III. LE MAINTIEN DE RÈGLES NATIONALES DE PROTECTION COMME SOUHAITÉ PAR LE SÉNAT SANS ALOURDIR LES CHARGES DES ENTREPRISES NI EMPÊCHER LA COOPÉRATION INTRA-EUROPÉENNE
Le projet de loi s'inscrit dans la logique de protection des données à caractère personnel du règlement et de la directive européenne et d'harmonisation de leur traitement, tout en mettant à profit certaines des marges de manoeuvre qu'ils prévoient pour conserver des règles plus protectrices en matière de traitement des données sensibles, limiter les droits des personnes pour des motifs stricts de sécurité publique, confirmer l'allègement des obligations administratives des PME dont le traitement de données personnelles n'est pas l'activité essentielle.
En complément, l'Assemblée nationale a abaissé l'âge de consentement des enfants et introduit la possibilité de joindre une demande d'indemnisation dans le cadre d'un recours collectif.
Aucune de ces dispositions n'apparaît de nature à nuire aux droits des personnes, à entraver la circulation des données personnelles au sein du marché intérieur, dans les limites fixées par le RGPDP et la directive, ni à alourdir la compétitivité des entreprises françaises.
Quelques points particuliers méritent toutefois d'être signalés.
A. UNE MISE EN CONFORMITÉ À TRÈS BRÈVE ÉCHÉANCE : UN DÉFI POUR LES COLLECTIVITÉS TERRITORIALES
Le caractère tardif des mesures législatives d'application du RGPDP et la charge administrative, technique et financière généré soulèvent des difficultés pour les acteurs qui n'ont pu anticiper les obligations qui s'imposeront à eux dans quelques semaines, en particulier les petites collectivités territoriales qui ne disposent le plus souvent pas des moyens techniques et des financements nécessaires.
Si la mise en conformité a un coût budgétaire pour l'État et les collectivités territoriales, elle a également un coût économique non négligeable pour les entreprises. Toutefois, les PME employant moins de 250 salariés sont dispensées de la tenue d'un registre des données qu'elles traitent dès lors que le traitement de données à caractère personnel constitue pour elles une activité auxiliaire 20 ( * ) . En outre, de manière générale, les entreprises n'ont pas l'obligation de procéder à la désignation d'un délégué à la protection des données lorsqu'elles n'effectuent pas de traitements à grande échelle ou de données sensibles 21 ( * ) . Elles n'ont pas non plus l'obligation d'effectuer une analyse d'impact pour les traitements qui ne sont pas susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques 22 ( * ) .
* 20 Art. 30.5 du RGDPD.
* 21 Art. 37 du RGPDP.
* 22 Art. 35 du RGPDP.