Introduction
Dans le cadre de son initiative visant à lever les freins au marché intérieur européen, la Commission européenne a présenté, le 11 avril 2025, un ensemble de mesures dites "Omnibus" en faveur de la simplification réglementaire. Parmi elles figure une réforme emblématique du Règlement général sur la protection des données (RGPD), portant sur l’allègement des obligations déclaratives pour certaines entreprises. En ligne de mire : la suppression de l’obligation de tenir un registre des traitements de données pour une nouvelle catégorie d’entités économiques, les small mid-caps (SMC). Cette mesure, saluée pour sa volonté de soutenir la compétitivité des entreprises de taille intermédiaire, suscite néanmoins des inquiétudes quant à ses conséquences sur la protection des données à caractère personnel.

I. Un allègement ciblé du RGPD au bénéfice des entreprises de taille intermédiaire
Jusqu’à présent, les entreprises de moins de 250 salariés bénéficiaient d’une exemption à l’obligation de tenir un registre des traitements, sauf en cas de traitements à risques ou fréquents. Désormais, la Commission propose d’étendre cette exemption aux small mid-caps, définies comme les entreprises de moins de 750 salariés et générant moins de 150 millions d’euros de chiffre d’affaires ou disposant de moins de 129 millions d’euros d’actifs.
Selon les estimations de la Commission, près de 38 000 entreprises seraient concernées dans l’Union européenne. L’objectif affiché est de réduire les obligations administratives jugées disproportionnées dès lors qu’une entreprise franchit le seuil des 250 salariés. En supprimant cette barrière, la Commission espère favoriser la croissance des entreprises intermédiaires sans compromettre leur compétitivité.
Toutefois, cette dispense ne s’applique pas aux traitements de données présentant un "risque élevé" au sens du RGPD un garde-fou qui vise à éviter les abus en matière de données sensibles, de profilage à grande échelle ou de surveillance systématique. En ce sens, la réforme ne constitue pas une dérogation absolue, mais bien une simplification encadrée.

II. Une mesure contestée au regard des garanties fondamentales du RGPD
Malgré les garde-fous annoncés, cette réforme fait l’objet de vives critiques, notamment de la part du Bureau européen des unions de consommateurs (BEUC). Celui-ci craint que l’exemption accordée aux SMC ne fragilise le régime de responsabilité imposé par le RGPD, en rendant plus difficile le contrôle a posteriori des traitements par les autorités de protection des données.
Selon le directeur général du BEUC, M. Agustín Reyna, cette ouverture pourrait non seulement affaiblir la protection des droits des personnes concernées, mais aussi accroître l’insécurité juridique pour les entreprises, en les exposant à des modifications fréquentes ou à des divergences d’interprétation.
Cette critique s’inscrit dans un débat plus large sur la limite entre simplification et déréglementation. Alors que le RGPD a été salué comme une référence mondiale en matière de régulation numérique, certains observateurs s’interrogent sur l’opportunité d’introduire des régimes différenciés selon la taille des entreprises, au risque de créer des zones d’ombre dans l’application du droit.
En parallèle, la Commission a également annoncé une série de mesures visant à accélérer la transition numérique, notamment en permettant aux fabricants de fournir les instructions d’utilisation au format numérique et de remplacer certaines mentions obligatoires sur les produits par un contact numérique. Si cette orientation est saluée pour sa modernité, elle soulève néanmoins des questions d’accessibilité pour certains publics, notamment en matière de sécurité d’usage.

Conclusion
La réforme du RGPD au profit des small mid-caps s’inscrit dans une volonté claire de la Commission de réconcilier compétitivité économique et protection des données. Si la simplification administrative est un levier important pour soutenir l’innovation et la croissance, elle ne saurait justifier un affaiblissement du niveau de protection garanti aux citoyens européens.
Il appartiendra désormais au législateur européen et aux autorités de contrôle d’assurer un équilibre entre allègement des obligations et maintien des garanties fondamentales. L’enjeu est de taille : préserver la crédibilité et la cohérence du cadre juridique du RGPD, tout en tenant compte des réalités économiques des entreprises qui participent au dynamisme du marché intérieur.
Source :https://nouveau-europresse-com.ezproxy.universite-paris-saclay.fr/Search/ResultMobile/0