Les propositions de règlement et de directive relatives aux petites entreprises à moyenne capitalisation

C. LA LIMITATION DE LA TENUE D'UN REGISTRE AUX SEULES ACTIVITÉS DE TRAITEMENT PRÉSENTANT UN RISQUE ÉLEVÉ

La proposition de règlement de la Commission européenne modifie le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) sur plusieurs points : trois sont l'extension aux SMC de mesures déjà en place pour les PME (cf. ci-après). La proposition de la Commission européenne modifie également des dispositions existantes concernant les PME tout en les étendant aux SMC.

L'article 30 du RGPD dispose que chaque responsable du traitement de données personnelles et chaque sous-traitant doit tenir un registre des activités de traitement effectuées sous sa responsabilité et définit les informations contenues dans ce registre. Il prévoit une dérogation pour les PME et les organisations comptant moins de 250 employés. La proposition de la Commission européenne vise à simplifier et à clarifier cette dérogation, en ne rendant la tenue de registres obligatoire que lorsque les activités de traitement sont susceptibles d'engendrer un « risque élevé » pour les droits et libertés des personnes concernées.

En application de l'article 35 du RGPD, lorsqu'existe un tel risque, apprécié au regard de la nature, la portée, le contexte et les finalités du traitement de données, le responsable du traitement doit effectuer, avant sa réalisation, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés identiques^4(*).

La proposition de la Commission européenne élargit par ailleurs le champ de cette dérogation aux entreprises et aux organisations comptant moins de 750 employés, sans aucune condition de chiffre d'affaires ou de total du bilan, contrairement à la définition donnée par la Commission européenne des petites et moyennes entreprises et des petites entreprises à moyenne capitalisation.

La notion de risque élevé figure déjà dans le RGPD, en matière de communication des violations de données aux personnes concernées (article 34) et d'analyse d'impact (article 35) ainsi que de consultation préalable de l'autorité de contrôle (article 36). La modification introduite à l'article 30 permet d'aligner le seuil retenu pour la tenue de registres sur celui qui figure dans les deux premiers de ces trois articles.

Selon le ministère de la Justice, la modification introduite par la proposition de règlement découle du fait que « la notion de risque qui figure actuellement dans le RGPD pour la tenue systématique d'un registre est en réalité trop basse, et vide en pratique de son sens la dérogation pour la plupart des responsables de traitements »^5(*). En effet, le seuil de « risque simple » aboutit à ce que presque tous les traitements de données entrent dans cette catégorie, empêchant ainsi de mobiliser la dérogation à la tenue d'un registre.

* ⁴ L'analyse d'impact est, en particulier, requise dans les trois cas suivants :

a) l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire ;

b) le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10 ; ou

c) la surveillance systématique à grande échelle d'une zone accessible au public.

* ⁵ Réponse au questionnaire des rapporteurs.