne bénéficient de règles de conformité assouplies tandis que les micro-entreprises continuent de supporter l'intégralité des obligations du RGPD, cela crée des conditions de concurrence inégales. Cela risque également de concentrer l'avantage concurrentiel entre les mains d'entreprises légèrement plus grandes, plus visibles sur le plan politique ou disposant de ressources plus importantes.

5. Une menace pour la confiance du public

Les consommateurs d'aujourd'hui sont de plus en plus préoccupés par la manière dont leurs données personnelles sont traitées. Si les entreprises s'appuient sur des règles RGPD simplifiées pour prendre des raccourcis, elles risquent de saper la confiance de leurs clients. Être perçu comme moins transparent ou moins diligent dans la protection des données personnelles peut nuire à la réputation d'une marque et affaiblir la fidélité des clients, en particulier dans les secteurs sensibles aux données tels que la santé, la finance ou la technologie.

6. Risque accru de contrôle à l'avenir

Éviter les tâches de mise en conformité telles que la conservation des documents ou les AIPD peut permettre de gagner du temps aujourd'hui, mais cela peut avoir des conséquences coûteuses pour l'entreprise à l'avenir. À mesure qu'une entreprise se développe ou que le traitement de ses données devient plus complexe, le fait de ne pas investir dans une documentation adéquate peut rendre plus difficile la réponse aux contrôles réglementaires ou l'adaptation rapide à de nouvelles obligations. En effet, le soulagement à court terme lié à la réduction des formalités administratives pourrait se transformer en un risque juridique ou financier à long terme.

La proposition va maintenant entrer dans le processus législatif de l'UE et est susceptible d'être amendée par le Parlement européen et le Conseil. Alors que certains s'attendaient à des réformes plus radicales, notamment des modèles de registres standardisés ou une simplification des évaluations de l'intérêt légitime, le paquet actuel constitue une mesure prudente plutôt qu'une refonte radicale.

Alors que l'UE s'efforce d'atteindre son objectif de 2029, qui consiste à réduire de 25 % les charges administratives (et de 35 % pour les PME), cette réforme du RGPD pourrait être un premier indicateur de ce qui nous attend, offrant à la fois des opportunités et des défis pour les entreprises qui évoluent dans un environnement réglementaire en pleine mutation.

 

Comment Gerrish Legal peut vous aider?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Marina Danielyan, Paralegal de Gerrish Legal, et de Nathalie Pouderoux, Consultante pour Gerrish Legal

 

Nathalie Pouderoux
Previous

Le RGPD comme stratégie de cybersécurité : la CNIL révèle des milliards d’euros économisés en dommages et intérêts dans l’UE
Next

Nouvelle loi au Texas : vérification de l’âge obligatoire sur les app stores pour protéger les mineurs