Vers une exemption de registre pour les structures de moins de 750 salariés ?
La Commission européenne a lancé un appel à contributions jusqu’au 14 octobre 2025 afin de recueillir les avis visant à alléger la législation liée au numérique, dans le cadre du prochain paquet omnibus soumis à l’adoption de la Commission à la fin de l’année. Premier concerné, le GDPR.
Alléger, il serait temps ! La proposition, qui fait partie du quatrième règlement omnibus sur la simplification, vise à alléger les règles de l’Union européenne et à réduire la charge administrative, en étendant certaines mesures d’atténuation disponibles pour les PME et aux petites entreprises à moyenne capitalisation et comprend de nouvelles mesures de simplification.
Concernant tout particulièrement le GDPR, la proposition omnibus suggère une dérogation à l’obligation de tenir un registre des opérations de traitement des données pour les entreprises de moins de 750 personnes, sauf lorsque l’opération de traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes.
Pourquoi fixer la limite à 750 salariés ?
L’ambition est de réduire la charge administrative d’au moins 25 % pour toutes les entreprises et d’au moins 35 % pour les PME. L’application des mesures du paquet omnibus devrait être effective en 2026, avec des effets immédiats sur les obligations de reporting, d’audit et de documentation pour la plupart des réglementations numériques transversales.
Cependant, si l’EDPB (European Data Protection Board) et l’EDPS (European Data Protection Supervisor) saluent l’initiative, elles formulent plusieurs interrogations. Pourquoi fixer la limite à 750 salariés ? Sur quelle base ce nouveau seuil a-t-il été défini ? Ce nombre est-il cohérent avec les réalités opérationnelles du traitement de données ?
Si la réforme est adoptée, les entreprises de moins de 750 salariés ne seraient plus tenues de tenir un registre des traitements, sauf si :
- elles traitent des données sensibles ou à risque élevé;
- elles réalisent un traitement non occasionnel (autrement dit, des traitements de données personnel récurrents, ce qui est le cas de la majorité des structures);
- elles transfèrent des données vers l’étranger.
Une analyse plus fine des risques
Cela signifie que l’exemption ne sera pas automatique : il faudra continuer à évaluer chaque situation au cas par cas, en fonction de la nature et des finalités des traitements. Cette évolution ne semble pas avoir de réel impact sur le quotidien des responsables de traitement.
Pour les DPO, notamment en mission externalisée, cette réforme peut devenir un levier pédagogique :
- pour aider leurs clients à comprendre si l’exemption est applicableà leur activité;
- pour mettre à jour leur documentation;
- et pour accompagner la sécurisation des traitements à risque, toujours encadrés.
On l’a compris, cette évolution devra s’accompagner d’une analyse fine des risques, d’une communication pédagogique auprès des entreprises, et d’un accompagnement expert pour distinguer les cas où l’exemption s’applique ou non. Les DPO ont ici un rôle central à jouer pour traduire la simplification réglementaire en pratiques de conformité solides.