RGPD : registre allégé pour PME

Un registre des traitements encore plus « allégé » pour les petites et moyennes entreprises ?

Introduction

En mai dernier, la Commission européenne a proposé une simplification du RGPD par un allègement du registre des traitements que doivent tenir les entreprises ou organisations employant moins de 750 personnes. Il y a quelques jours, l’EDPB et l’EDPS ont donné leur avis sur cette proposition.

Contexte et Propositions

Pour rappel, le RGPD prévoit la tenue d’un registre des traitements « allégé » pour les entreprises ou organisations comptant moins de 250 personnes. En effet, pour ces organismes, seuls les traitements (i) qui sont susceptibles de comporter un risque pour les droits et les libertés des personnes concernées, (ii) qui ne sont pas occasionnels ou (iii) qui portent sur des données sensibles (au sens de l’article 9 du RGPD) ou des données personnelles relatives à des condamnations pénales et à des infractions (au sens de l’article 10 du RGPD), doivent figurer au registre.

La Commission européenne a récemment proposé que le registre des traitements « allégé » profite à un panel plus large d’entreprises ou organisations, à savoir celles comptant moins de 750 personnes. Aussi, selon la proposition de la Commission, ce ne sont pas trois, mais un seul type de traitements qui doit être mentionné dans le registre de ces organismes, à savoir les traitements présentant un risque élevé pour les droits et libertés des personnes (au sens de l’article 35 du RGPD).

Réactions des Autorités Européennes

Dans leur avis conjoint, l’EDPB et l’EDPBS ont accueilli favorablement, dans l’ensemble, cette proposition, mais ont demandé à la Commission certaines clarifications. En particulier, les autorités européennes ont interrogé la Commission sur les raisons ayant conduit à retenir le seuil de 750 personnes (et non 500) qui pourrait conduire, dans certains Etats membres, à une généralisation du registre des traitements « allégé ».

L’EDPB et l’EDPBS ont également demandé à ce que soient apportées certaines précisions relativement aux organismes concernés par le dispositif proposé, à savoir : (i) la référence aux notions de PME, micro-entreprises et entreprises de taille intermédiaire telles que proposées par la Commission ; (ii) l’exclusion expresse des autorités publiques et des organismes publics, quelle que soit leur taille.

Recommandations et Conclusion

Enfin, les autorités européennes ont rappelé que les organismes bénéficiaires de la tenue d’un registre des traitements « allégé » restent évidemment tenues de respecter les autres exigences du RGPD. A cet égard, l’EDPB et l’EDPS ont souligné que la tenue d’un registre « complet », c’est-à-dire contenant l’ensemble des traitements réalisés par l’organisme concerné, peut aider ce dernier à se conformer au RGPD (par exemple dans le cadre de l’identification de la base légale d’un traitement, la réponse à des demandes d’exercices de droit des personnes concernée, l’évaluation de la nécessité de réaliser une analyse d’impact, etc.).

En d’autres termes, le registre des traitements « complet » reste recommandé pour tous les organismes ! A suivre…

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

- Évaluer si votre entreprise peut bénéficier de l'allègement proposé.

- Maintenir un registre complet pour une meilleure conformité.

- Suivre les clarifications futures de la Commission européenne.

- Former le personnel sur les nouvelles exigences.

- Mettre à jour les politiques internes en conséquence.