Le projet de modification du GDPR pourrait être dévoilé d’ici le 21 mai
Si l’objectif est d’alléger les contraintes pesant sur les petites et moyennes entreprises, la réforme du GDPR s’inscrit dans une initiative plus large d’Ursula von der Leyen. Au risque de dénaturer le Règlement.
La Commission travaille sur un plan de simplification de la loi afin d’« alléger la charge » pesant sur les petites organisations tout en « préservant l’objectif fondamental de notre régime GDPR », a déclaré Michael McGrath, commissaire européen chargé de la protection des données, lors d’une récente interview au CSIS (Center for Strategic and International Studies).
Un peu plus tôt, fin mars, Caroline Stage Olsen, la ministre du Numérique au Danemark, a souligné la nécessité d’une approche équilibrée : « La protection de la vie privée est nécessaire, mais nous n’avons pas besoin de réglementer de manière inconsidérée. » Une déclaration qui donne le ton. Plus encore sachant que le Danemark s’apprête à prendre la tête du Conseil à partir du 1er juillet 2025, succédant à la Pologne.
Les modifications proposées pourraient inclure la réduction des exigences en matière de documentation et la réforme des analyses d’impact sur la protection des données, deux mesures considérées comme excessivement contraignantes pour les petites entreprises. L’un des objectifs est de simplifier les exigences en matière de tenue de registres auxquelles sont soumises les petites et moyennes entreprises de moins de 500 personnes, a déclaré McGrath.
Au départ, le rapport Draghi. A l’issue, un possible GDPR light
L’affaire est d’importance. Le Règlement a été l’une des plus fortement sollicités, avec plus de 3 000 amendements proposés lors de son élaboration. Et là, sept ans plus tard, la Commission sort les ciseaux… Tout indique que les normes seront profondément réformées depuis la publication en septembre du rapport Draghi centré sur la législation.
En résumé, trop de réglementations jugées excessivement contraignantes empêchent l’économie européenne de concurrencer efficacement la Chine et les États-Unis.
Concernant le GDPR, le rapport affirme que « des réformes sont nécessaires car l’Europe ne pourra plus compter sur les facteurs qui ont stimulé la croissance ces dernières années. » L’application incohérente du GDPR d’un pays à l’autre crée une charge administrative pour les entreprises européennes, peut-on lire.
De même, permettant aux États membres de fixer des règles de confidentialité dans 15 domaines, le règlement a entraîné une « fragmentation et une incertitude juridique »… On sait aussi que les autorités de régulation des données des différents pays appliquent le GDPR à des degrés divers, ce qui complique la conformité des entreprises, indique le rapport. Dans certains pays, plusieurs autorités appliquent la loi ! Enfin, pour les secteurs à forte intensité de données, comme celui des logiciels, la conformité au GDPR peut entraîner une hausse des coûts pouvant atteindre 24 %.
Promesse non tenue
Un « allègement » nécessaire pour certains, un « danger » pour d’autres. Le risque serait de voir le GDPR s’effondrer sous la pression du lobbying. « Rouvrir le GDPR pour le simplifier est risqué, qu’importe si la proposition semble bien intentionnée et ciblée », estime Itxaso Domínguez de Olazábal, conseiller politique auprès du groupe de défense des droits numériques EDRi.
A l’entendre, le GDPR est une promesse non tenue partant que le système d’application est défaillant. « La protection des données ne concerne pas seulement la vie privée : c’est une question de pouvoir et de nombreux autres droits fondamentaux. »
