Les PME peuvent s’attendre à une exemption de certaines obligations du règlement historique de la protection des données générales de l’UE (RGPD) dans le cadre des efforts de simplification de la Commission européenne.
La Commission européenne offrira un soulagement aux petites sociétés de milieu de capital-capital accablées par la portée actuelle du Règlement général sur la protection des données (RGPD) dans un ensemble de simplification en règles connu sous le nom de omnibus à publier mercredi, selon un document de travail vu par L’Observatoire de l’Europe.
Actuellement, les entreprises de moins de 250 employés sont exemptées des règles de confidentialité des données pour réduire leurs coûts administratifs, la Commission propose désormais d’étendre cette dérogation aux soi-disant petites entreprises de milieu de cap.
Les petites entreprises de milieu de capitalisation peuvent employer jusqu’à 500 employés et effectuer des chiffres d’affaires plus élevés. En vertu du plan – le quatrième omnibus de la Commission – ces sociétés n’auront à garder un enregistrement du traitement des données des utilisateurs lorsqu’elle est considérée comme un «risque élevé», par exemple des informations médicales privées.
Le changement intervient sept ans après l’entrée en vigueur du RGPD. Depuis lors, le livre de règles a protégé les données des consommateurs des géants de la technologie américaine, mais est également perçu comme étant lourde pour les entreprises plus petites et de taille moyenne qui n’avaient souvent pas les moyens d’embaucher des avocats de la protection des données.
La plus grande amende émise en vertu des règles jusqu’à présent est de 1,2 milliard d’euros sur le géant de la technologie américaine Meta: la Irish Data Protection Authority a infligé une amende à la société en 2023 pour les transferts de données non valides.
Bien que les amendes soient généralement plus faibles pour les petites entreprises, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel, elles restent significatives.
Aux Pays-Bas, par exemple, Voetbaltv, une plate-forme vidéo pour les matchs de football amateur, a été condamné à une amende de 575 000 € par le régulateur néerlandais de la vie privée en 2018. Bien que la société ait fait appel et que le tribunal ait annulé l’amende, elle a dû déposer la faillite.
Amendes inférieures
La législative de l’UE Axel Voss (Allemagne / EPP), qui a été impliquée dans la direction de la législation par le biais du Parlement européen, et le militant de la vie privée autrichienne Max Schrems, dont l’organisation NOYB a déposé de nombreuses plaintes de protection des données auprès des régulateurs, a appelé à différentes règles pour les petites entreprises plus tôt cette année.
Dans le cadre du plan, 90% des entreprises – petits détaillants et fabricants – seraient simplement confrontées à des tâches de conformité mineures et n’auraient plus besoin d’un agent de protection des données internes, pas de documentation excessive et d’amendes administratives inférieures, plafonnées à 500 000 €.
Voss a déclaré que sa proposition n’affaiblirait pas les normes de confidentialité de l’UE, mais la rendrait «plus exécutoire et plus proportionnée».
Des appels similaires proviennent des États membres: le nouveau gouvernement allemand a souligné dans son plan de coalition qu’il travaillera au niveau de l’UE pour garantir que «les activités non commerciales (par exemple, les associations), les petites et moyennes entreprises et le traitement des données à faible risque sont exemptés de la portée du RGPD».
Préoccupations de la société civile
En revanche, la société civile et les groupes de consommateurs ont averti que le plan de la Commission de faciliter les règles du RGPD pourrait avoir des conséquences inattendues.
Mardi, Edri, le groupe de plaidoyer sur la vie privée, a déclaré dans une lettre ouverte que le changement risque «affaiblir les principales garanties de responsabilité» en faisant en sorte que les obligations de protection des données dépendent de la taille de l’entreprise plutôt que du risque réel pour les droits des personnes. Il craint également que cela puisse entraîner une pression supplémentaire pour faire reculer d’autres parties du RGPD.
Les défenseurs des consommateurs partagent des préoccupations similaires, dans une lettre de fin avril, le groupe de consommateurs paneuropéen BEUC a averti que même les petites entreprises peuvent causer de graves préjudices grâce à des violations de données. Il a fait valoir que l’utilisation des effectifs ou le chiffre d’affaires comme base d’exemptions pourrait créer une incertitude légale et aller à l’encontre des droits fondamentaux de l’UE.
Les deux groupes disent que l’accent devrait plutôt être mis sur une meilleure application des règles existantes et un soutien plus pratique pour les petites entreprises.
Conférences parallèles sur les règles d’application du RGPD
Pendant ce temps, les réformes de la loi sur la vie privée des données sont en négociation entre le Conseil et le Parlement européen. Un nouveau cycle de discussions politiques sur le règlement procédural du RGPD devrait avoir lieu mercredi.
Les institutions de l’UE tentent de finaliser un accord tant attendu pour améliorer la coopération entre les autorités nationales de protection des données. Le règlement est destiné à résoudre les retards et les incohérences dans la façon dont les cas transfrontaliers sont gérés par le RGPD, en harmonisant les procédures et les délais.
Selon des experts familiers avec le dossier, l’un des principaux points de collage est de savoir s’il faut introduire des délais contraignants pour que les autorités nationales agissent sur les plaintes. Bien que le Parlement ait poussé à des délais plus clairs pour accélérer l’application, certains États membres soutiennent que les délais fixes pourraient submerger les autorités et augmenter les risques légaux.
Ce changement ne devrait cependant pas avoir un impact sur le 4e package omnibus de la Commission.
