« Moderniser » le RGPD ? Quelle bonne idĂ©eâŠ
Bruxelles a encore frappĂ©. Sous couvert de « rĂ©duction de la charge administrative », la Commission europĂ©enne a sorti de son chapeau une rĂ©forme du RGPD en 2024, censĂ©e « soutenir les PME » et « rendre la protection des donnĂ©es plus efficace ». On pourrait applaudir… si les professionnels de la protection des donnĂ©es (notamment les DPO) nâĂ©taient pas en train dâappeler les pompiers.
Ce que la Commission vend comme un RGPD light, certains experts y voient plutĂŽt un retour Ă la case dĂ©part, une dĂ©rĂ©glementation camouflĂ©e. Autrement dit, un peu comme repeindre un bunker en rose bonbon et dire que câest plus convivial â sauf que les murs sâĂ©croulent.
đïž En quoi consiste cette rĂ©forme ?
La rĂ©forme est portĂ©e par le projet âData Act simplification packageâ, prĂ©sentĂ© en avril 2024. Lâobjectif affichĂ© : rĂ©duire les contraintes pesant sur les entreprises, notamment les PME, qui seraient « étouffĂ©es » par les obligations RGPD. En pratique, cela se traduit par :
- La suppression de lâobligation de tenir un registre de traitement pour certaines structures de moins de 250 salariĂ©s.
- Un assouplissement du rÎle du DPO, avec une disparition possible de son obligation de désignation dans plusieurs cas.
- La déresponsabilisation en cas de sous-traitance, tant que les traitements sont « non risqués ».
- Un abandon du PIA (analyse dâimpact) pour un grand nombre de traitements jugĂ©s « standards ».
Et bien sĂ»r, le tout emballĂ© dans un discours façon « lâEurope protĂšge vos donnĂ©es mais sans gĂȘner la croissance » â un peu comme vouloir faire de la cuisine bio avec du glyphosate.
𧚠Les risques soulevés par les DPO (et ils ont raison de gueuler)
Les DPO (délégués à la protection des données) ont littéralement hurlé à la régression. Pour eux, cette réforme équivaut à :
- Ouvrir la porte au laisser-faire : en supprimant les obligations, on mise sur le « bon sens » des entreprises. Spoiler : le bon sens nâest pas conforme ISO 27001.
- Complexifier la gouvernance : avec des rĂšgles moins strictes mais plus floues, les interprĂ©tations vont diverger entre pays et entreprises, au mĂ©pris de lâuniformitĂ© europĂ©enne.
- Fragiliser les victimes de fuites de donnĂ©es : sans documentation, sans registre, sans DPO, bon courage pour retracer lâorigine dâune fuite ou dâun traitement illĂ©gal.
- Encourager le Shadow IT : eh oui, si les rÚgles sont light, les outils non référencés ou les pratiques borderline ont une autoroute devant elles.
En rĂ©sumĂ© ? On ne rĂ©duit pas la charge, on lâenterre, et on laisse le champ libre Ă ceux qui avaient dĂ©jĂ du mal Ă respecter le RGPD.
đŁ Est-ce un vrai pas en arriĂšre ?
Oui. Et pas quâun petit. On parle dâun RGPD qui a mis prĂšs de 6 ans Ă se faire respecter, oĂč les entreprises ont investi dans des DPO, des registres, des formations⊠pour maintenant leur dire : « En fait, on a peut-ĂȘtre Ă©tĂ© un peu sĂ©vĂšres. Faites Ă votre sauce. »
Câest un peu comme repeindre le Titanic aprĂšs la collision : un effort cosmĂ©tique pour cacher des failles systĂ©miques. Le plus ironique ? Cette rĂ©forme intervient au moment mĂȘme oĂč lâEurope affiche sa volontĂ© dâĂȘtre leader mondial en matiĂšre dâĂ©thique numĂ©rique (cf. AI Act, DSAâŠ). Le double discours est palpable.
đ”ïžââïž Les dĂ©tails Ă ne pas manquer
- Le CEPD (Comité Européen de la Protection des Données) a exprimé des « réserves sérieuses » sur cette réforme, mais on lui a gentiment demandé de retourner surveiller les cookies.
- Certains Ătats membres, dont lâAllemagne et la France, envisagent de conserver des obligations nationales plus strictes, ce qui pourrait casser lâharmonisation europĂ©enne.
- En parallĂšle, des acteurs privĂ©s poussent pour une certification RGPD allĂ©gĂ©e, voire auto-dĂ©livrĂ©e (ça sent l’arnaque Ă 15 km).
- Et pendant ce temps, les cyberattaques explosent, les ransomwares se baladent, et les données médicales continuent de se vendre sur le dark web. Mais oui, allons-y mollo sur les contrÎles.
đ§ En conclusion : simplifier ou saboter ?
On ne peut pas nier quâun peu de simplification administrative peut ĂȘtre utile. Mais ici, il ne sâagit pas de couper une branche morte : on est en train de sectionner les racines. Si le RGPD devient un simple « guide de bonnes pratiques », on revient Ă lâĂšre prĂ©-2018, oĂč la protection des donnĂ©es reposait sur la bonne volonté⊠et une confiance aveugle dans des GAFAM au RSA moral.
Alors non, ce nâest pas une rĂ©forme, câest un « dĂ©-RGPD », et si lâobjectif est dâapaiser les PME, il ne faudrait pas quâil se fasse au prix de la confiance des citoyens europĂ©ens.
Voir nos articles sur le RGPD :
