Gouvernance

RGPD : sabrer le registre, ou comment Bruxelles scie la branche de la conformité

Par Thierry Derouet, publié le 09 juin 2025

Sous couvert de « simplification » pour les PME, la Commission européenne s’apprête à tailler dans l’article 30 du RGPD, pilier de la cartographie des traitements. Une décision jugée irresponsable par les experts, qui y voient le fruit d’un lobbying bien orchestré… et un dangereux retour en arrière pour l’Europe de la donnée. Pour Jérôme Déroulez, associé chez Adequacy, affaiblir le registre, c’est débrancher la lumière sur les risques.

”Quand la conformité devient un avantage compétitif pour les fournisseurs européens, les lobbies anglo-saxons dégainent l’argument du fardeau administratif. » Jérôme Déroulez ne mâche pas ses mots. Pour l’associé d’Adequacy, la proposition de la Commission européenne d’exempter massivement les entreprises du registre des traitements relève moins de la simplification que du renoncement. En s’attaquant à l’article 30 du RGPD, Bruxelles fragilise un outil essentiel de gestion des risques. Elle offre ainsi une victoire discrète, mais stratégique, à ceux qui contestent l’esprit même de la régulation européenne.

Jérôme Déroulez

Associé chez Adequacy

On aurait pu avoir une approche pragmatique : proposer des modèles de registres sectoriels, des outils de simplification. Certaines autorités de protection, comme la CNIL, l’ont fait. Des outils comme Adequacy aussi. Il y avait matière à accompagner, pas à supprimer. Ce n’est pas parce qu’un outil est mal utilisé qu’il faut l’éliminer.»

Pour Jérôme Déroulez, la proposition revient à affaiblir délibérément la colonne vertébrale du règlement. « Le registre des traitements est un pilier du RGPD. Il permet de savoir ce qu’on fait réellement avec les données. Sans cela, impossible d’appliquer la réglementation », insiste-t-il. Or, cette cartographie est loin d’être une formalité. Elle est l’outil premier de toute démarche de responsabilisation et, par ricochet, de toute stratégie de maîtrise des risques.

La simplification ou la stratégie de l’aveuglement

Jusqu’à présent, l’article 30 prévoyait une exemption ciblée : les structures de moins de 250 salariés, ne traitant pas de données sensibles et agissant de façon occasionnelle, pouvaient s’en dispenser. La Commission propose d’aller bien plus loin, en supprimant certaines conditions (comme le caractère occasionnel) et en rehaussant le seuil à 750 salariés. Pour Jérôme Déroulez, c’est une décision absurde : « On a désigné le registre comme responsable des lourdeurs du RGPD, alors qu’il est plutôt un outil de gouvernance. Il oblige les DPO à cartographier les traitements, à se poser les bonnes questions : quels sont les risques ? Qui a accès à quoi ? Est-ce qu’on a besoin d’une analyse d’impact ? »

Ce n’est pas faute d’alternatives. Plutôt que d’abolir cet outil, l’expert suggère : « On aurait pu proposer des modèles types de registre, harmonisés à l’échelle européenne, pour simplifier la tâche des petites structures. Mais là, on renonce à tout accompagnement. » Une décision d’autant plus critiquable que le registre est, en pratique, peu coûteux : « Ce n’est pas le registre qui coûte ; ce sont les mauvaises pratiques qu’il révèle. »

Surtout, c’est un levier d’acculturation. Jérôme Déroulez en témoigne : « Quand on intervient chez un client, le registre est souvent notre point de départ. On découvre des zones d’ombre, des flux non maîtrisés, des risques ignorés. Et à partir de là, on construit une vraie politique de conformité. » Dans le sillage, la CNIL ne dit pas autre chose : « Recenser ses traitements, c’est d’abord savoir ce que l’on fait », rappelle-t-elle dans son guide de référence. Quant à l’AFCDP, elle juge la réforme « mal évaluée » et y voit une remise en cause directe de la culture de responsabilité introduite par le RGPD.

Qui veut faire tomber le RGPD ?

Alors à qui profite cette révision ? Pour Philippe Latombe, député français et auteur d’un recours devant le Tribunal de l’Union européenne contre le Data Privacy Framework, la réponse est claire : certains géants du cloud et du marketing prédictif, lassés des contraintes imposées par le cadre européen, multiplient les pressions pour en affaiblir les piliers. Jérôme Déroulez ne cache pas son inquiétude : « Quand la conformité devient un avantage compétitif pour les fournisseurs européens, les lobbies anglo-saxons dégainent l’argument du fardeau administratif. Le registre est leur bouc émissaire, car il matérialise la responsabilité. »

Cette pression s’exerce dans un climat déjà tendu. En invalidant à deux reprises les accords de transfert de données UE-États-Unis (Schrems I en 2015, puis Schrems II en 2020), la Cour de justice de l’Union européenne a rappelé que les lois américaines, notamment la FISA et le CLOUD Act, sont difficilement compatibles avec les standards européens. Le nouveau Data Privacy Framework n’échappe pas à la critique. Max Schrems, à l’origine des deux premières procédures, prépare activement un recours contre le Data Privacy Framework, souvent qualifié de « Schrems III », dont une décision de la CJUE pourrait intervenir d’ici fin 2025 ou début 2026.

L’affaiblir, c’est se priver d’un phare », prévient Jérôme Déroulez. Et dans un courrier commun du 8 mai, l’EDPB et l’EDPS alertent sans ambages la Commission : une telle modification « fragilisera l’ensemble du cadre » et mettra en péril l’effectivité des droits fondamentaux.

Une mesure contre-productive

S’il s’agissait d’une vraie simplification, elle pourrait être défendue. Mais, comme le souligne Jérôme Déroulez, « on crée un RGPD à deux vitesses qui ne simplifie rien : il complexifie la chaîne contractuelle ». Une entreprise exonérée pourrait ainsi fournir ses services à un organisme public, toujours soumis à l’obligation de registre. Qui assumera alors la responsabilité ? Qui assurera l’auditabilité des traitements ? « On va dire aux DPO : vous n’avez plus besoin de tenir le registre. Mais comment saurez-vous ce que vous traitez ? C’est de l’aveuglement volontaire », ajoute-t-il.

Et ce n’est pas qu’un problème de conformité. « Une cartographie sérieuse des données accélère l’automatisation, sécurise les partenariats et réduit les coûts cachés. Le registre, ce n’est pas un fardeau : c’est un levier », insiste Jérôme Déroulez. En marketing, par exemple, le nettoyage des bases et la maîtrise des durées de conservation améliorent directement les performances. « Ce n’est pas parce qu’un outil est mal utilisé qu’il faut l’éliminer », conclut-il.

Bruxelles prétend réduire la paperasse. Elle risque surtout de désarmer les entreprises face à des obligations qui, elles, demeurent. Car en s’attaquant à l’article 30 du RGPD, Bruxelles fragilise un outil essentiel de pilotage des risques — et affaiblit par ricochet le principe d’accountability, ce principe fondateur qui impose non seulement de se conformer aux règles de protection des données, mais aussi d’être en mesure d’en apporter la preuve. Derrière l’apparence d’un geste en faveur des PME se profile la tentation de faire sauter les digues. Au détriment du droit des citoyens, de la sécurité juridique des acteurs économiques… et de la cohérence même du RGPD.

À LIRE AUSSI :

Jurisprudence : Schrems I & II, la double fracture transatlantique

2015 — Schrems I : La Cour de justice de l’Union européenne (CJUE) invalide le Safe Harbor, accord transatlantique de transfert de données, estimant que les lois américaines ne garantissent pas une protection équivalente à celle prévue par la Charte des droits fondamentaux de l’UE.

2020 — Schrems II : Rebelote. Cette fois, c’est le Privacy Shield qui est annulé pour les mêmes motifs, notamment les programmes de surveillance de la NSA permis par la loi FISA. Max Schrems, juriste autrichien à l’origine des deux procédures, devient le visage européen de la lutte pour la souveraineté numérique.

À suivre — Schrems III ? Avec l’entrée en vigueur du Data Privacy Framework en 2023, Schrems et l’ONG NOYB annoncent un nouveau recours. Leur objectif : prouver que les garanties américaines restent insuffisantes.

Philippe Latombe, le recours en nom propre

Défenseur de la RGPD. Philippe Latombe est devenu un acteur clé de la bataille juridique autour de la souveraineté des données. En septembre 2023, il dépose à titre personnel un recours devant le Tribunal de l’Union européenne pour faire invalider la décision d’adéquation liée au Data Privacy Framework.

Député MoDem de Vendée, Philippe Latombe est devenu un acteur clé de la bataille juridique autour de la souveraineté des données. En septembre 2023, il dépose à titre personnel un recours devant le Tribunal de l’Union européenne pour faire invalider la décision d’adéquation liée au Data Privacy Framework.

Dans une interview accordée à Next.ink, il dénonce un « accord de façade », qui ne protégerait en rien les données des citoyens européens face aux mécanismes de surveillance extraterritoriaux américains. « Tant que le RGPD repose sur des fondations solides, il faut les défendre. »

Ce que dit le courrier EDPB/EDPS du 8 mai

Dans leur lettre adressée à la Commission européenne le 8 mai 2025, l’EDPB (Comité européen de la protection des données) et l’EDPS (le Contrôleur européen de la protection des données) s’alarment de l’extension des exemptions prévues à l’article 30 du RGPD.

Leur message est clair : la suppression du registre des traitements pour une large frange des entreprises européennes pourrait « compromettre la capacité à démontrer la conformité » et « affaiblir l’effectivité des droits des personnes concernées ». Ils appellent à une évaluation d’impact complète avant toute décision.

📎 Lettre disponible sur : edpb.europa.eu

Dans l'actualité

Verified by MonsterInsights