Le Règlement général sur la protection des données (RGPD), entré en vigueur dans l’UE en 2018, s’est imposé comme une référence mondiale. Il fixe des normes strictes de protection de la vie privée et des droits individuels.
Cependant, de nombreuses voix dénoncent la complexité administrative du RGPD, qui rend difficile sa compréhension et sa mise en conformité.
Ces contraintes pèsent particulièrement sur les petites et moyennes entreprises (PME), qui disposent de moins de ressources pour gérer le consentement valide des utilisateurs, sécuriser leurs données et assurer les reportings nécessaires.
En parallèle, les sanctions liées aux manquements, les perturbations opérationnelles et les atteintes à la réputation pèsent proportionnellement plus lourd sur les petites entreprises.
Face à ce constat, les régulateurs européens proposent aujourd’hui une simplification du RGPD, notamment à destination des PME. L’objectif : réduire les charges administratives de 35 % pour les PME et de 25 % globalement d’ici à 2029.
La Commission européenne (CE) insiste toutefois sur un point essentiel : les exigences fondamentales en matière de confidentialité et de protection des données resteront intactes.
Examinons ces changements envisagés, leurs bénéficiaires potentiels et leurs impacts éventuels sur les entreprises et la gestion de la conformité.
Qui propose ces changements du RGPD ?
La Commission européenne a préparé une législation-cadre destinée à simplifier plusieurs dispositions du RGPD. Le 6 mai 2025, elle a communiqué au Comité européen de la protection des données (CEPD) et au Contrôleur européen de la protection des données (CEPD, ou EDPS en anglais) les détails des modifications envisagées.
Le 8 mai 2025, le CEPD et l’EDPS ont répondu favorablement, tout en soulignant la nécessité de maintenir des obligations strictes pour les traitements à risque élevé, indépendamment de la taille des entreprises concernées.
Ils ont aussi demandé des précisions sur le nombre d’entreprises concernées et l’impact potentiel sur la protection des données. Une consultation formelle suivra la publication de la proposition législative.
Le 25 mai 2025, la CE a publié ses propositions de modifications du RGPD, ciblant principalement les PME et les entreprises de taille intermédiaire (ETI), trois fois plus grandes que les PME classiques.
Quelles modifications sont envisagées dans le RGPD ?
Les changements proposés sont relativement limités, portant principalement sur trois articles du RGPD. Cependant, le texte proposé n’est pas encore loi.
Sans surprise, certains estiment que ces propositions affaibliraient potentiellement trop le RGPD, tandis que d’autres pensent au contraire qu’elles sont trop modestes pour véritablement alléger les contraintes des petites entreprises.
Exemption étendue sur les registres des traitements
L’article 30 du RGPD exempte actuellement les PME et autres organisations comptant moins de 250 salariés de tenir un registre détaillé des activités de traitement dans certaines conditions.
La proposition étendrait cette exemption aux ETI et autres entreprises de moins de 750 salariés, sauf pour les activités de traitement présentant un risque élevé pour les droits et libertés des personnes concernées [art. 30(5) RGPD].
Élargissement des codes de conduite
L’article 40 du RGPD exige actuellement que les associations représentant les responsables du traitement ou sous-traitants créent des codes de conduite adaptés spécifiquement aux PME. La proposition inclurait également les ETI.
Extension des certifications en matière de protection des données
Art. 42 GDPR encourage actuellement la mise en place de mécanismes de certification et labels de protection des données adaptés aux besoins des PME. La proposition étendrait ces certifications également aux ETI.
Réactions à ces propositions
Ces propositions suscitent certaines critiques. L’IAPP compare ces modifications à l’ouverture d’une « boîte de Pandore », pouvant affaiblir considérablement le RGPD.
CCIA Europe estime quant à elle que ces changements ne sont que des « correctifs cosmétiques » insuffisants, qui allégeraient le fardeau du RGPD pour seulement 0,2 % des entreprises de l’UE.
Quels bénéfices pour les entreprises ?
Les bénéfices immédiats concernent surtout les entreprises, mais pourraient aussi impacter favorablement les régulateurs et les consommateurs.
Entreprises :
Le RGPD exige souvent une importante documentation pour assurer la conformité organisationnelle. Pour les petites entreprises qui disposent généralement de ressources financières, techniques et humaines limitées, créer et maintenir l’ensemble de cette documentation est depuis longtemps une source de difficultés.
Réduire ces exigences documentaires et de reporting permettrait probablement aux entreprises de libérer des ressources, afin de mieux se concentrer sur leur cœur d’activité, l’expérience client et leur croissance. Elles pourraient aussi réaliser des économies significatives, notamment sur les frais juridiques et les logiciels dédiés à la gestion de la conformité.
Les entreprises pourraient ainsi innover plus rapidement, tout en conservant une approche Privacy-Led Marketing. Il y aurait tout simplement moins de contraintes purement administratives et centrées sur le RGPD dans le développement ou la mise à jour des nouveaux produits, services, modes de gestion du consentement et autres opérations.
Enfin, ces simplifications pourraient permettre aux entreprises d’anticiper et de s’adapter plus facilement aux futures évolutions du RGPD, rendant leur conformité plus simple et moins coûteuse.
Bénéfices de la simplification du RGPD pour les consommateurs
Du point de vue des consommateurs, cette simplification pourrait rendre la documentation obligatoire plus facile à comprendre. Les politiques de confidentialité et les bandeaux de consentement deviendraient ainsi plus simples et plus clairs pour les visiteurs de sites web et utilisateurs d’applications
Cela permettrait de réduire la confusion sur l’utilisation qui est faite de leurs données et sur leurs droits. Une simplification faciliterait aussi les démarches pour les demandes d’accès aux données personnelles (DSAR) ainsi que les autres moyens d’exercice de leurs droits.
Ces changements contribueraient à renforcer la confiance des consommateurs envers les entreprises, à bâtir des relations durables et pourraient améliorer significativement les taux d’opt-in pour la collecte et le traitement des données.
Bénéfices de la simplification du RGPD pour les régulateurs
La simplification du RGPD pourrait également alléger la charge pesant sur les régulateurs. Les autorités de protection des données (APD) auraient moins à interpréter les exigences légales appliquées aux différentes activités des entreprises.
Idéalement, cela conduirait à moins d’incertitude, à des contrôles plus rapides et à une meilleure harmonisation de l’application du règlement à travers les États membres.
Des entreprises mieux à même de comprendre et respecter leurs obligations de conformité réduiraient probablement le travail des autorités, avec moins de questions et un besoin moindre en accompagnement et en formation.
Cela se traduirait aussi par une baisse probable du nombre d’amendes et d’autres sanctions pour des infractions non intentionnelles, ainsi que par une diminution du travail lié à la résolution de ces infractions et au maintien dans la durée de la conformité des entreprises.
Tous ces aspects s’inscrivent dans l’objectif global du projet de simplification du RGPD, à savoir permettre aux entreprises européennes d’être plus compétitives à l’international. Par ailleurs, les changements proposés pourraient lever certains freins aux investissements étrangers et aux partenariats au sein de l’Union européenne.
Quelles sont les préoccupations suscitées par les changements proposés au RGPD ?
La préoccupation centrale du Comité européen de la protection des données (CEPD) et du Contrôleur européen de la protection des données (EDPS) est d’éviter tout affaiblissement significatif du RGPD. Leur priorité est de garantir que la solide protection des données personnelles et des droits fondamentaux reste intacte dans l’Union européenne.
Cependant, tout comme lors de l’élaboration initiale du RGPD, les propositions actuelles soulèvent des inquiétudes quant aux pressions exercées par le lobbying, qui pourraient aboutir à un affaiblissement excessif du règlement final.
À l’époque de la rédaction initiale du RGPD, les grandes entreprises technologiques avaient déjà investi massivement dans le lobbying auprès des autorités européennes, dans l’espoir d’influencer à leur avantage la formulation finale du texte.
Parmi ces entreprises figurent certaines des plus grandes plateformes mondiales, disposant de moyens financiers considérables et d’une forte volonté de lever un maximum de freins réglementaires pour faciliter l’accès aux données des utilisateurs, le recours à la publicité ciblée, ainsi que d’autres pratiques encadrées par le RGPD.
Par ailleurs, certaines organisations militantes déposent régulièrement de nombreuses plaintes concernant des problématiques liées au RGPD et des violations présumées. Une suppression de certaines obligations juridiques pourrait entraîner une augmentation des griefs perçus par ces organisations, générant ainsi davantage d’actions judiciaires.
Il convient néanmoins de noter que les exigences fondamentales du RGPD seraient extrêmement difficiles à supprimer ou affaiblir significativement, car la protection des données à caractère personnel est un droit fondamental inscrit dans la Charte des droits fondamentaux de l’Union européenne.
Quel impact les modifications proposées auraient-elles sur la protection des données ?
Les exigences fondamentales du RGPD ne changeraient pas. Par exemple, les entreprises seraient toujours tenues d’informer les utilisateurs sur leurs droits et l’utilisation de leurs données, et d’obtenir leur consentement pour collecter et traiter ces données personnelles.
Comme mentionné précédemment, l’expérience utilisateur relative à la vie privée pourrait s’améliorer grâce à une simplification des politiques de confidentialité, des notices d’information et d’autres sources documentaires destinées aux personnes concernées.
Étant donné que les changements législatifs proposés concernent principalement les PME, il existe un risque qu’un RGPD « à deux vitesses » se développe progressivement. Ce système pourrait imposer des contraintes plus strictes aux grandes entreprises, ralentissant potentiellement leur croissance et leur capacité d’innovation, tandis que les petites entreprises bénéficieraient d’exigences réduites, leur permettant davantage d’agilité et de réactivité.
Même si l’inquiétude demeure concernant les efforts de lobbying visant à affaiblir le RGPD, notamment venant du secteur technologique, une vigilance accrue subsiste afin de préserver l’intégrité et la robustesse des droits relatifs à la protection des données sous le RGPD.
Accord de coalition allemand et protection des données
En mai 2025, le nouveau gouvernement allemand a signé un accord de coalition. Les partis concernés ont ainsi défini de manière contractuelle un agenda politique commun, leurs priorités et des initiatives législatives spécifiques.
Cet accord apporte une transparence publique sur les intentions gouvernementales ainsi que sur les projets réglementaires et législatifs susceptibles d’affecter la protection des données et les citoyens. Parmi les points spécifiques potentiellement importants pour la protection des données en Allemagne, particulièrement dans le contexte des modifications proposées au RGPD, figurent :
- – l’exclusion des petites et moyennes entreprises (PME) du champ d’application du RGPD, tout en conservant des standards élevés en matière de protection de la vie privée,
- – la centralisation de l’autorité allemande de protection des données (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – BfDI),
- – la mise en place d’un portefeuille européen d’identité numérique (EUDI Wallet).
Plus généralement, les discussions portent aussi sur les idées suivantes, sans qu’aucun projet concret n’ait été pour l’instant rédigé ou arrêté :
- un principe de type « single sign-on », selon lequel les citoyens n’auraient à fournir leurs données aux autorités publiques qu’une seule fois ; ces autorités seraient ensuite tenues de partager ces informations (avec consentement et contrôle d’accès appropriés),
- l’instauration de solutions de type opt-out pour le traitement des données personnelles dans les services publics,
- l’abandon de la loi allemande sur le devoir de vigilance dans les chaînes d’approvisionnement (German Supply Chain Act), pour la remplacer par une solution administrative moins lourde,
- le développement de l’Allemagne comme centre d’excellence et d’innovation en matière d’intelligence artificielle, en particulier dans le secteur public.
Bonnes pratiques pour renforcer la protection des données et la compétitivité
Il est crucial que les exigences fondamentales et les objectifs centraux du RGPD soient préservés, car ils constituent la pierre angulaire de la protection des citoyens et des entreprises au sein de l’Union européenne. Ces principes ont également exercé une forte influence sur les réglementations d’autres pays en matière de vie privée ; ainsi, il est probable que ces derniers continueront à suivre de près l’évolution du RGPD pour adapter leur propre législation.
Même si beaucoup d’entreprises apprécieraient une réduction des lourdeurs administratives, les exigences essentielles du RGPD bénéficient concrètement aux entreprises comme à leurs clients. Respecter ces exigences implique une bonne connaissance des opérations internes de l’entreprise, de sa stack technique et de sa clientèle, ainsi qu’un engagement fort à mettre en œuvre des mesures de conformité RGPD limitant les ressources nécessaires tout en offrant une excellente expérience utilisateur.
Une plateforme de gestion du consentement (CMP) représente un moyen efficace de fournir aux consommateurs européens les informations requises sur les traitements de données et de leur offrir un véritable choix en matière de consentement. Elle permet également de stocker en toute sécurité les historiques de consentement et d’en assurer le reporting, facilitant ainsi la réponse aux exigences réglementaires et aux éventuelles demandes des utilisateurs.
Les évolutions technologiques et les attentes des consommateurs continueront de progresser, et la concurrence mondiale restera vive. Dans le même temps, la quantité de données personnelles numériques générées par les utilisateurs va probablement continuer à augmenter, tout comme la demande d’exploitation de ces données.
Les régulateurs ont ainsi le défi immense de créer et maintenir des législations équilibrées, fortes et suffisamment flexibles. Heureusement, des entreprises telles que Usercentrics mettent à disposition des PME comme des grands groupes des outils leur permettant de simplifier leur conformité réglementaire continue tout en construisant une marque solide, fiable et compétitive.