Réforme du RGPD en 2025 ? Simplification des obligations de tenue de registres et harmonisation des règles numériques de l’UE

La Commission européenne s’efforce de réduire les lourdeurs administratives afin d’alléger les formalités et les obligations de conformité. En 2025, même le RGPD, longtemps considéré comme intouchable, est prévu pour être simplifié dans le cadre de cette initiative.

La Commission européenne prépare un " allègement bureaucratique " du RGPD
Dès début 2025, la Commission européenne a annoncé son intention de simplifier le Règlement général sur la protection des données (RGPD), dans le cadre d’un effort plus large visant à renforcer la compétitivité européenne en réduisant les charges réglementaires. L’équipe de la présidente Ursula von der Leyen a lancé plusieurs paquets législatifs « Omnibus » pour rationaliser les règles de l’UE, en réponse aux critiques selon lesquelles les lois complexes de l’Europe – comme le RGPD – entravent l’innovation et la croissance des entreprises. Un rapport très médiatisé de l’ancien Premier ministre italien Mario Draghi, publié fin 2023, avertissait que des réglementations trop lourdes – « le RGPD et d’autres règles contraignantes » – empêchaient l’économie de l’UE de rivaliser efficacement avec les États-Unis et la Chine. Dans ce que l’on appelle désormais le quatrième paquet Omnibus, Bruxelles propose des amendements ciblés au RGPD, en se concentrant sur la simplification administrative pour les petites entreprises.

Le commissaire à la Justice, Didier Reynders (et son successeur, le commissaire Michael McGrath, en 2025), a souligné que cette initiative se concentrerait sur « les obligations de déclaration pour les organisations de moins de 500 personnes », tout en « préservant l’objectif fondamental du régime RGPD ». En d’autres termes, l’objectif est de faciliter la conformité des PME sans affaiblir les droits fondamentaux en matière de protection des données. « Nous devons rendre la conformité plus facile pour les entreprises… Nous n’avons pas besoin de réguler de manière stupide », a déclaré la ministre danoise du Numérique, Caroline Olsen, illustrant l’esprit pro-business de cette réforme. La proposition de réforme devait être dévoilée fin mai 2025, dans le cadre de la stratégie de compétitivité de l’UE.

---

Relèvement des seuils et réduction des formalités administratives
Le projet d’amendement du RGPD (6 mai 2025) se limite à l’article 30(5) – la disposition relative à la tenue de registres (Registres des activités de traitement, ou RoPA). Il introduit plusieurs modifications visant à alléger les obligations documentaires pour les organisations de plus petite taille :

• Seuil d’effectif plus élevé pour les RoPA : L’exemption de tenue de registres, actuellement applicable aux entités de moins de 250 employés, serait étendue aux entreprises comptant jusqu’à 500 employés (parfois appelées « petites entreprises de taille intermédiaire ») ainsi qu’aux organisations à but non lucratif de moins de 500 employés. Cela élargit considérablement le nombre d’organisations dispensées des obligations de tenue de registres.
• Concentration sur les traitements à haut risque : La proposition resserre les critères de risque qui annulent l’exemption de tenue de registres. Actuellement, même une entreprise de moins de 250 employés doit tenir des registres si son traitement est « susceptible d’engendrer un risque » pour les droits des personnes, n’est pas occasionnel ou implique des catégories spéciales de données. La réforme modifierait ce déclencheur pour ne concerner que les traitements « susceptibles d’engendrer un risque élevé », élevant ainsi le seuil de risque imposant aux petites entités de tenir des registres. En pratique, seules les activités de traitement plus significatives ou sensibles (celles présentant un risque élevé) nécessiteraient une documentation pour les organisations de moins de 500 employés.
• Suppression de la condition de « traitement occasionnel » : La règle actuelle ne s’applique pas si le traitement des données n’est pas occasionnel (c’est-à-dire s’il est régulier ou fréquent, des registres sont nécessaires indépendamment de la taille de l’entreprise). Le projet supprime cette condition. En abandonnant le critère « occasionnel », la loi ne rendrait plus automatique la tenue de registres pour les traitements quotidiens d’une petite entreprise, tant que ces traitements n’atteignent pas le seuil de risque élevé.
• Clarification des exemptions pour les données sensibles : Actuellement, l’utilisation de catégories spéciales de données (données sensibles comme la santé, la race, etc.) ou de casiers judiciaires peut également disqualifier une entreprise de l’exemption de tenue de registres. La réforme semble assouplir cette règle dans certains cas : un nouveau considérant préciserait que le traitement de données sensibles pour se conformer à une obligation légale en matière d’emploi, de sécurité sociale ou de protection sociale ne déclencherait pas d’obligation de tenue de registres. Par exemple, une petite entreprise traitant les données de santé de ses employés pour respecter ses obligations légales pourrait toujours bénéficier de l’exemption de tenue de registres selon la règle révisée.
  
  
  
• Ces changements visent à simplifier les tâches administratives sans compromettre les protections de la vie privée. Il est crucial de noter que toute organisation, quelle que soit sa taille, devrait toujours tenir des registres pour les traitements susceptibles de présenter un risque élevé (par exemple, ceux nécessitant une analyse d’impact relative à la protection des données). La Commission a insisté sur le fait que les principes fondamentaux du RGPD (comme la licéité, la transparence, les droits des personnes concernées, la sécurité, etc.) restent inchangés. Seule la charge administrative est ciblée pour être réduite. Comme l’a souligné une analyse, l’UE  "facilite la tenue de registres RGPD pour les organisations de moins de 500 employés tout en maintenant les principes fondamentaux de protection des données ".

 

Réaction prudente du CEPD et du CEPDS

 Le 8 mai 2025, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPDS) – les principaux régulateurs de la vie privée de l’UE – ont publié une lettre conjointe en réponse au projet de la Commission. Leur position peut se résumer à un " soutien préliminaire, avec des réserves".

Le CEPD et le CEPDS ont salué l’intention de simplifier la tenue de registres et reconnu que la proposition est une "initiative de simplification ciblée » qui ne remet pas en cause les autres obligations du RGPD. Ils estiment qu’il est raisonnable d’alléger la conformité pour les acteurs plus petits, à condition que les garanties clés restent en place. En particulier, les régulateurs "se félicitent que l’obligation de tenir des registres soit toujours requise pour les traitements ‘susceptibles de présenter un risque élevé’", louant le projet pour son approche basée sur le risque. Cela signifie qu’une entreprise de moins de 500 employés ne peut pas se dispenser de documentation pour les traitements présentant des risques significatifs pour la vie privée – un point que les autorités de protection des données jugent important.

Cependant, le CEPD et le CEPDS ont également exprimé des réserves. Ils "rappellent que même les très petites entreprises peuvent s’engager dans des traitements à haut risque", avertissant que des opérations en apparence simples peuvent, dans certaines circonstances, avoir un impact sur les droits fondamentaux. Ils insistent sur l’importance de définir clairement ce qu’est un « risque élevé" (en citant les lignes directrices existantes sur les analyses d’impact) et notent que la suppression de la clause de « traitement occasionnel  "ne signifie pas que ces activités ne présentent aucun risque. En essence, les régulateurs veulent s’assurer qu’aucune faille ne permet à des traitements risqués de rester non documentés.

La lettre appelle également la Commission à mieux justifier et analyser l’impact de la réforme. Le CEPD et le CEPDS demandent des données sur "le nombre d’entreprises et d’organisations qui en bénéficieraient " et une évaluation de l’effet potentiel de ce changement sur les niveaux globaux de protection des données. Cette analyse, selon eux, est nécessaire pour confirmer que l’amendement établit un « équilibre proportionné et équitable » entre l’allègement des charges pour les entreprises et la protection des données personnelles. Les régulateurs de la vie privée donnent ainsi un feu vert conditionnel : ils soutiennent la réduction des formalités pour les PME, à condition que les protections basées sur le risque restent robustes et que des preuves montrent que l’équilibre est juste.

(À noter que la proposition législative formelle n’avait pas encore été publiée début mai, de sorte que la lettre du CEPD/CEPDS constitue un avis préliminaire. Une consultation complète aura lieu une fois le projet de loi officiellement publié.)

Une vision plus large : les paquets Omnibus Cette modification du RGPD s’inscrit dans un ensemble plus vaste. La Commission von der Leyen a lancé un projet global de simplification de la législation de l’UE, regroupant les changements dans des "paquets Omnibus". La réforme de la tenue de registres est explicitement prévue pour faire partie du quatrième paquet Omnibus en mai 2025. Les paquets Omnibus précédents (lancés en février 2025) ciblaient des domaines comme la déclaration de durabilité et la diligence raisonnable des entreprises, réduisant principalement les obligations pour les petites entreprises. L’objectif commun est de « réduire les charges administratives de 25 %, et de 35 % pour les PME, d’ici la fin de 2029 ".

Dans le domaine de la réglementation numérique, le programme de travail 2025 de la Commission a également annoncé un « bilan de santé" complet de l’acquis numérique et un "paquet numérique  "plus tard en 2025 pour réviser des lois telles que le RGPD, la loi sur les données, la loi sur la gouvernance des données, la loi sur la cybersécurité, la loi sur l’IA, etc., en vue de les harmoniser et de les simplifier. Dans ce contexte, la réforme modérée du RGPD concernant la tenue de registres peut être vue comme une première étape vers la mise à jour et l’harmonisation du cadre réglementaire numérique de l’UE. Elle s’aligne sur l’agenda de compétitivité de la Commission et les recommandations de Draghi visant à réduire les règles jugées redondantes ou disproportionnées.

Les observateurs ont noté que la politique de réouverture du RGPD est délicate. Le RGPD était une loi phare ; le fait de le modifier, même pour une correction limitée, pourrait déclencher des batailles de lobbying sur des questions plus larges. La Commission a pris soin de décrire cette réforme comme un " amendement ciblé  "et non une refonte complète, probablement pour éviter d’ouvrir la boîte de Pandore. Jusqu’à présent, il semble y avoir un soutien général parmi les institutions de l’UE pour alléger les obligations bureaucratiques pesant sur les petites entreprises honnêtes, surtout face aux plaintes selon lesquelles le labyrinthe réglementaire européen étouffe les startups locales. Comme l’a commenté un avocat spécialisé en protection des données, la proposition "vise à réduire les charges de conformité pour certaines organisations, tout en maintenant les garanties fondamentales en matière de vie privée" – un équilibre politiquement acceptable. Le paquet Omnibus 4 s’inscrit ainsi dans une narrative selon laquelle l’Europe peut réduire les formalités administratives sans sacrifier la vie privée, démontrant une approche nuancée de la qualité plutôt que de la quantité des réglementations.

Cadre réglementaire enchevêtré et " inflation réglementaire "
 Le débat sur la réforme du RGPD se déroule dans un contexte d’« inflation réglementaire » dans l’économie numérique de l’UE – une prolifération de nouvelles règles abordant le contenu en ligne, la concurrence, l’IA, et bien plus encore. Ces dernières années, l’UE a mis en place ou élaboré plusieurs cadres majeurs en plus du RGPD, notamment la loi sur les services numériques (DSA), la loi sur les marchés numériques (DMA), la loi sur l’intelligence artificielle (AI Act), et des tentatives de réglementation ePrivacy. Cette flopée de législations, bien qu’elle vise à traiter des problèmes distincts, a suscité des inquiétudes quant aux chevauchements d’obligations et à la complexité de la conformité :

• Loi sur les services numériques (DSA) et loi sur les marchés numériques (DMA) : Ces lois de 2022 imposent des obligations aux plateformes en ligne (DSA) et aux « gardiens » de la technologie (DMA). Bien que leur objectif ne soit pas directement la protection des données, elles ajoutent des couches de conformité (processus de modération de contenu, règles de concurrence loyale) qui intersectent avec la gestion des données. Les décideurs politiques mettent en garde contre le fait que la mise en œuvre de la DSA et de la DMA ne doit pas « reproduire les complexités administratives et les ambiguïtés juridiques associées au RGPD ». En d’autres termes, l’Europe souhaite s’assurer que ses nouvelles réglementations sur les plateformes ne recréent pas involontairement des charges ou des conflits similaires à ceux du RGPD. Par exemple, la DSA et le RGPD abordent tous deux la transparence – la DSA pour le contenu et les publicités, le RGPD pour les données personnelles – et les régulateurs doivent garantir la cohérence dans l’application. Le chevauchement est également une préoccupation pratique : une grande plateforme pourrait faire l’objet d’un audit au titre de la DSA et d’une enquête au titre du RGPD simultanément, ce qui rend la coordination essentielle pour éviter les doublons inutiles.
• Loi sur l’IA : Le futur règlement sur l’intelligence artificielle introduira des règles sur les systèmes d’IA (comme les évaluations des risques, la transparence des données, les exigences de supervision humaine). Le chevauchement avec le RGPD est explicitement reconnu : la loi sur l’IA régit les systèmes d’IA, tandis que le RGPD régit les données personnelles – mais l’IA repose souvent sur des données personnelles. Pour éviter une double réglementation, les experts suggèrent de clarifier les frontières afin que la conformité à un régime ne contredise pas l’autre. Le CEPD lui-même a conseillé d’éliminer les chevauchements réglementaires avec la loi sur l’IA pour « éviter de pénaliser les entreprises européennes » développant des solutions d’IA, notant que le RGPD couvre déjà de nombreux aspects de la protection des données pertinents pour l’IA. Par exemple, une entreprise d’IA traitant des données personnelles devrait toujours respecter les principes du RGPD (base légale, minimisation des données) en plus des normes de la loi sur l’IA ; les régulateurs veulent s’assurer que ces exigences s’articulent plutôt que de s’accumuler en demandes contradictoires.
• Règlement ePrivacy : Une loi sœur du RGPD, destinée à réguler spécifiquement la confidentialité des communications électroniques (cookies, confidentialité des messages, etc.), le règlement ePrivacy est bloqué dans un bourbier législatif depuis 2017. En fait, il a été retiré début 2025 sans adoption, les législateurs de l’UE se concentrant sur d’autres outils. Cela laisse en place l’ancienne directive ePrivacy de 2002, complétée par le RGPD et les nouvelles lois numériques. L’échec du règlement ePrivacy reflète en partie une « fatigue réglementaire » – l’UE avait peut-être trop d’initiatives chevauchantes. Certains aspects de l’ePrivacy (comme les règles sur les cookies) sont désormais gérés par un mélange de RGPD (par exemple, les exigences de consentement) et des dispositions de la DSA sur les plateformes en ligne, mais l’absence d’une loi dédiée et mise à jour signifie un paysage fragmenté. L’agenda de simplification de la Commission reconnaît implicitement cette surcharge : plutôt que d’ajouter une autre réglementation complexe, la stratégie consiste à rationaliser ce qui existe déjà. Les objectifs de l’ePrivacy pourraient réapparaître de manière plus harmonisée dans le cadre du bilan de santé numérique global, garantissant que la vie privée dans les communications soit abordée sans créer un autre cadre réglementaire distinct.

La présence de plusieurs cadres a indéniablement augmenté les charges de conformité – un phénomène parfois appelé l’" effet Bruxelles" à double tranchant : bien qu’il exporte des normes élevées à l’échelle mondiale, il crée également un réseau dense de règles au niveau local. Même au sein du RGPD, une application inégale parmi les États membres a conduit à une fragmentation et à une incertitude juridique. La réforme actuelle peut être vue comme une réponse à ces critiques, réduisant une obligation interne du RGPD (RoPA) pour faciliter la vie des acteurs plus petits, tout en suggérant la nécessité de mieux coordonner les réglementations. En simplifiant un élément du puzzle maintenant, l’UE pourrait tester le terrain pour aligner les autres à l’avenir. Comme le suggère une analyse, l’amélioration réelle du climat réglementaire numérique de l’UE nécessitera de "s’attaquer aux règles chevauchantes, inutiles ou disproportionnées" dans l’ensemble, et pas seulement au sein du RGPD.

Vers une réglementation numérique harmonisée et adaptée aux PME ?
La proposition de réforme du RGPD de 2025, bien que limitée dans son champ d’application, a une portée symbolique. Elle représente la volonté de l’UE de concilier vie privée et pragmatisme. Pour les startups et les entreprises de taille moyenne, le relèvement du seuil des RoPA à 500 employés et la limitation de la tenue de registres aux cas à haut risque pourraient réduire significativement les coûts de conformité au quotidien. Ce soulagement pragmatique et basé sur le risque a été salué par les communautés d’affaires, qui soutiennent que les ressources consacrées aux formalités administratives pourraient être mieux utilisées pour innover – sans mettre en danger la vie privée des individus. En simplifiant les obligations pour les petites entreprises, l’UE fait un "pas positif vers un cadre plus proportionné", comme l’ont noté les commentateurs.

Il est crucial de souligner que cette mesure est prise sans abandonner les principes fondamentaux du RGPD. La réforme évite explicitement de toucher aux droits fondamentaux ou d’affaiblir la lutte contre les abus graves. Il s’agit d’un ajustement chirurgical qui reste fidèle à l’esprit du RGPD (protéger les données personnelles) tout en allégeant certaines lourdeurs bureaucratiques. En ce sens, elle établit un précédent : les futures législations numériques de l’UE pourraient également être ajustées pour mieux correspondre à la taille et au profil de risque des organisations. En effet, le commissaire McGrath a présenté la modification du RGPD comme faisant partie d’une « série de mesures de simplification "visant à améliorer la compétitivité de l’économie européenne.

À l’avenir, beaucoup espèrent que cette réforme n’est qu’une première étape vers un environnement réglementaire numérique plus cohérent. Avec l’entrée en vigueur de nouvelles lois comme la loi sur l’IA, l’UE est confrontée au défi d’intégrer ces textes avec le RGPD et entre eux. Une approche harmonisée – où les chevauchements sont minimisés et les règles simplifiées – aiderait à empêcher l’inflation réglementaire d’étouffer les entreprises. La proposition sur la tenue de registres RGPD montre que l’UE est consciente de ces préoccupations et prête à recalibrer. Bien que les défenseurs de la vie privée surveilleront attentivement pour s’assurer que les protections des données ne sont pas érodées, il règne un ton généralement optimiste selon lequel une simplification intelligente peut être un « gagnant-gagnant » : rendre la conformité plus accessible pour les entreprises honnêtes (en particulier les PME) et rendre le cadre global plus efficace en se concentrant sur ce qui compte vraiment (les traitements à haut risque et à fort impact).

En résumé, l’initiative de réforme du RGPD de 2025 se situe à l’intersection de la vie privée et de la compétitivité. Elle reconnaît qu’après près de sept ans de RGPD, une approche unique ne peut plus être optimale dans un paysage numérique en évolution. En relevant le seuil des RoPA et en clarifiant les obligations, l’UE s’efforce de réduire les formalités administratives tout en maintenant des normes de protection des données robustes. Si cette réforme mesurée réussit, elle pourrait ouvrir la voie à une meilleure alignement des lois numériques européennes – de la protection des données à l’IA et au-delà –, facilitant la vie des entreprises conformes et des régulateurs. C’est une voie prudente vers un cadre réglementaire numérique de l’UE plus simplifié, harmonisé et prêt pour l’avenir.

Comment Anove soutient ce changement ?
Chez Anove, nous adoptons l’esprit de simplification réglementaire en proposant des solutions de conformité intelligentes qui s’adaptent aux paysages législatifs en évolution. Nous aidons les organisations à rationaliser leurs efforts RGPD en minimisant la charge administrative traditionnellement associée à la tenue de la documentation, aux rapports et aux contrôles. En nous alignant sur la volonté de l’UE de réduire les formalités inutiles, Anove contribue à atténuer l’" effet Bruxelles "– l’accumulation d’obligations chevauchantes et souvent lourdes. Notre plateforme intègre les exigences des principaux cadres tels que le RGPD, la loi européenne sur l’IA et la loi sur les services numériques (DSA) dans un processus de conformité unifié et cohérent. Cela permet à nos clients de gérer les exigences transréglementaires via une approche structurée, gagnant du temps, assurant la cohérence et permettant une concentration plus claire sur le risque et la responsabilité.

Pour en savoir plus, consultez nos articles précédents :

• Sur le rapport de Mario Draghi :
  • "Comment les entreprises peuvent-elles faire face à l’augmentation des réglementations technologiques de l’UE ? " Lien
• Sur l’inflation des réglementations technologiques :
  • "Réglementations technologiques : comment soulager le fardeau des organismes de supervision"  Lien
  • "Naviguer dans le nouveau paysage des réglementations technologiques de l’UE : un appel à l’innovation locale" Lien
• Sur la loi européenne sur l’IA :
  • "Loi européenne sur l’IA – Les 5 articles clés que vous devez connaître maintenant ! Ne manquez pas le 4ème !"  Lien
• Sur la gestion de la charge administrative en tant que PME :
  • "La manière la plus simple pour un PDG de tech de se libérer de la charge administrative des futures législations technologiques" Lien

Sources :

• Commission européenne, Projet de proposition de simplification du RGPD (2025) – amendement de l’art. 30(5), tel que référencé dans la lettre du CEPD-CEPDS.
• CEPD & CEPDS, Lettre conjointe sur la simplification de la tenue de registres RGPD, 8 mai 2025.
• Politico EU, "La loi européenne sur la vie privée RGPD est sur le point d’être allégée" (Ellen O’Regan, 3 avril 2025).
• The Record, "L’Europe prépare un ‘allègement’ du RGPD" (Suzanne Smalley, 7 avril 2025).
• Inside Privacy (Covington), "La Commission européenne confirme ses plans de simplification du RGPD" (17 mars 2025).
• GamingTechLaw, "Retour préliminaire du CEPD et du CEPDS sur la simplification du RGPD" (mai 2025).
• Lawfare,  "L’Europe est-elle sur le point de ralentir le rythme des réglementations numériques ?" (octobre 2023).
• Cookiebot, Mise à jour sur le statut du règlement ePrivacy (2025).
• Communiqué de presse de la Commission européenne, "La Commission propose de réduire les formalités administratives…" (26 février 2025).