Le printemps 2025 aura peut-être marqué un tournant pour des millions de petites entreprises européennes : le commissaire à la Justice, Michael McGrath, a annoncé le 13 mars l’ouverture d’une « simplification » du RGPD, destinée en priorité aux organisations de moins de 500 salariés.
L’objectif ? Conserver la protection des données personnelles tout en « desserrant l’étau bureaucratique » qui pèse sur les plus petites structures.
📮 Sommaire
1. Pourquoi un assouplissement maintenant ?
2. Les grandes lignes du projet
3. Un retour rapide sur la genèse du RGPD
4. Critiques et controverses depuis 2018
5. Ce que changerait réellement la réforme pour les TPE-PME
6. Perspectives et points de vigilance
Pourquoi un assouplissement maintenant ?
Selon la Commission, les TPE-PME passent en moyenne 3 % de leur chiffre d’affaires dans la conformité aux règles de protection des données : registres de traitement à tenir, analyses d’impact (DPIA) à produire, délégué à la protection des données (DPO) à désigner, parfois à temps plein.
Dans son 2ᵉ rapport d’application du RGPD (juillet 2024), Bruxelles reconnaissait déjà que la prochaine priorité devait être « d’accompagner l’effort de conformité des petites entités ».
Les associations professionnelles, de l’artisanat au e-commerce, réclamaient depuis longtemps un « RGPD proportionné ». Une enquête d’IdTechWire publiée début avril évalue à 25–40 k € le coût moyen d’une mise en conformité complète pour une PME de 50 salariés – montant dissuasif dans un contexte de hausse des taux et de ralentissement économique.
Les grandes lignes du projet
D’après les premières pistes évoquées à Bruxelles et reprises par Euractiv ↓
・Seuil de 500 salariés : en-dessous, l’obligation de tenue exhaustive du registre de traitement serait supprimée, sauf traitement « à haut risque ».
・DPIA allégée : des modèles pré-validés et sectoriels remplaceraient l’analyse d’impact lourde, sauf projets innovants ou traitement massif.
・DPO facultatif : pour les structures dont le traitement de données n’est pas « cœur de métier », la nomination d’un DPO deviendrait recommandation et non plus obligation.
・Calendrier : la Commission prévoit un paquet législatif (« Digital Package ») pour le 4ᵉ trimestre 2025 ; un projet de règlement modificatif serait présenté avant l’été.
・Le cabinet Covington, qui suit le dossier, précise que les principes clés (licéité, transparence, droits des personnes) resteront intangibles : seule la documentation varierait selon la taille et le risque.
Un retour rapide sur la genèse du RGPD
2012 : la Commission Barroso dévoile la première mouture qui doit remplacer la directive 95/46/CE.
27 avril 2016 : adoption formelle du Règlement (UE) 2016/679.
25 mai 2018 : entrée en application après deux ans de transition.
Ce texte uniformise enfin la protection des données dans l’UE, instaure le droit à l’effacement (« droit à l’oubli ») et des amendes pouvant atteindre 4 % du CA mondial. Sa portée extraterritoriale est saluée… mais aussi redoutée par les petites structures non européennes qui ciblent le marché européen.
Critiques et controverses depuis 2018
Lourdeur administrative – Les petites entreprises dénoncent un cadre pensé pour les géants de la tech ; beaucoup ont adopté une conformité minimale par manque de moyens.
Enforcement inégal – Cinq ans après l’entrée en vigueur, Wired soulignait des retards chroniques dans les procédures transfrontalières : moins d’une dizaine de décisions majeures contre les Big Tech, malgré des milliers de plaintes.
Coûts cachés – Études sectorielles évoquent des frais de conseil explosant le budget d’innovation des start-ups, tandis que de nombreux États membres peinent à doter leurs autorités de contrôle des ressources nécessaires.
Ces critiques ont nourri deux révisions : une proposition de règlement procédural (juillet 2023) pour accélérer les enquêtes transfrontalières, puis la révision « SME-friendly » annoncée en 2025.
Ce que changerait réellement la réforme pour les TPE-PME
→ Aujourd'hui
Registre détaillé obligatoire pour toute activité régulière
⇢ Après réforme (projet)
Registre simplifié ; exemption possible sous 500 salariés si risques faibles
→ Aujourd'hui
DPIA chaque fois qu’il y a traitement « susceptible d’engendrer un risque »
⇢ Après réforme (projet)
Modèles types + dispense si volume et sensibilité limités
→ Aujourd'hui
DPO obligatoire dans la plupart des traitements systématiques
⇢ Après réforme (projet)
DPO facultatif si la data n’est pas au cœur du business
→ Aujourd'hui
Amendes jusqu’à 4 % du CA mondial
⇢ Après réforme (projet)
Plafond inchangé ; mais facteurs d’atténuation prévus pour PME « de bonne foi »
Le cabinet de Michael McGrath insiste : aucun droit individuel – accès, effacement, portabilité – ne sera rogné. Les obligations « reculeront » uniquement quand le risque est faible ; le traitement de données sensibles, de mineurs ou de santé restera pleinement encadré. Des guides multilingues à destination des micro-entreprises accompagneront la transition, avec l’appui de l’EDPB.
Perspectives et points de vigilance
Les prochaines étapes du calendrier
Mai 2025 : publication de la proposition législative et ouverture d’une consultation publique de 8 semaines.Automne 2025 : examen au Parlement européen (commission LIBE) et au Conseil (groupe Télécom).Premier semestre 2026 : vote final espéré sous présidence chypriote.Horizon 2027 : entrée en application, avec période de transition d’un an pour les PME.
Pour les TPE-PME, l’allègement annoncé ressemble à une bouffée d’oxygène : moins de paperasse, plus de budget pour l’innovation et l’export. Mais trois inconnues demeurent :
- La définition du « risque » : si le curseur est trop haut, l’allègement restera théorique.
- La cohérence avec les lois sectorielles (IA Act, Data Act) : un patchwork de régulations pourrait recréer de la complexité.
- L’attitude des autorités nationales : certaines, déjà sous-dotées, craignent d’être privées d’informations clés en cas de registre simplifié.
👾 On a utilisé @Leonardo.ai pour générer notre image de couverture.
Prompt : Un drapeau européen vibrant, également connu sous le nom de drapeau de l'Europe, flottant doucement dans le vent, avec douze étoiles jaunes d'or dans un motif circulaire sur un fond bleu vif, dans un ciel bleu clair avec quelques nuages blancs gonflés, les plis du tissu du drapeau sont subtilement visibles, avec un sentiment de mouvement et de liberté, symbolisant l'unité et la solidarité entre les nations européennes, les étoiles brillant comme des phares d'espoir et de coopération.
