III. L'EXTENSION OU LA MODULATION DE MESURES EXISTANTES SPÉCIFIQUES AUX PME
A. LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES (RGPD)
Au-delà de la modification de fond constituant à substituer à la taille de l'entreprise le niveau de risque présenté par le traitement de données, la proposition de règlement de la Commission européenne :
- introduit les petites entreprises à moyenne capitalisation au sens de sa recommandation du 21 mai 2025 parmi les définitions inscrites à l'article 4 du règlement ;
- élargit aux petites entreprises à moyenne capitalisation la prise en compte des besoins spécifiques des PME dans le cadre de l'élaboration de codes de conduite - référentiels sectoriels - destinés à contribuer à la bonne application du règlement ;
- élargit aux petites entreprises à moyenne capitalisation la prise en compte des besoins spécifiques des PME dans le cadre de la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques. Ces mécanismes sont destinés à démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le règlement.
Dans les deux cas, les États membres, les autorités de contrôle, le comité et la Commission européenne encouragent l'élaboration de tels codes de conduite (article 40 du RGPD) et la mise en place de tels mécanismes de certification (article 42 du RGPD).
B. LE RÈGLEMENT RELATIF AU DEVOIR DE DILIGENCE À L'ÉGARD DES BATTERIES
Le chapitre VII du règlement 2023/1542 instaure un devoir de diligence à la charge des opérateurs économiques qui mettent sur le marché ou mettent en service des batteries. En application de l'article 47 du règlement, le devoir de diligence ne s'applique pas aux opérateurs économiques ayant un chiffre d'affaires net inférieur à 40 millions d'euros au cours de l'exercice précédant le dernier exercice financier et qui ne font pas partie d'un groupe composé d'entreprises mères et de filiales qui, sur une base consolidée, dépasse la limite de 40 millions d'euros.
Cette formulation laisse de côté la définition des PME telle qu'elle existe en droit européen, notamment s'agissant du nombre de salariés de l'entreprise considérée.
De la même manière, la proposition de la Commission européenne n'insère pas la définition des petites entreprises à moyenne capitalisation dans le règlement.
En revanche, elle porte à 150 millions d'euros le plafond d'exemption du devoir de diligence, par cohérence avec sa recommandation relative à la définition de ces entreprises. Ce plafond devrait être ajusté à la hausse si les seuils étaient relevés, comme le proposent le mandat de négociation du Conseil et certains amendements déposés au Parlement européen.