Connexion
Sondage de DPO à l’appui, noyb affirme que la simplification RGPD est à côté de la plaque
À lobbying, lobbying et demi
Que disent les délégués à la protection des données personnelles de la simplification du RGPD envisagée par la Commission européenne ? Un sondage organisé par l’association noyb révèle que leurs préoccupations portent essentiellement sur la simplification des démarches administratives, et non sur la redéfinition des données personnelles ou sur la limitation du droit d’accès, pourtant envisagés par Bruxelles en réponse aux demandes de l’industrie.
Dans l’univers tech, on entend souvent dire que l’excès de norme est un frein à l’innovation, et que le régulateur ferait bien de s’intéresser aux signaux qui remontent de la base (les entreprises) plutôt que de décider du cadre depuis le sommet.
L’association autrichienne noyb a décidé de prolonger la logique en descendant un cran plus bas : plutôt que d’interroger les entreprises, elle a cherché à connaître la position des individus qui, au sein de ces dernières, se situent en première ligne de la mise en œuvre du cadre réglementaire.
Ratio entre charge de travail et utilité perçue
En l’occurrence, les fameux Délégués à la protection des données (souvent abrégé en DPO, pour Data Protection Officer), instaurés par les articles 37 et suivants du non moins fameux Règlement général sur la protection des données (RGPD).
L’association a donc demandé à environ 500 de ces derniers quels étaient les points de friction liés au RGPD les plus fréquents dans leur quotidien. Elle en a profité pour essayer d’évaluer, toujours par la voie du sondage déclaratif, la part du temps de leur activité de DPO associée à chacune des grandes exigences du règlement. Elle a enfin tenté d’évaluer la façon dont ces DPO percevaient la valeur du service rendu à l’internaute en matière de respect de la vie privée.
Les enseignements de cette étude, présentés jeudi 5 mars, illustrent selon noyb à quel point la Commission européenne fait fausse route en matière de simplification du RGPD. Rappelons que Bruxelles a publié en novembre 2025 un paquet législatif dédié au numérique qui vise à amender plusieurs des grands textes de loi européens, dont le RGPD, la directive e-Privacy, le règlement sur l’IA, etc..
Qualifié de « digital omnibus » du fait de ce caractère fourre-tout, le texte est vivement attaqué pour les allègements qu’il propose en matière de défense de la vie privée. Mi-janvier, deux organisations européennes ont ajouté de l’huile sur le feu en arguant que certaines des mesures de ce Digital Omnibus seraient le reflet du message porté par les lobbys de l’industrie de la tech à Bruxelles. L’un des points de crispation concerne l’article 15 relatif au droit d’accès aux données personnelles, que la Commission européenne prévoit de réduire au motif qu’il y aurait des « abus ».
C’est donc dans ce contexte tendu que noyb dégaine son étude, dont les résultats se veulent donc représentatifs des attentes non pas d’un secteur d’activité, mais d’une fonction bien précise, dont l’avis semble tranché. L’association résume :
« Il s’avère que la plupart des professionnels ne souhaitent pas une réduction des protections, mais une simplification des obligations de documentation et des formalités administratives. Dans bien des cas, ils demandent même des lois plus claires plutôt qu’une plus grande « flexibilité », difficile à mettre en œuvre pour la plupart des entreprises. »
Les DPO ne veulent globalement pas moins de protections
Le sondage a été réalisé en juillet 2025, et une fois nettoyées, les données permettent à noyb de consolider (PDF) les réponses de 510 DPO, dont la moitié évolue dans des sociétés comptant plus de 500 employés. Il est à noter que l’association a recruté les sondés par ses propres canaux de communication (réseaux sociaux et newsletter centrée sur les enjeux liés au RGPD).
Pour ce qui est de la charge de travail, les répondants déclarent que les tâches les plus chronophages sont liées aux obligations déclaratives, à la mesure d’impact, et à la conformité en matière de sécurité. Les principes qui constituent le cœur du règlement, les obligations d’information ou la gestion du droit d’accès sont quant à eux considérés comme relativement indolores. D’après noyb, plus de 70 % des sondés répondent ainsi que le droit d’accès ne génère que « peu », « un peu » ou « pas » de travail.
L’association affirme que ce chiffre confirme sa propre lecture du phénomène, selon laquelle la plupart des entreprises ne font l’objet que de rares demandes d’accès, tandis que les acteurs susceptibles d’être fréquemment sollicités (secteur de la publicité par exemple) ont de toute façon des routines de traitement automatisées.
L’association interroge ensuite son échantillon de DPO sur leur perception de l’utilité des missions en question. Ici, ce sont les obligations liées à la sécurité, les principes fondamentaux du texte, et l’obligation d’information qui apparaissent comme les éléments les plus utiles, juste devant le droit à l’accès. Elle s’étonne dans ce contexte que Bruxelles propose de limiter le droit d’accès ou les obligations de transparence.
« Cette étude révèle un fossé immense entre les besoins des personnes qui travaillent concrètement au respect de la conformité et les problèmes alimentés par la « bulle du lobby bruxellois ». Nous n’aidons pas les entreprises européennes dans leur fonctionnement normal ; la proposition de la Commission empiète même souvent sur ce que les professionnels considèrent comme utile », résume Max Schrems, fondateur de noyb.
Le « one size fits all » ne fait pas consensus
noyb profite de son étude pour interroger les DPO sur l’intérêt, ou non, de créer des paliers en fonction desquels le niveau d’obligation pourrait varier, de façon par exemple à ce que les exigences réglementaires soient alourdies pour les grands acteurs spécialistes de la vente de données, et allégées pour les petites et moyennes entreprises chez qui la gestion de données personnelles n’est qu’une problématique satellite.
La question n’est pas totalement innocente : dans sa communication autour du paquet numérique, Bruxelles fait en effet valoir que la simplification du RGPD profitera à toutes les entreprises, sans prendre en compte cette différence d’impact. Qu’en disent les intéressés ? « Malgré le fait que beaucoup d’entre eux représentent de plus grandes entreprises (500 + employés), 70% des répondants ont déclaré qu’il y avait un besoin de règles plus strictes pour les grandes entreprises », argue noyb, qui défend donc l’idée d’un système de paliers, avec des règles très claires, ne laissant que peu de place à l’interprétation juridique, pour les PME.
L’association interroge également la perception des DPO sur la proposition, faite par Bruxelles, d’un système de liste blanche, pour automatiser le consentement de certains recueils et traitements à finalité claire (la mesure d’audience par exemple) et donc réduire la pression au niveau des fameux bandeaux de cookies.
noyb, qui avait exprimé en novembre dernier des craintes sur les possibilités réellement offertes par cette liste blanche, note à ce niveau que 84 % des sondés sont globalement favorables à l’idée, mais ajoute à l’équation une autre hypothèse, jusqu’ici écartée par Bruxelles : celle d’un fonctionnement par liste noire, qui interdirait donc les traitements « clairement illicites », à la façon de ce qu’énonce l’article 5 du règlement européen sur l’IA. L’idée recueille un accueil favorable (totalement ou partiellement) chez 91 % des sondés.
« Étonnamment, les spécialistes de la protection de la vie privée (…) ne pensent pas qu’une « liste noire » limiterait excessivement [les responsables de traitement]. Il semble que la sécurité juridique soit privilégiée par rapport à la flexibilité de la loi. On peut supposer que la garantie d’une concurrence loyale est un facteur justifiant l’établissement de « listes noires », étant donné que les concurrents seraient eux aussi soumis à des règles plus claires. », commente l’association, qui appelle par conséquent à un débat plus large autour du Digital Omnibus.
