Le 8 mai 2025, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont adressé une lettre conjointe au Commissaire européen à la Démocratie, à la Justice et à l’État de droit, Michael McGrath, exprimant leur soutien au projet de texte contenu dans le 4e paquet omnibus de la Commission européenne.
Il vise à simplifier les obligations de tenue de registres prévues par le Règlement général sur la protection des données (RGPD).
L’objectif est d’exempter les entreprises de moins de 500 salariés avec un certain chiffre d’affaires et les organisation à but non lucratif de cette taille. Actuellement, les entreprises de moins de 250 salariés, sous certaines conditions, ne sont pas soumises à la tenue du registre.
Par ailleurs, le traitement de catégories particulières de données personnelles dans le cadre d’une obligation légale liée à l’emploi, à la sécurité sociale ou à la protection sociale ne serait pas soumis à l’obligation de tenir un registre des activités de traitement.
L’exemption à l’article 30 du RGPD ne s’appliquerait pas si le traitement est “susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques” et peu importe la taille de l’entreprise. “Le CEPD et le CEPD européen rappellent qu’une très petite entreprise peut aussi effectuer un traitement à haut risque, et qu’il est donc essentiel de conserver une approche fondée sur les risques. À cet égard, nous comprenons également que le traitement non occasionnel et le traitement de données sensibles peuvent toujours entraîner un risque élevé, en fonction de l’évaluation de l’ensemble des critères pertinents“.
Certaines exceptions à l’exemption seraient supprimées de fait sur la notion de “traitement occasionnel”.
