RGPD : l’épineux sujet de la simplification
« On raccourcit tout, mais sans toucher à la longueur »
Lors de son entrée en vigueur en 2018, le règlement général sur la protection des données était un texte historique. La Commission travaille désormais à une simplification de ce texte complexe. Alors que les propositions n’ont pas été formellement posées sur la table, les premières critiques fusent déjà.
Le RGPD a pour beaucoup été un « phare » dans le domaine de la protection des données personnelles. Avec son règlement, l’Europe voulait donner le LA et inspirer les autres nations. Ce fut en partie le cas, la Californie et le Brésil adoptant des textes similaires. Son impact novateur sur le respect de la vie privée a aidé à mettre en lumière les pratiques de certaines entreprises, dont les condamnations sont venues illustrer l’ampleur du problème. Cependant, le règlement a été critiqué pour ses lourdeurs.
Lourdeurs et temps d’attente
Deux critiques ont ainsi été formulées à de nombreuses reprises. D’une part, le manque d’accompagnement des entreprises pour absorber une législation unanimement considérée comme complexe. D’autre part, la difficulté des processus était d’autant plus grande que le règlement affecte l’ensemble de l’Union européenne et qu’il suppose une collaboration renforcée des différentes autorités compétences, comme la CNIL en France. Or, toutes ne comprennent pas le RGPD de la même façon. Ces écarts ont créé une accumulation des procédures et un allongement significatif des délais de traitement.
Pour autant, le RGPD de 2018 n’était qu’une première version. Le sujet de sa simplification anime de vifs débats depuis deux ans. Il s’inscrit d’ailleurs dans une volonté de la Commission de simplifier de nombreuses procédures, intensifiée par le changement brusque d’attitude des États-Unis depuis le retour de Donald Trump à la Maison-Blanche. Compétitivité et investissements sont de nouveau les maitres-mots, faisant de la révision du RGPD un numéro de funambulisme. Une volonté de simplification que l’on retrouve notamment sur tout ce qui touche au développement durable, comme l'onde de choc du rapport Mario Draghi l'a montré en février.
Simplifier sans altérer ?
L’idée serait donc de simplifier une partie des procédures du RGPD, sans toucher à son essence. Mais comment obtenir globalement les mêmes résultats via des mécanismes plus fluides ? Essentiellement en allégeant certains critères, notamment pour les petites et moyennes structures.
La Commission envisage par exemple d’étendre certaines exemptions. Aujourd’hui, les structures de moins de 250 employés (entreprises, associations…) n’ont pas à tenir un registre des traitements opérés sur les données personnelles (article 30). La Commission réfléchit à relever ce plafond à toutes les structures de moins de 500 personnes et dont le chiffre d’affaires ne dépasse pas un certain seuil. De plus, cette dérogation ne s’applique actuellement pas si ces traitements présentent « un risque pour les droits et libertés des personnes physiques ». Le changement envisagé basculerait sur un « risque élevé ».
L’European Data Protection Board (EDPB, qui regroupe toutes les CNIL européennes) et l’European Data Protection Supervisor (EDPS, qui surveille la bonne application des lois sur la vie privée par les instances européennes) ont toutes deux manifester leur soutien à cette mesure.
Dans un courrier daté du 8 mai, les deux autorités rappellent cependant que cela ne dispensera pas les responsables de traitements des autres obligations. En outre, elles font remarquer à la Commission qu’il manque en l’état des informations. Elles demandent donc que soit mieux évalué l’impact, en indiquant notamment combien de structures seraient concernées et si un « équilibre proportionné » peut être établi entre juridiction des données personnelles et intérêts des organisations.
Paver la voie aux petites et jeunes entreprises
Cette simplification ne serait qu’un exemple, parmi un concert de voix réclamant une version plus légère du RGPD. Fin mars, la ministre danoise du Numérique, Caroline Stage Olsen, déclarait ainsi que si le RGPD avait apporté nombre de « bonnes choses », il fallait « faciliter la tâche des entreprises et leur permettre de se conformer », rapportait Politico.
Un peu plus tôt, Michael McGrath, le commissaire européen chargé de superviser les lois sur la confidentialité des données, révélait en effet l’ambition de simplifier le RGPD. Lors d’un échange au Center for Strategic and International Studies (CSIS, pdf), il parlait d’améliorer la compétitivité européenne via « toute une série de mesures de simplification ». Et de citer à nouveau le rapport Draghi, pour lequel le RGPD était trop strict et lourd en l’état, en plus d’une application incohérente à travers les membres de l’Union. Exemple : l’âge du consentement, différent selon les pays.
La conformité au RGPD ferait « peur », à cause notamment des coûts qu’elle engendre. Les petites et moyennes structures ne disposent pas toujours du personnel juridique nécessaire. Elles n’ont pas forcément de délégué à la protection des données (DPD) et ne connaissent pas toujours les exigences sur les AIPD (ou DPIA), les analyses d’impact sur la protection des données. La crainte d’énormes amendes, voulues dissuasives, engendrerait également une prudence excessive, voire une paralysie.
Plusieurs propositions ont été faites au sujet des AIPD. Actuellement, ces évaluations sont nécessaires dès qu’un risque élevé est supposé. Des exemptions pourraient être mises en place pour les PME dont le traitement des données est limité. Des modèles pré-approuvés sont également envisagés. Des orientations sectorielles pourraient être mises en place pour guider les entreprises et leur « mâcher » en partie le travail. La Commission réfléchit également à définir des seuils plus clairs pour déclencher l’obligation de nommer un DPD. Ces délégués pourraient être partagés entre plusieurs entreprises, voire pourraient être embauchés via des prestataires spécialisés.
Risques et critiques
Rouvrir le dossier RGPD en vue de le simplifier permettrait de répondre à une partie des craintes et critiques exprimées. Mais l’opération pourrait servir également de prétexte à une suppression zélée, sous prétexte de fluidifier la vie des entreprises et autres structures. C’était notamment la crainte exprimée par Guillaume Champeau sur LinkedIn le mois dernier. Il évoquait une « boite de pandore », dont l’ouverture servirait à glisser dans le texte des notions floues comme « l’intérêt légitime » ou des conditions allégées sur l’obtention du consentement.
Pourtant, à l’inverse, l’association noyb, fondée par Maximilien Schrems, met en garde contre une complexification extrême du RGPD. Le 17 avril, elle pointait que les négociations entre la Commission, le Parlement et le Conseil de l’Union créaient un sac de nœuds.
L’association reproche principalement à la Commission européenne l’absence d’étude d’impact sur le RGPD et de consultation avec les parties prenantes. Face aux problèmes de négociation, les volontés de simplification auraient abouti à la place à la multiplication des procédures et l’introduction de régimes spécifiques. Au lieu d’avoir une procédure simplifiée, il y en aurait maintenant une dizaine. Maximilien Schrems critique également « l’absence de savoir-faire procédural » et relève que la Commission ne semble pas avoir consulté d’avocats spécialisés. Il déplore en outre que rien ne semble prévu pour faciliter la coopération entre les différentes autorités des pays membres.
Pour l’instant, la Commission européenne n’a pas formellement annoncé l’ampleur des modifications envisagées. Cette publication devrait intervenir au cours des prochaines semaines et sera scrutée de près. Elles pourraient se limiter aux seules modifications « validées » par l’EDPB et l’EDPS, comme le suggérait Guillaume Champeau. Mais le RGPD, dans sa forme révisée, ne répondrait alors pas aux critiques sur sa lourdeur, dont les craintes de redondances avec de nombreux autres cadres réglementaires, dont le DMA, le DSA et les trois directives sur la cybersécurité, en cours de transposition en France.
Commentaires (8)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 13/05/2025 à 09h04
Le 13/05/2025 à 09h26
Moi, j'y crois.
(allume un cierge)
Modifié le 13/05/2025 à 11h16
Il faut aussi rappeler que le délégué à la protection des données n’est pas obligatoire et complément superflu pour la majorité des TPE/PME et le registre de traitement tel qu’il doit être pouvoir communiqué en cas de contrôle ne comporte que des exigences rudimentaires dans son contenu de sorte qu’il est facile d’en réaliser un soit très standard ou bien d’en produire un rempli d’imprécisions ou d'omissions sur des points de non conformité cruciaux qui le vident aisément de sa substance. Ça fait déjà plusieurs années que ce n’est plus une difficulté.
Les AIPD sont cruciales en théorie pour le respect des droits et libertés fondamentaux des citoyens en ce qu’ils ne concernent que des traitements de données qui peuvent avoir des conséquences négatives graves sur celles-ci. Ce n’est pas un exercice juridique poussé, c’est un standard d’analyse et de prévention des risques pratique qui doit être réalisé essentiellement par l’équipe métier qui conçoit et qui réalise le traitement
Dans la plupart des TPE/PME le seul impact significatif c’est qu’ils se retrouvent souvent obligés de respecter les droits consacrés par le RGPD en termes d’accès, de rectification et de suppression et surtout l’opposition pour tout ce qui est démarchage
Pour résumer, le RGPD ne s’applique déjà que très peu dans les TPE/PME et sans aucun impact négatif sauf pour ceux qui effectueraient du démarchage et ceux qui gèrent mal leurs contentieux avec d’anciens salariés et qui se retrouvent contraints de communiquer des documents en raison du droit d’accès. Les AIPD ne sont pas complexes et ne sont pas que de la « paperasse ». Personne n’est dupe sur l’intention derrière cette initiative qui consiste à mettre le pied dans la porte pour détricoter en la faveur des lobbyistes et de leurs clients un texte qui sert avant tout d’instrument de pression contre les géants du numérique
Le 13/05/2025 à 20h57
C'est évidemment le seul texte européen qui est trop difficile à comprendre, ou à respecter (déjà 8 ans après son adoption), et c'est une priorité de l'affaiblir.
En revanche quand on essaye de comprendre les textes européens qui définissent la règle du 3% de déficit public, tout le monde s'y retrouve. Personne n'a jamais pu justifier ce chiffre (pourquoi pas 1,5 ou 4 ?), mais personne ne trouve que ces règles seraient "à simplifier", et "n'a peur" des conséquences qu'elles engendrent.
Le 13/05/2025 à 22h33
- les sites avec des bannières qui viennent pourrir l'expérience utilisateur (en s'affichant), et je ne parle pas du quand on dit non sur certains site, où un autre bandeau s'affiche prenant la moitié de la place...
- les lenteurs des procédures de la CNIL qui peuvent prendre des mois (quand on est chanceux) voire des années
- la complexité pour déposer une plainte auprès de la CNIL
- des (manques de) sanctions parfois incompréhensible au vue des faits, afin de faire preuve de pédagogie (perso, je pense que la simple pédagogie à ce niveau là ne sert pas à grand chose s'il n'y a pas la peur d'une vraie sanction)
- paradoxalement, une diminution des pouvoirs de la CNIL pré-RGPD, où les traitements étaient déclaratifs, voir nécessitaient une demande d'autorisation. Aujourd'hui, plus de déclaration, et les conditions où les demandes d'autorisation sont nécessaires sont assez spécifique
- même si c'est mieux qu'au début, où il n'y avait aucune "jurisprudence" sur laquelle on pouvait s'appuyer/s'aiguiller, je trouve difficilement exploitable aujourd'hui les sanctions, tant des cas similaires semblent parfois à l'opposé en terme de sanction
- un texte sujet à de nombreuses interprétations parfois, notamment autour de l'épineux "intérêt légitime"
Le seul aspect que je trouve véritablement bénéfique (et là, je parle en tant que RT/sous-traitant), c'est la déclaration de violation de données (j'ai déjà du en faire), où la CNIL était assez réactive tout en demandant si on avait besoin d'un accompagnement.
Le 13/05/2025 à 23h29
Je pense que les déclarations des traitements à la CNIL avant le RGPD ne pouvaient plus tenir tellement le nombre de traitements de données personnelles a explosé : tout est informatisé maintenant, on est loin du début de la loi informatique et liberté du 6 janvier 1978 (à la fois la date de mon anniversaire et l'année de mon bac
Assez d'accord avec toi sur le reste, mais ce n'est pas une raison pour le simplifier, éventuellement, on peut le clarifier et les intérêts légitimes (au pluriel dans le texte) est effectivement un bon sujet.
Le 13/05/2025 à 23h44
Je ne l'ai pas précisé, mais ce n'était pas un appel à le simplifier ! Je réagissais juste, car cela me semblait être l'occasion de part l'article.
Au final, le RGPD, je suis assez mitigé... J'ai plus l'impression que ça a généré un emmerdement des utilisateurs plus qu'une prise de conscience sur nos données personnelles.
De mon côté, j'ai toujours trouvé un manque au niveau du RGPD : l'absence de responsabilité du DPO, notamment externalisé. Quand un RT externalise cette responsabilité (ce qui est tout à fait autorisé, voire même conseillé pour éviter les conflits d'intérêts), si le DPO conseille mal le RT, seul le RT est responsable du point de vue RGPD.
Cela ne veut pas dire que le RT ne peut pas ensuite engager une action en justice (pour défaut de conseils par exemple), mais le RT reste le seul responsable aux yeux du RGPD...
Quand le DPO est interne, le problème ne se pose pas vraiment, dans le sens où le DPO reste un employé du RT.
Le 13/05/2025 à 23h54