La législation sur le numérique la plus célèbre d’Europe bientôt allégée
Trop lourd, assurément. La Commission européenne envisage d’alléger les obligations de tenue de registres d’activités de traitement pour les entreprises de moins de 500 employés. Simplifier ne sera toutefois pas aisé.
GDPR, un « phare » dans le domaine de la protection des données personnelles. Avec son règlement, l’Europe voulait donner le LA et inspirer les autres nations. Ce fut en partie le cas, la Californie et le Brésil adoptant des textes similaires. Son impact novateur est réel. En même temps, il est lourd. Plus petites sont les organisations, moins elles s’en sortent.
Pour nombre d’experts, le GDPR tel que présenté en 2018 a vécu. Il s’est montré difficile à mettre en œuvre, les entreprises ont du mal à absorber une législation unanimement considérée comme complexe. Le règlement a montré par ailleurs sa singularité : d’un Etat à l’autre, il peut être interprété différemment.
Faciliter la gestion des données et améliorer la transparence
Le sujet de sa simplification anime de vifs débats depuis deux ans. Il s’inscrit d’ailleurs dans une volonté de la Commission de simplifier de nombreuses procédures, intensifiée par le changement brusque d’attitude des États-Unis depuis le retour de Donald Trump à la Maison-Blanche.
Compétitivité et investissements sont de nouveau les maitres-mots, faisant de la révision du GDPR un numéro de funambulisme.
Serait notamment concernée l’obligation de tenue d’un registre des activités de traitement, un document interne qui recense toutes les activités de traitement de données personnelles d’une organisation. Il s’agit d’un outil essentiel pour démontrer la conformité au RGPD, faciliter la gestion des données et améliorer la transparence.
Des exemptions, oui. Mais est-ce suffisant ?
Le 8 mai, l’EDPB (European Data Protection Board) et l’EDPS (European Data Protection Supervisor) ont rendu un avis conjoint sur cette proposition, exprimant « un soutien préliminaire à cette initiative de simplification ciblée », à condition que cela ne remette pas en cause l’obligation pour les responsables du traitement et les sous-traitants de se conformer aux autres exigences du GDPR.
C’est l’article 30 du GDPR qui pourrait être modifié. Avec une exemption de taille. Jusqu’ici, les structures de moins de 250 employés (entreprises, associations…) n’ont pas à tenir un registre des traitements opérés sur les données personnelles. La Commission réfléchit à relever ce plafond à toutes les structures de moins de 500 personnes et dont le chiffre d’affaires ne dépasse pas un certain seuil. De plus, cette dérogation ne s’applique actuellement pas si ces traitements présentent « un risque pour les droits et libertés des personnes physiques ». Le changement envisagé basculerait sur un « risque élevé ».
Différentes pistes
Est-ce suffisant ? Non. A entendre l’EDPB et l’EDPS, exempter ne signifie pas simplifier, même si les PME en seraient les premières bénéficiaires. En revanche, alléger permettrait de simplifier. Le rapport Draghi, d’ailleurs, ne dit rien d’autre : en l’état, le GDPR est trop strict et lourd.
Plusieurs propositions ont été faites au sujet des AIPD, les analyses visant à garantir que les responsables du traitement gèrent de manière adéquate les risques que posent les opérations de traitement « à risque » pour la protection des données et de la vie privée. Actuellement, ces évaluations sont nécessaires dès qu’un risque élevé est supposé. Des exemptions pourraient être mises en place pour les PME dont le traitement des données est limité.
Plus intéressant, des modèles pré-approuvés sont également envisagés. Des orientations sectorielles pourraient être mises en place pour guider les entreprises et leur « mâcher » en partie le travail. La Commission réfléchit également à définir des seuils plus clairs pour déclencher l’obligation de nommer un DPD. Ces délégués pourraient être partagés entre plusieurs entreprises, voire pourraient être embauchés via des prestataires spécialisés.