Trop compliqué le RGPD ? C’est une des critiques fréquemment adressés au cadre réglementaire européen sur la protection des données personnelles.
Mais la Commission souhaite mettre à l’ordre du jour une simplification de ce texte, portée par le commissaire irlandais Michael McGrath, chargé notamment des lois européennes sur la protection des données.
Cette nouvelle version du texte n’a pas encore été présentée dans le détail. Mais elle devrait l’être avant la fin du mois de mai selon The Record. De quoi peut-être contenter les nombreuses critiques fréquemment adressées au RGPD, dont :
- la lourdeur administrative
- les délais pour obtenir des décisions des autorités de protection des données
Un premier aperçu des évolutions
L’une des évolutions proposées dans ce plan de simplification porte sur l’allègement des obligations pesant sur les petites entreprises. Le Commissaire avait déjà fait part de son ambition en la matière au début du mois de mars. Il a maintenant obtenu le feu vert de deux instance :
Elles ont toutes deux manifesté leur assentiment dans une lettre rendue publique le 8 mai.
La lettre du CEPD confirme notamment que la commission européenne envisage notamment de réduire les obligations liées à la tenue d’un registre des activités de traitement des données personnelles pour les petites entreprises.
Alléger les registres
Dans son article 30, le règlement européen demande aux organisations de tenir un registre recensant les traitements de données personnelles mis en œuvre par les entreprises, précisant notamment :
- Les éventuels transferts de données vers des pays étrangers
- L’identité des responsables des traitements
- Les finalités du traitement
- Les catégories de données concernées
La Commission souhaite proposer une dérogation à ce principe pour les entreprises de moins de 500 employés. Mais cette obligation devrait être maintenue dans le cas de traitements jugés « à haut risque ».
En l’état actuel, les entreprises comptant moins de 250 employés sont déjà exemptées de ces obligations.