Omnibus numérique : Comment réenchanter le RGPD ?

Mélanie Defoort

La proposition phare du projet de simplification du RGPD annoncé par la Commission Européenne consiste à exempter les PME de l'obligation de tenue du registre des traitements de données personnelles.

400 millions d’euros par an. C’est ce que la Commission Européenne pense pouvoir faire économiser aux entreprises en allégeant la bureaucratie (charge “administrative”) générée ces dernières années par la multiplication de textes de plus en plus complexes. 

La mesure proposée par la Commission Européenne est censée permettre aux entreprises de réallouer leurs ressources pour la croissance et l’investissement dans le marché unique. 

Le projet de suppression de l’obligation de tenir un registre des traitements de données personnelles pour les PME (celles de moins de 750 salariés, sauf risque élevé) a toutefois provoqué des critiques de la part des ONG, auxquelles il est difficile de donner tort. 

Même si le registre des traitements peut en effet apparaître comme une formalité fastidieuse, il constitue un outil essentiel de gouvernance des données, favorisant leur traçabilité et donc leur protection. Le coût de la tenue de ce registre est par ailleurs anecdotique dans la plupart des cas (environ 0,5 heure par an selon la Commission Européenne).  

Remettre en cause cette obligation, pourtant désormais bien ancrée dans les habitudes des entreprises, semble donc contrevenir à l’objectif de protection des personnes, ce alors que son efficacité sur l'allégement des formalités et obligations qui pèsent sur les entreprises reste à démontrer. 

L’insécurité juridique est le principal frein à l’innovation

Le coût réel du RGPD ne réside pas dans l’obligation de tenir un registre des traitements des données personnelles, ni plus généralement dans l’obligation d’accountability. 

Il résulte en revanche de l’insécurité juridique que le RGPD, et plus précisément l’interprétation qui en est faite, a fait naître pour les entreprises qui traitent des données :

  • Incertitude sur le champ d’application du RGPD : compte tenu notamment de l’interprétation extensive de la notion de donnée personnelle, il est devenu quasiment impossible de qualifier une donnée comme étant anonyme, et donc d’exclure l’application du RGPD pour tout traitement de données (notamment reposant sur des agrégats à finalité d’analyse statistique). 
  • Fragmentation du marché : alors que le RGPD promettait d’harmoniser les règles dans l’Union Européenne, chaque Etat-membre en a fait sa propre interprétation. Comment comprendre qu’à l’heure actuelle, chaque Etat-membre édicte ses propres lignes directrices (et donc ses propres règles) sur différents sujets impliquant le traitement de données personnelles (par exemple en matière de prospection commerciale) ? 
  • Course au consentement : bien que le RGPD prévoit différentes bases légales pour traiter les données personnelles, la jurisprudence et la doctrine qui se sont développées ces dernières années rendent illusoires les cas dans lesquels le consentement des personnes n’est pas requis.
  • Incapacité à évaluer le risque : les sanctions prononcées, notamment les amendes, peuvent s’avérer totalement différentes à situation comparable, parfois sans prise en compte des risques et impacts réels pour les personnes concernées, de sorte qu’il est impossible pour une entreprise de mettre en place une véritable approche par les risques. 
  • Superposition de textes: RGPD, IA Act, Data Act, Data Governance Act… ces textes ont généré des obligations qui se sont superposées, rendant particulièrement complexe leur adoption par les entreprises.

Cette insécurité juridique a pu conduire à des investissements conséquents de la part des entreprises, aussi bien sur le plan technologique (par exemple pour tenter - en vain - de rendre des données “anonymes”; pour collecter les multiples consentement requis auprès des personnes…) que sur le plan organisationnel (adaptation aux doctrines locales des différents Etats-membres, mise en place de relais locaux pour assurer une veille juridique…). 

C’est aussi cette incertitude sur les règles du jeu qui, en décourageant les entreprises de prendre des risques, freine l’innovation et la compétitivité. 

La simplification passe par la clarification et l’harmonisation

Le RGPD a indéniablement accru la protection des personnes et renforcé leur confiance dans les entreprises qui se sont engagées à le respecter. C’est pour cette raison qu’il doit être défendu.  

Ce n’est donc pas de la suppression de l’obligation de tenue du registre (obligation qui quant à elle ne souffre d’aucune ambiguïté), dont les entreprises ont besoin pour que le RGPD (re)devienne un instrument de différenciation. 

Ce dont elles ont besoin, c’est de sécurité juridique : savoir quelles sont les règles à respecter pour mener à bien leur projet dans l’ensemble de l’Union Européenne et quels sont les risques qui y sont associés, sans craindre une interprétation divergente d’un Etat-membre à l’autre. 

La simplification du RGPD passe donc par : 

  • Un cadre juridique harmonisé entre les différents Etats-membres, en éliminant les interprétations divergentes, 
  • Une approche par les risques, conforme à l’esprit et à la lettre du texte qui prône un équilibre entre les risques pour les personnes concernées et l’innovation,  
  • Une clarification du champ d’application du RGPD via une définition réaliste des concepts clés (donnée anonyme, traitement statistique…).

La simplification du RGPD ne doit pas remettre en cause les principes fondamentaux qui sont désormais acquis, ni les obligations qui en font un outil de protection des personnes. Elle doit en revanche s’attaquer aux mécanismes qui ont favorisé une interprétation du texte contradictoire avec son esprit et ont conduit à une fragmentation du marché.