« Moderniser » le RGPD ? Quelle bonne idée…
Bruxelles a encore frappé. Sous couvert de « réduction de la charge administrative », la Commission européenne a sorti de son chapeau une réforme du RGPD en 2024, censée « soutenir les PME » et « rendre la protection des données plus efficace ». On pourrait applaudir… si les professionnels de la protection des données (notamment les DPO) n’étaient pas en train d’appeler les pompiers.
Ce que la Commission vend comme un RGPD light, certains experts y voient plutôt un retour à la case départ, une déréglementation camouflée. Autrement dit, un peu comme repeindre un bunker en rose bonbon et dire que c’est plus convivial — sauf que les murs s’écroulent.
🏗️ En quoi consiste cette réforme ?
La réforme est portée par le projet “Data Act simplification package”, présenté en avril 2024. L’objectif affiché : réduire les contraintes pesant sur les entreprises, notamment les PME, qui seraient « étouffées » par les obligations RGPD. En pratique, cela se traduit par :
- La suppression de l’obligation de tenir un registre de traitement pour certaines structures de moins de 250 salariés.
- Un assouplissement du rôle du DPO, avec une disparition possible de son obligation de désignation dans plusieurs cas.
- La déresponsabilisation en cas de sous-traitance, tant que les traitements sont « non risqués ».
- Un abandon du PIA (analyse d’impact) pour un grand nombre de traitements jugés « standards ».
Et bien sûr, le tout emballé dans un discours façon « l’Europe protège vos données mais sans gêner la croissance » – un peu comme vouloir faire de la cuisine bio avec du glyphosate.
🧨 Les risques soulevés par les DPO (et ils ont raison de gueuler)
Les DPO (délégués à la protection des données) ont littéralement hurlé à la régression. Pour eux, cette réforme équivaut à :
- Ouvrir la porte au laisser-faire : en supprimant les obligations, on mise sur le « bon sens » des entreprises. Spoiler : le bon sens n’est pas conforme ISO 27001.
- Complexifier la gouvernance : avec des règles moins strictes mais plus floues, les interprétations vont diverger entre pays et entreprises, au mépris de l’uniformité européenne.
- Fragiliser les victimes de fuites de données : sans documentation, sans registre, sans DPO, bon courage pour retracer l’origine d’une fuite ou d’un traitement illégal.
- Encourager le Shadow IT : eh oui, si les règles sont light, les outils non référencés ou les pratiques borderline ont une autoroute devant elles.
En résumé ? On ne réduit pas la charge, on l’enterre, et on laisse le champ libre à ceux qui avaient déjà du mal à respecter le RGPD.
👣 Est-ce un vrai pas en arrière ?
Oui. Et pas qu’un petit. On parle d’un RGPD qui a mis près de 6 ans à se faire respecter, où les entreprises ont investi dans des DPO, des registres, des formations… pour maintenant leur dire : « En fait, on a peut-être été un peu sévères. Faites à votre sauce. »
C’est un peu comme repeindre le Titanic après la collision : un effort cosmétique pour cacher des failles systémiques. Le plus ironique ? Cette réforme intervient au moment même où l’Europe affiche sa volonté d’être leader mondial en matière d’éthique numérique (cf. AI Act, DSA…). Le double discours est palpable.
🕵️♂️ Les détails à ne pas manquer
- Le CEPD (Comité Européen de la Protection des Données) a exprimé des « réserves sérieuses » sur cette réforme, mais on lui a gentiment demandé de retourner surveiller les cookies.
- Certains États membres, dont l’Allemagne et la France, envisagent de conserver des obligations nationales plus strictes, ce qui pourrait casser l’harmonisation européenne.
- En parallèle, des acteurs privés poussent pour une certification RGPD allégée, voire auto-délivrée (ça sent l’arnaque à 15 km).
- Et pendant ce temps, les cyberattaques explosent, les ransomwares se baladent, et les données médicales continuent de se vendre sur le dark web. Mais oui, allons-y mollo sur les contrôles.
🧠 En conclusion : simplifier ou saboter ?
On ne peut pas nier qu’un peu de simplification administrative peut être utile. Mais ici, il ne s’agit pas de couper une branche morte : on est en train de sectionner les racines. Si le RGPD devient un simple « guide de bonnes pratiques », on revient à l’ère pré-2018, où la protection des données reposait sur la bonne volonté… et une confiance aveugle dans des GAFAM au RSA moral.
Alors non, ce n’est pas une réforme, c’est un « dé-RGPD », et si l’objectif est d’apaiser les PME, il ne faudrait pas qu’il se fasse au prix de la confiance des citoyens européens.
Voir nos articles sur le RGPD :
