RGPD : l'Europe s'apprête à alléger le fardeau des PME

La Commission européenne prépare une révision significative du Règlement Général sur la Protection des Données, sept ans après son entrée en vigueur. Ce projet, qui devrait être dévoilé d'ici fin mai 2025, vise principalement à réduire les contraintes administratives pesant sur les petites et moyennes entreprises.

Le virage pragmatique de l'UE

D'après les informations révélées par Politico et confirmées par Michael McGrath, commissaire européen à la Justice, cette initiative s'inscrit dans la stratégie d'amélioration de la compétitivité européenne face aux géants américains et chinois. Un paradoxe émerge : la réglementation censée rééquilibrer les forces aurait finalement profité aux mastodontes du numérique, mieux armés pour absorber les coûts de conformité.

Le RGPD avait positionné l'Europe comme pionnière mondiale en matière de protection des données. Entré en application le 25 mai 2018, ce cadre réglementaire substituait aux déclarations préalables une logique d'accountability, imposant aux organisations de documenter leurs traitements via des registres détaillés, d'obtenir un consentement explicite des utilisateurs et de notifier les violations de données.

Si le texte prévoyait théoriquement des dérogations pour les structures de moins de 250 salariés, ces exceptions sont restées marginales. La plupart des activités courantes — gestion de la paie, suivi commercial, recrutement — demeurent soumises aux mêmes obligations documentaires que pour les grands groupes.

500 salariés : le nouveau seuil envisagé

Les discussions actuelles évoquent un critère de 500 salariés comme seuil d'allègement réglementaire. Si cette proposition était retenue, plus de 95% du tissu économique français pourrait être exempté de certaines obligations structurantes, notamment la tenue d'un registre des traitements complet.

Cette réforme, initialement prévue pour avril, a été décalée avec de premières propositions attendues le 21 mai prochain. Le commissaire McGrath a précisé que cet assouplissement concernerait prioritairement "les plus petites entreprises", sans détailler davantage les mesures envisagées.

Une remise en question politique

Ce changement de cap s'inscrit dans un contexte plus large de critiques croissantes. Au Danemark, Caroline Stage Olsen, ministre du numérique, a récemment déclaré que l'Europe ne devait pas réglementer "de manière stupide" en évoquant le RGPD. Cette position prend un relief particulier alors que le Danemark s'apprête à prendre la présidence du Conseil de l'Union Européenne le 1er juillet prochain.

Mario Draghi, ancien Premier ministre italien, avait également identifié le règlement comme un frein au développement des entreprises européennes. Son rapport alertant sur le risque de décrochage technologique du continent a contribué à accélérer la réflexion sur l'assouplissement du cadre réglementaire.

Ursula von der Leyen, présidente de la Commission, a fait de la compétitivité européenne une priorité, avec l'objectif assumé de réduire les réglementations jugées excessivement contraignantes.

Les effets controversés du RGPD

Les critiques ne se limitent pas à la complexité administrative. Les fameux bandeaux de cookies, omniprésents sur les sites européens, illustrent une application jugée contre-productive, dégradant l'expérience utilisateur sans apporter de protection substantielle. En pratique, combien d'internautes prennent réellement le temps d'ajuster leurs préférences plutôt que de cliquer machinalement sur "Tout accepter" ?

La difficulté d'interprétation de certaines dispositions, comme celles relatives à la pseudonymisation des données, a également engendré des approches divergentes entre les autorités nationales, créant une insécurité juridique préjudiciable à l'innovation.

Vers un équilibre entre protection et innovation

L'assouplissement envisagé soulève des questions fondamentales sur la balance à trouver entre protection des données personnelles et dynamisme économique. Si la taille constitue un critère pratique, elle reste un indicateur imparfait des risques réels pour les droits des personnes.

Une approche plus nuancée combinerait idéalement plusieurs facteurs : nature des données traitées, secteur d'activité, volume des traitements et risques potentiels. Même dans un cadre allégé, certaines pratiques documentaires demeurent essentielles pour garantir une gestion cohérente des durées de conservation et permettre l'exercice effectif des droits.

Cette réforme pourrait marquer un tournant dans l'approche européenne de la régulation numérique. L'Europe cherche désormais à réconcilier son ambition d'excellence réglementaire avec la nécessité de soutenir un écosystème innovant et compétitif.

Pour suivre l'évolution de ce dossier, les entreprises peuvent consulter le site officiel de la Commission européenne où seront publiées les propositions législatives : https://ec.europa.eu/info/law/better-regulation/have-your-say_fr