Par Gérard HAAS
La Commission européenne, dans sa volonté affichée de « simplification administrative » pour les PME, envisage de modifier l’article 30 du RGPD[1], qui impose aux organisations la tenue d’un registre des traitements de données personnelles[2], pierre angulaire exigeant la tenue d'un registre des activités de traitement des données personnelles.Cette initiative, présentée comme un allègement des contraintes pour les petites et moyennes entreprises, suscite une vive inquiétude chez les juristes et experts en gouvernance des données. Il convient de s'interroger sur la véritable nature de cette démarche : s'agit-il d'un progrès ou d'une régression masquée ?
Simplification du RGPD : un risque pour la gouvernance des données personnelles
Le Registre des traitements, outil de transparence et de responsabilité
Dans un écosystème numérique où la circulation des données est omniprésente et souvent opaque, le registre des traitements n'est pas une formalité superflue, mais un outil essentiel de transparence et de traçabilité. Il impose une démarche de cartographie et de qualification des flux de données, permettant ainsi une meilleure compréhension des traitements effectués. C'est précisément cette visibilité qui fonde le principe d'« accountability » (responsabilité), pilier central du RGPD, transformant ce dernier d'un simple recueil de règles en un cadre juridique dynamique et proactif.
L’article 30 ou la simplification au détriment de la sécurité des données
Jusqu'à présent, l'exemption de l'obligation de registre concernait les structures de moins de 250 salariés, sous réserve que les traitements ne soient ni sensibles, ni réguliers. La nouvelle proposition de la Commission remet en question ces garde-fous en étendant l'exemption à toutes les organisations de moins de 750 salariés et en supprimant le critère du caractère occasionnel du traitement.
En substance, les entités concernées ne seraient tenues de tenir un registre que lorsque le traitement des données présente un « risque élevé » au sens du RGPD. La justification avancée est de concentrer les ressources des entreprises sur les activités les plus critiques en matière de protection des données. Cependant on pointe le registre comme responsable des lourdeurs du RGPD, alors qu'il est surtout un outil de gouvernance. Cette « simplification » ressemble davantage à un abandon de la cartographie des risques qu'à une véritable rationalisation des procédures.
Réforme du RGPD : vers une gouvernance des données à deux vitesses ?
Une réforme à contre-sens de la logique du RGPD
Le registre n'est pas une obligation vide de sens. Il constitue l'outil primordial pour comprendre les pratiques d'une organisation en matière de données, déceler les vulnérabilités, élaborer une politique de sécurité adaptée, assurer la transparence et anticiper, si nécessaire, une analyse d'impact relative à la protection des données (AIPD).
L'affaiblissement de cette obligation représente un risque majeur. Quand on intervient chez un client, le registre est souvent notre point de départ. On découvre des zones d’ombre, des flux non maîtrisés, des risques ignorés. Le registre est donc un levier d'acculturation et de responsabilisation, une boussole indispensable dans le labyrinthe des traitements de données.
La simplification comme stratégie d'aveuglement
Cette proposition est perçue comme une atteinte délibérée à la structure même du RGPD. Des autorités de contrôle telles que la CNIL, l'AFCDP, ainsi que l'EDPB et l'EDPS ont exprimé de sérieuses réserves, alertant sur le risque de fragilisation de l'ensemble du cadre juridique et de la capacité des entreprises à démontrer leur conformité.
Cette réforme pourrait instaurer un RGPD à deux vitesses, où certaines entités seraient exemptées tandis que d'autres, notamment les acteurs publics ou leurs sous-traitants, resteraient soumis à l'obligation. Cette différenciation risque d'accroître la complexité des chaînes de responsabilité et de nuire à la lisibilité juridique.
Le RGPD fragilisé : entre lobbying et recul stratégique
Il est légitime de s'interroger sur les bénéficiaires réels de cette réforme. Des acteurs majeurs du cloud, des multinationales du marketing prédictif, et plus largement, les tenants d'une approche anglo-saxonne de la conformité, perçue comme un frein à l'agilité plutôt qu'un facteur de confiance, semblent être les instigateurs de cette initiative.
Quand la conformité devient un avantage compétitif pour les fournisseurs européens, les lobbies anglo-saxons dégainent l’argument du fardeau administratif. Cette offensive vise à ébranler l'esprit du RGPD, fondé sur la transparence, la traçabilité et la capacité de démontrer ses choix. Les jurisprudences Schrems I (2015)[3] et Schrems II (2020)[4] ont déjà démontré la fermeté de l'Europe quant à ses standards de protection des données, et une nouvelle contestation, déjà qualifiée de "Schrems III"[5], est en cours concernant le nouveau Data Privacy Framework.
Le paradoxe réglementaire du RGPD : une simplification qui fragilise la conformité
Le faux fardeau du registre des traitements
Paradoxalement, le registre est souvent présenté comme une charge alors qu'il offre des avantages substantiels en termes de maîtrise des coûts cachés et des risques. Il facilite l'automatisation, sécurise les partenariats et optimise les traitements marketing. Ce n’est pas le registre qui coûte ; ce sont les mauvaises pratiques qu’il révèle. Supprimer le registre équivaudrait à priver les Délégués à la Protection des Données (DPO) de leur outil de navigation essentiel, les forçant à opérer à l'aveugle.
Le paradoxe de Bruxelles : simplifier pour mieux déstructurer
La proposition de la Commission est, en définitive, perçue comme contre-productive et potentiellement déstabilisatrice. Elle ne simplifie pas mais déconstruit ; elle ne libère pas mais désarme ; elle ne réduit pas les risques mais en masque l'existence.
Ce faisant, elle affaiblit un principe fondamental du RGPD : la preuve de la conformité. Cette exigence est non seulement juridique, mais aussi éthique, car dans l'économie de la donnée, la confiance est un capital inestimable.
Bruxelles, en voulant moderniser, pourrait précipiter l'Europe dans un "vieux monde numérique" caractérisé par l'opacité, l'asymétrie et la domination de ceux qui considèrent les données comme une rente plutôt que comme une responsabilité.
Tableau des forces et faiblesses sur la tenue du registre article 30 RGPD :
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1]https://www.doctrine.fr/l/texts/eu/reglements/EULEGD7BC4209FDE79290932A/articles/EULEGARTIEC55E288845C30DCD7D2?versionId=EULEGARTIEC55E288845C30DCD7D2&searchQueryUrl=q%3Dtexte%2Bde%2Bl%2527article%2B30%2Bdu%2BRGPD%26original_query_key%3D498b1ac51c630d954b6cf4b17a0d6d51&originalQueryKey=498b1ac51c630d954b6cf4b17a0d6d51&sourcePage=Search&source=search-arret-european-legislation-article-snippet
[2] La Commission propose des mesures de simplification pour réduire les coûts administratifs des entreprises. A ce titre la commission propose simplifier l'obligation de tenue de registres prévue par le RGPD, en tenant compte des besoins et des défis spécifiques des petites et moyennes entreprises et des organisations, tout en garantissant la protection des droits des personnes. La proposition exempte les PME et les organisations de moins de 750 salariés, en plus des PME. Cf :https://france.representation.ec.europa.eu/informations/la-commission-propose-des-mesures-de-simplification-pour-reduire-les-couts-administratifs-des-2025-05-21_fr
[3] CJUE, n° C-498/16, Arrêt de la Cour, Maximilian Schrems contre Facebook Ireland Limited, 25 janvier 2018. En l’espèce la cour a jugé que l'utilisateur d'un compte Facebook privé ne perd pas la qualité de consommateur en raison de ses activités annexes, tant que l'usage principal reste non professionnel.
[4] CJUE, n° C-311/18, Arrêt de la Cour, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, 16 juillet 2020. La Cour a constaté que les programmes de surveillance aux États-Unis ne respectent pas les exigences de protection des données prévues par le droit de l'Union, notamment en ce qui concerne les droits fondamentaux garantis par la Charte.
[5] CJUE, n° C-446/21, Arrêt de la Cour, Maximilian Schrems contre Meta Platforms Ireland Limited, 4 octobre 2024. La cour a jugé que le consentement doit être libre, éclairé et spécifique, et que le traitement des données à des fins de publicité personnalisée ne peut être justifié sans un consentement valide .Elle &a également a confirmé que le traitement de données sensibles nécessite un consentement explicite, et que le traitement en l'absence de ce consentement est illicite.
