En mai dernier, la Commission européenne a proposé une simplification du RGPD par un allègement du registre des traitements que doivent tenir les entreprises ou organisations employant moins de 750 personnes[1]. Il y a quelques jours, l’EDPB et l’EDPS ont donné leur avis sur cette proposition.
Pour rappel, le RGPD prévoit la tenue d’un registre des traitements « allégé » pour les entreprises ou organisations comptant moins de 250 personnes. En effet, pour ces organismes, seuls les traitements (i) qui sont susceptibles de comporter un risque pour les droits et les libertés des personnes concernées, (ii) qui ne sont pas occasionnels ou (iii) qui portent sur des données sensibles (au sens de l’article 9 du RGPD) ou des données personnelles relatives à des condamnations pénales et à des infractions (au sens de l’article 10 du RGPD), doivent figurer au registre.
La Commission européenne a récemment proposé que le registre des traitements « allégé » profite à un panel plus large d’entreprises ou organisations, à savoir celles comptant moins de 750 personnes. Aussi, selon la proposition de la Commission, ce ne sont pas trois, mais un seul type de traitements qui doit être mentionné dans le registre de ces organismes, à savoir les traitements présentant un risque élevé pour les droits et libertés des personnes (au sens de l’article 35 du RGPD).
Dans leur avis conjoint, l’EDPB et l’EDPBS ont accueilli favorablement, dans l’ensemble, cette proposition, mais ont demandé à la Commission certaines clarifications.
En particulier, les autorités européennes ont interrogé la Commission sur les raisons ayant conduit à retenir le seuil de 750 personnes (et non 500) qui pourrait conduire, dans certains Etats membres, à une généralisation du registre des traitements « allégé ».
L’EDPB et l’EDPBS ont également demandé à ce que soient apportées certaines précisions relativement aux organismes concernés par le dispositif proposé, à savoir : (i) la référence aux notions de PME, micro-entreprises et entreprises de taille intermédiaire[2] telles que proposées par la Commission ; (ii) l’exclusion expresse des autorités publiques et des organismes publics[3], quelle que soit leur taille.
Enfin, les autorités européennes ont rappelé que les organismes bénéficiaires de la tenue d’un registre des traitements « allégé » restent évidemment tenues de respecter les autres exigences du RGPD. A cet égard, l’EDPB et l’EDPS ont souligné que la tenue d’un registre « complet », c’est-à-dire contenant l’ensemble des traitements réalisés par l’organisme concerné, peut aider ce dernier à se conformer au RGPD (par exemple dans le cadre de l’identification de la base légale d’un traitement, la réponse à des demandes d’exercices de droit des personnes concernée, l’évaluation de la nécessité de réaliser une analyse d’impact, etc.).
En d’autres termes, le registre des traitements « complet » reste recommandé pour tous les organismes !
A suivre…
[1] https://commission.europa.eu/document/download/7fd9c846-b894-4f9f-b164-3b926d1b264b_en?filename=Proposal%20GDPR%20Omnibus.pdf
[2] A noter que ces notions font référence non seulement au nombre de personnes employées par l’entreprise concernée, mais aussi au chiffre d’affaires réalisé.
[3] L’emploi de la formule « organisation » pouvant créer un doute sur l’inclusion de tels organismes.
Source : ici