C. PRÉCISER LES DISPOSITIONS RELATIVES AU RGPD
La proposition de modification du RGPD est conforme à l'approche fondée sur les risques qui le sous-tend d'une manière générale, car même les très petites entreprises peuvent effectuer des traitements susceptibles d'entraîner un risque élevé.
En outre, l'obligation de tenir un registre n'a pas d'incidence sur l'obligation de conformité à l'ensemble du RGPD pour le traitement de données concerné. Même si le responsable d'un traitement ne tient pas de registre, il doit assurer la conformité de son traitement de données à caractère personnel avec les dispositions du RGPD, en application, en particulier son article 24, relatif à la responsabilité du responsable du traitement16(*) et donc procéder à une évaluation du risque posé par celui-ci.
En pratique, cela pourrait d'ailleurs conduire certains d'entre eux à tenir un registre malgré l'extension de la dérogation prévue par la proposition de règlement, dans la mesure où il s'agit d'une mesure d'aide à la conformité.
De plus, le maintien de l'absence de dérogation à la tenue du registre dans le cas de traitements de données présentant des risques élevés continue à obliger les responsables de tels traitements à s'interroger sur cette notion, à la fois pour la tenue du registre et pour la préparation d'une analyse d'impact.
Pour sa part, la Commission nationale informatique et libertés (CNIL) considère que la prise en compte des risques générés par le traitement pour les droits et libertés des personnes concernées donne plus de flexibilité aux organismes, tout en fixant des limites objectives.
En revanche, dans leur avis conjoint du 8 juillet 2025, le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (EDPS) alertent sur les conséquences potentielles de la formulation retenue par la Commission européenne : en prévoyant, dans ses considérants, que « le traitement de données à caractère personnel... devrait être considéré comme exigeant du responsable du traitement ou du sous-traitant qu'il tienne un registre de ses activités de traitement », le texte pourrait être interprété à tort comme signifiant que la tenue d'un registre de toutes les activités de traitement est obligatoire dès lors qu'au moins une de ces activités est susceptible d'entraîner un risque élevé.
Il conviendrait donc d'écarter toute ambiguïté sur ce point, sauf à renoncer à l'objectif d'allégement de la charge des entreprises.
* 16 Le 1. De l'article 24 dispose que « Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement... ».