Le 21 mai 2025, la Commission européenne a publié une proposition de règlement visant à modifier le RGPD et à introduire des mesures de simplification pour les petites et moyennes entreprises (la « Proposition »). La Proposition fait partie du paquet de simplification Omnibus IV qui s'inscrit dans le cadre plus large des initiatives de simplification du marché unique visant à simplifier les règles et à réduire la bureaucratie dans l'ensemble du marché unique européen.
Simplification du RGPD : focus sur les SMC
Dans le contexte de voix qui s'élèvent pour renforcer la compétitivité européenne, la Proposition introduit les mesures suivantes afin de réduire au minimum les obligations administratives découlant du RGPD pour les petites entreprises :
-
Nouvelles définitions : La Commission européenne propose d'inclure, outre une définition explicite des « micro, petites et moyennes entreprises » (« PME »), une définition – encore à quantifier – des « small mid-cap enterprises » (« SMC »). L'ajout de cette nouvelle catégorie de SMC permet aux entreprises qui dépassent la définition de PME de bénéficier également des mesures de simplification proposées.
-
Dérogation à l'obligation de tenir un registre des activités de traitement pour les entreprises de moins de 750 employés : La Commission européenne propose de limiter l'obligation de tenir un registre des activités de traitement (article 30 du RGPD) aux entreprises de 750 salariés ou plus. Les entreprises de moins de 750 employés ne seront tenues de tenir un registre uniquement dans des cas exceptionnels, à savoir uniquement en cas de risque élevé (au lieu d’un risque) pour les droits et libertés des personnes. Cette simplification abaisse le seuil pour bénéficier de l’exception prévue à l’article 30 du RGPD et élargit, en même temps, le champ d’application afin que les SMC puissent également en bénéficier.
-
Codes de conduite et certification : La Proposition vise également à étendre le champ d'application des articles 40 et 42 afin d’explicitement inclure les SMC. Cela permet de prendre en compte les besoins spécifiques des SMC, en plus de celles des PME, lors de l'élaboration de codes de conduite et de la mise en place de mécanismes de certification en matière de protection des données.
Prochaines étapes
La Proposition sera examinée et adoptée par le Parlement européen et le Conseil de l'UE au cours des prochains mois. Cela pourrait conduire à des amendements supplémentaires au RGPD qui ne sont pas inclus dans la Proposition actuelle.
Les initiatives susmentionnées laissent présager d'autres simplifications du RGPD à venir. L'équipe Data & Digital Protection d'Eubelius continuera à suivre l'évolution de la situation.
Restez à l'écoute pour d'autres mises à jour !
