Espace Presse
La presse parle de l’AFCDP ou du DPO
« SIMPLIFICATION » DU RGPD : l’AFCDP appelle les Co législateurs européens à ne pas adopter le texte proposé par la Commission
Communiqué de presse - 27 mai 2025
Après diverses informations qui ont circulé sur un projet de révision qui s’annonçait ambitieux, la Commission européenne a diffusé le 21 mai 2025 un projet de règlement qui vise à étendre aux entreprises de taille moyenne certaines atténuations réservées aux petites structures, dont certaines dispositions clés du RGPD.
Le projet de simplification de la Commission européenne : un assouplissement mal évalué
Le projet de règlement publié par la Commission européenne le 21 mai 20251 se propose de modifier plusieurs règlements existant pour étendre « certaines mesures d’atténuation disponibles pour les petites et moyennes entreprises aux petites entreprises de taille intermédiaire » et apporter certaines « autres mesures de simplification ». C’est dans ce cadre que le RGPD est concerné, par un article unique qui modifie 4 dispositions du texte entré en application en 2018.
Outre l’ajout de la définition de « micro, petites et moyennes entreprises » et de la nouvelle catégorie des entreprises « mid cap » (moins de 750 employés, et CA inférieur à 150 millions d’euros), le projet prévoit d’étendre à ces dernières les précautions prévues pour les TPE/PME aux articles 40 (codes de conduite) et 42 (certification) du RGPD.
Mais surtout, le projet apporte un assouplissement de l’article 30 qui impose aux responsables de traitement de tenir un registre des traitements mis en œuvre dans leur organisme. Depuis 2018, seuls sont exemptés de cette obligation, les entités de moins de 250 employés, et seulement pour les traitements occasionnels.
L’assouplissement proposé par la Commission étend l’exemption aux organismes de moins de 750 employés, et à tous les traitements ne comportant pas « un risque élevé pour les droits et libertés des personnes concernées », en référence à l’article 35 sur les analyses d’impact relatives à la protection des données (AIPD).
Un projet accueilli avec prudence par les autorités de contrôle
Consultés en amont, le Comité européen de protection des données (CEPD/EPDB), et le Contrôleur européen de la protection des données (CEPD/EDPS) ont rendu le 8 mai 2025 un avis prudent², indiquant qu’à ce stade, ils pouvaient soutenir cette initiative de simplification ciblée, mais en demandant à la Commission « de mieux évaluer l’impact sur les organisations concernées par cette modification, afin de déterminer si le projet de proposition garantit un équilibre proportionné et équitable entre la protection des données à caractère personnel et les intérêts des organisations de moins de 500 employés. » On note que le projet qui leur avait été soumis prévoyait un seuil de 500 employés, devenu 750 dans le projet final.
1https://single-market-economy.... des ONG et des experts
Réunis par la fédération EDRi, 107 organisations de la société civile, universitaires, entreprises, syndicats et experts œuvrant pour la protection des droits et libertés des personnes ont publié le 19 mai 2025 une lettre ouverte3 dans laquelle ils expriment leur grave préoccupation et appelle la Commission à « rejeter toute réouverture du RGPD et réaffirmer son intégrité en tant que fondement du droit numérique de l’UE ».
Les DPO et membres de l’AFCDP majoritairement défavorables
Dans le dernier Baromètre AFCDP, qui a recueilli 312 réponses de professionnels membres et non membres de l’AFCDP début mai 20254, les DPD/DPO et autres professionnels de la protection des données se sont très majoritairement montrés opposés (48 %) ou très réservés (32 %) sur le projet de simplification du RGPD proposé par la Commission. Pour les membres de l’AFCDP, le projet de la Commission comporte plusieurs failles qui semblent dénoter un défaut d’analyse d’impact.
D’une part, ils s’accordent sur le fait que la tenue du registre n’est pas l’activité la plus contraignante induite par le RGPD. Si l’inventaire initial que demande la création du registre peut induire une certaine charge, sa mise à jour régulière n’est pas une contrainte majeure, et entre dans le cadre de la cartographie que toute organisation devrait réaliser pour une saine gestion de ses traitements.
D’autre part, dans les organisations qui ont désigné un Délégué à la protection des données (DPD/DPO), la tenue du registre est un prérequis essentiel pour permettre à ce dernier d’exercer son activité de conseil et de supervision. En l’absence de registre des traitements, le DPD/DPO risque de devenir aveugle et impuissant.
Enfin, et ce n’est pas la moindre des réserves, la fixation du seuil de 750 employés semble totalement déconnectée de la réalité de l’écosystème de la protection des données. Car ce n’est pas le nombre d’employés qui induit la quantité et la sensibilité éventuelle des traitements et des données impliquées. De très nombreuses entreprises de taille modeste sont en pratique à l’origine de traitements pouvant impliquer des millions de personnes.
En outre, limiter l’obligation de tenue du registre aux cas de traitements à risque élevé suppose que l’organisme soit en mesure de procéder à une AIPD de ses traitements. Comment procéder si l’on ne dispose plus d’un inventaire correct de ces traitements ?
L’AFCDP alerte sur un projet mal évalué : une réforme à revoir
L’AFCDP regrette que le projet présenté par la Commission n’ait manifestement pas fait l’objet d’une évaluation éclairée de son impact, et qu’il n’ait pas tenu compte de l’avis des professionnels chargés de la mise en œuvre du RGPD que sont les DPD/DPO.
Dans une optique de simplification, il aurait certainement été plus pertinent de revoir certaines dispositions qui constituent effectivement des charges importantes, comme les exigences de formalisation des AIPD.
Dans ce contexte, l’AFCDP appelle les co législateurs européens à revoir sérieusement la teneur du projet proposé par la Commission, qui ne devrait pas être adopté en l’état. L’AFCDP alerte sur le risque que présente ce projet qui ne peut que conduire à un affaiblissement majeur de la protection des données et des droits des personnes concernées.
2 https://www.edpb.europa.eu/news/news/2025/simplification-record-keeping-obligation-edpb-and-edps-adopt-letter- eu-commission_en
3 https://edri.org/our-work/open-letter-reopening-the-gdpr-is-a-threat-to-rights-accountability-and-the-future-of-eu- digital-policy/
4 https://afcdp.net/media/documents/cp-barometre-afcdp-15.pdf
À propos de l’AFCDP - www.afcdp.net
L’AFCDP, créée dès 2004, regroupe plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer).
Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.
Contact Presse : Maëlle Garrido, NASKAS RP, Relations Presse, 06 12 70 77 30,
- « SIMPLIFICATION » DU RGPD : l’AFCDP appelle les Co législateurs européens à ne pas adopter le texte proposé par la Commission
- L’AFCDP vous présente la 15e édition de son Baromètre trimestriel
- Portes dérobées dans les messageries chiffrées : l’AFCDP alerte sur les risques
- L’AFCDP vous présente la 14e édition de son Baromètre trimestriel
- L’AFCDP vous présente la 13ème édition de son Baromètre trimestriel
- Mise à jour majeure du dossier technique du CLUSIF sur le traitement des données de santé avec la participation de l’AFCDP. Un outil essentiel pour les DPO et RSSI
- L’AFCDP vous présente la 12ème édition de son Baromètre trimestriel
- La dernière étude du ministère du Travail réalisée par l’AFPA - 2024
- L’AFCDP vous présente la 11ème édition de son Baromètre trimestriel
- L’AFCDP vous présente la 10ème édition de son Baromètre trimestriel
- L’Engagement Numérique des Parlementaires français
- Données personnelles : publication de l’Index AFCDP 2024 du Droit d’accès
- L’AFCDP vous présente la 9ème édition de son Baromètre trimestriel
- L’AFCDP poursuit son engagement pour accompagner les DPO dans leur quotidien
- L’AFCDP vous présente la 8ème édition de son Baromètre trimestriel
- L’AFCDP vous présente la 7ème édition de son Baromètre trimestriel
- Données personnelles : publication de l’Index AFCDP 2023 du Droit d’accès
- La dernière étude du ministère du Travail réalisée par l’AFPA, avec le soutien de la CNIL, de l’AFCDP et de l’ISEP pointe d’importants besoins de formation dans le métier de DPO
- L’AFCDP vous présente la 6ème édition de son Baromètre trimestriel
- Sanction de la CNIL à l’encontre d’ACCOR : une décision riche d’enseignements pour les Délégués à la protection des données
- La dernière étude du ministère du Travail réalisée par l’AFPA
- L’AFCDP vous présente la 5ème édition de son Baromètre trimestriel
- Google Analytics : 1ères mises en demeure de la CNIL
- L’AFCDP vous présente la 4ème édition de son Baromètre trimestriel
- Données personnelles : publication de l’Index AFCDP 2022 du Droit d’accès
- L’AFCDP dévoile les préoccupations des DPO liées aux outils collaboratifs
- Le RGPD a-t-il été efficace pour encadrer le recours aux données personnelles pour la gestion de la crise sanitaire en Europe ?
- Union Européenne : Qui veut la peau du RGPD ?
- « Pass Sanitaire » : Les Délégués à la protection des données de l’AFCDP témoignent
- L’AFCDP vous présente la 2ème édition de son Baromètre trimestriel
- Les Délégués à la protection des données de l’AFCDP tiennent leur Assemblée générale et renouvellent leur Conseil d’administration
- Nouvelles clauses contractuelles types de la Commission européenne : les Délégués à la protection des données n’y trouvent pas leur compte
- Suites des affaires Schrems : l’AFCDP satisfaite par une résolution du Parlement européen
- L’AFCDP vous présente la 1ère édition de son Baromètre trimestriel
- Programme de contrôles de la CNIL pour 2021 : l’AFCDP recommande des actions prioritaires
- GAIA-X, un outil contre le Privacy Shield ?
- Données personnelles : publication de l’Index AFCDP 2021 du Droit d’accès
- Le RGPD a-t-il été efficace pour encadrer le recours aux données ...
- Amazon, Google : des sanctions lourdes pour dépôt de cookies publicitaires sans consentement préalable et sans information satisfaisante
- La nouvelle étude du Ministère du Travail réalisée par l’AFPA avec la CNIL et l’AFCDP confirme l’essor du métier de DPO
- L’AFCDP accueille avec satisfaction et prudence les clarifications du Paquet « recommandations cookies » de la CNIL
- L’AFCDP partage les sujets de préoccupation principaux des DPO pendant la crise COVID-19
- « Charte des contrôles de la CNIL » : l’AFCDP accueille avec satisfaction un document attendu
- « Le métier de Délégué à la protection des données un an après » : premiers résultats de l’étude du ministère du Travail
- L’AFCDP alerte sur l’utilisation non maîtrisée du « reCAPTCHA » de Google
- Invalidation du « Privacy shield » : l’AFCDP alerte les entreprises et souhaite une position claire des « CNIL » européennes
- Les DPD/DPO de l’AFCDP mettent en garde contre la tentation du « cookie wall »
- RGPD : après deux années d’application, l’AFCDP réagit au premier bilan de la Commission européenne
- Lutte contre le Covid-19 : entre l’adoption d’outils numériques et la protection des données personnelles, un équilibre à trouver
- COVID-19 : L’avis de l’AFCDP sur le projet de décret encadrant les systèmes d’information mis en œuvre pour le suivi des malades
- COVID-19/StopCovid : l’AFCDP appuie la position de la CNIL - 27 avril 2020
- COVID-19 : quel impact sur la protection des données ? 25 mars 2020
- Données personnelles - Index AFCDP 2020 du Droit d’accès
- Observatoire du Métier de DPO
- Le tome 3 de la collection « la bibliothèque du DPO » de l’AFCDP est sorti !
- L’AFCDP offre de nouvelles « illustrations RGPD » aux DPO
- « Nous sommes avant tout un réseau professionnel » - CIO Online, 29 mai 2019
- Croissance exponentielle de l'association des DPO
- Données personnelles - Index AFCDP 2019 du Droit d’accès
- L’association qui représente les DPO en hyper croissance
- Le CIL est mort, vive le DPO !
- Quels scenarii après le vote de la loi « Informatique et Libertés » dans sa troisième version ?
- L’AFCDP offre des « illustrations RGPD » à ses adhérents
- L’AFCDP publie une Charte de Déontologie des DPO
- 2018
- L’AFCDP ouvre une « Place de marché RGPD »
- RGPD : l’AFCDP présente au sein du groupe d’experts de la Commission Européenne
- A J-326 de la mise en oeuvre du RGPD, Nouveau CA, nouveau bureau à l’AFCDP
- L’AFCDP crée un Job board dédié aux DPO
- Les associations européennes de DPO lancent un appel pour éviter que la profession ne se sclérose sur les seuls profils juridiques
- 23 janvier 2017, les Echos Business :...
- Index AFCDP 2017 du Droit d’accès : nouvelle déception
- L’AFCDP démocratise l’accès au nouveau règlement en publiant une version commentée et annotée
- Le Règlement européen s’appliquera dans deux ans, jour pour jour
- "Nous avons tout intérêt à ce que la plupart d’entre vous soient confirmés en tant que DPO" - Edouard Geffray, Secrétaire général de la CNIL
- Revue de presse 2016
- Le CIL bientôt quasiment obligatoire : l’AFCDP demande une clause "du grand père"
- L’AFCDP publie son premier livre : "Correspondant Informatique et Libertés : bien plus qu’un métier"
- Année 2015 - Vie privée/Données personnelles
- Index AFCDP 2015 du Droit d’accès : les résultats plafonnent 624
- L’AFCDP endosse la Déclaration du G29
- La Presse parle de l'AFCDP et du CIL 593
- Droit d’accès : L’index AFCDP 2014 marque une nette amélioration
- L’AFCDP publie un "Guide pratique du CIL pour l’accompagnement d’un projet de gestion de relation client (CRM)"
- Protection de la vie privée : Où en est le projet de Règlement européen ?
- Propositions de textes alternatifs au projet de Règlement européen
- La Presse parle de l’AFCDP et du CIL
- Index AFCDP 2013 du Droit d’accès
- Analyse comparée des « CIL » européens
- Correspondants Informatique et Libertés : Gardiens de la vie privée en Europe, en entreprise et dans les collectivités !
- La Presse parle de l'AFCDP et du CIL 517
- Le nouveau texte européen doit renforcer les délégués à la protection des données !
- Le rôle du CIL est essentiel pour la défense des droits et libertés à l’heure numérique
- Très forte croissance de l’association des CIL
- Autres articles 437
- Articles 2011 concernant le CIL ou l'AFCDP
- Révision de la Directive européenne pour la protection des données personnelles : la Commission européenne envisage de rendre obligatoire la désignation du CIL
- Exposition de données personnelles : L’AFCDP et Zataz.com créent le programme "Alerte CIL"
- L’AFCDP publie son premier Index du Droit d’accès
- Autres articles 282
- Articles 2010 AFCDP et CIL
- Le CIL bientôt obligatoire ?
- Du sang neuf à l’AFCDP
- Généralisation des Correspondants Informatique et Libertés : l’AFCDP s’en félicite
- L’AFCDP créé un Groupe "Flux Transfrontières"
- L’AFCDP et l’IAPP se rapprochent
- Articles 2009 concernant directement le CIL ou l'AFCDP
- Autres articles 2009
- L’AFCDP publie un Référentiel des Dispositifs d’Anonymisation
- Autres sujets 112
- Articles 2008 concernant directement le CIL et/ou l’AFCDP
- Anonymisation de Données : L’AFCDP aide les Correspondants Informatique & Libertés à réduire les risques encourus par les responsables de traitement
- Droits & Devoirs des Administrateurs Techniques
- Articles 2007 concernant directement le CIL et/ou l’AFCDP
- Autres sujets 61
- Autres sujets 59
- "Faut-il désigner un "Correspondant Informatique et Libertés" ?"
- Sur le CIL et/ou l’AFCDP 65
- 10 idées fausses à propos du DPO
- 15 bonnes raisons de désigner un DPO
- Sur le CIL et/ou l’AFCDP 64
- Autres sujets 58
- Sur le CIL et/ou l’AFCDP 62