RGPD et loi omnibus : en quoi va consister la simplification

Le RGPD devra bientôt être abordé sous le prisme d'une nouvelle catégorie d'entreprises.

Le règlement fait partie des textes visés par les derniers trains de mesures omnibus de la Commission européenne. Celle-ci entend, par leur intermédiaire, avoir réduit "d'au moins 25 % le fardeau administratif" à la fin de son mandat.

Deux paquets omnibus furent présentés en février 2025. L'un assouplit les exigences de reporting extra-financier (report de l'entrée en application de la CS3D et de certaines dispositions de la CSRD, réduction du champ d'application de cette dernière, limitation des obligations de due diligence, abandon de normes sectorielles, etc.). Le second applique la même logique aux règlements InvestEU et EFSI, dans le but de stimuler les investissements stratégiques.

Deux autres ont suivi depuis lors. L'un centré sur la politique agricole commune. L'autre sur les "petites entreprises à moyenne capitalisation" (SMC, small mid-caps). Définies, dans les grandes lignes, comme comptant moins de 750 salariés et ne dépassant pas 150 M€ de CA annuel ou 129 M€ de total de bilan.

Exemption de registres des traitements : ce que propose la Commission europénne

Il s'agit, d'une part, d'ouvrir à ces SMC plusieurs dispositifs actuellement réservés aux PME (prospectus simplifié en cas d'offre au public de valeurs mobilières, accès à un guichet de plaintes face aux importations faisant l'objet d'un dumping ou de subventions de la part de pays non membres de l'UE, etc.). De l'autre, de les exempter de diverses obligations. Notamment en matière de due diligence sur les batteries et déchets de batterie, de déclaration des importations de produits contenant des gaz à effet de serre fluorés... et de tenue de registres des activités de traitement de données personnelles.

L'article 30 du RGPD impose la tenue de tels registres. Il pemet néanmoins aux entreprises et organisations employant moins de 250 personnes de se soustraire à cette obligation, sauf si elles effectuent des traitements :

• Susceptibles de comporter un risque pour les droits et des libertés des personnes concernées
• Non occasionnels
• Qui portent sur les catégories particulières de données visées à l'article 9(1) ou sur des données personnelles relatives à des condamnations pénales visées à l'article 10

La Commission européenne propose de faire entre les SMC dans le champ de cette dérogation, tout en l'élargissant aux traitements non occasionnels et à ceux portant sur des catégories particulières de données. Pour ces entreprises, la tenue d'un registre ne serait donc obligatoire qu'en cas de risque pour les droits et libertés.

Deux autres articles du RGPD seraient amenés pour englober les SMC en plus des PME. D'un côté, l'article 40, qui encourage le développement de codes de conduite prenant en compte les besoins de ces typologies d'entreprise. De l'autre, l'article 42, qui promeut la mise en place de mécanismes de certification dans ce même esprit.

Harmoniser la définition de la SMC

La Commission européenne estime que cet assouplissement pourrait engendrer 66 millions d'euros d'économies annuelles. Voici les grands axes de son raisonnement - fait de multiples suppositions, comme elle l'admet :

• Selon Eurostat, 62 % des PME n'ont aucun salarié.
  38 % ont donc probablement des activités de traitement, portant ne serait-ce que sur les données de leurs employés. Cela représenterait, à l'échelle de l'UE, 10 millions d'entreprises.
  
  
• On peut estimer que 90 % de ces entreprises (soit 9 millions) ne réalisent pas de traitements à haut risque.
  
  
• Sur la base d'un coût horaire de 29,40 €, si environ la moitié de ces entreprises (4,5 millions) ont chacune besoin de 30 minutes par jour pour respecter leurs obligations, alors les économies annuelles se chiffrent à 66 M€.

La notion de SMC* figure déjà dans le règlement de 2014 déclarant certaines catégories d'aides compatibles avec le marché intérieur. Ainsi que dans des lignes directrices de 2021 visant à promouvoir les investissements en faveur du financement des risques. Bruxelles entend s'en inspirer sans toutefois la répliquer per se, pour aller vers une base harmonisée susceptible de porter une "politique de soutien ciblée".

La classification en tant que SMC implique de prendre en compte les notions d'entreprises "autonomes", "partenaires" et "liées". C'est essentiellement lié au niveau de concentration du capital et des droits de vote. Avec néanmoins des exceptions, en particulier lorsque les investisseurs sont des fonds institutionnels, des fonds alternatifs ou des organisations à but non lucratif.

Le statut de SMC ne serait perdu qu'après dépassement d'au moins un seuil sur deux exercices financiers consécutifs. Cette disposition, comme l'ensemble du paquet omnibus, doit être examinée par le Parlement européen.

* La France n'a pas de définition de la SMC. Un décret de 2008 classe comme ETI toute entreprise comptant entre 250 et 4999 salariés et ayant soi un CA n'excédant pas 1,5 Md€, soit un total de bilan n'excédant pas 2 Md€.

Illustration générée par IA