L’association autrichienne noyb vient de publier une étude inédite menée auprès de 510 Délégués à la Protection des Données. Résultat : les DPO ne réclament pas moins de protection pour les citoyens, mais moins de paperasse. Un message radicalement différent de celui que portent les lobbys de la tech à la Commission européenne.
Le Digital Omnibus sous le feu des professionnels de terrain
Depuis novembre 2025, le paquet législatif numérique de la Commission européenne, surnommé « Digital Omnibus », fait l’objet de vives critiques. Ce texte fourre-tout prévoit d’amender simultanément plusieurs grands textes européens : le RGPD, la directive e-Privacy, le règlement sur l’IA, et d’autres encore.
Parmi les points les plus contestés figure l’article 15 relatif au droit d’accès aux données personnelles, que la Commission envisage de restreindre au motif qu’il ferait l’objet d' »abus ». next Des organisations de défense des droits numériques ont par ailleurs documenté l’influence des lobbys des grandes entreprises technologiques sur la rédaction de ce texte.
Face à ce contexte, noyb a choisi une approche originale : plutôt que d’interroger les entreprises elles-mêmes, l’association a sondé directement les professionnels chargés, au quotidien, de mettre en oeuvre le RGPD en interne.
Méthodologie : 510 DPO consultés, dont la moitié dans des grandes structures
Le sondage a été réalisé en juillet 2025. Après nettoyage des données, noyb consolide les réponses de 510 DPO, dont la moitié évolue dans des entreprises de plus de 500 salariés. next Les participants ont été recrutés via les canaux de communication propres à l’association, notamment ses réseaux sociaux et sa newsletter spécialisée en protection des données.
L’étude cherchait à répondre à trois grandes questions :
- Quelles tâches liées au RGPD sont les plus chronophages ?
- Quelles obligations sont perçues comme les plus utiles ?
- Quelle forme de simplification les DPO appellent-ils réellement de leurs voeux ?
Ce qui prend du temps : la documentation, pas le droit d’accès
Les répondants déclarent que les tâches les plus chronophages sont liées aux obligations déclaratives, à la mesure d’impact, et à la conformité en matière de sécurité. Les principes fondamentaux du règlement, les obligations d’information ou la gestion du droit d’accès sont quant à eux considérés comme relativement indolores. next
Chiffre particulièrement éloquent : plus de 70 % des sondés indiquent que le droit d’accès ne génère que « peu », « un peu » ou « pas » de travail. next
Pour noyb, ce résultat invalide directement l’argument mis en avant par Bruxelles pour justifier la réduction du droit d’accès. La réalité du terrain est que ce droit reste très peu sollicité dans la grande majorité des organisations. Les acteurs qui reçoivent de nombreuses demandes, comme les régies publicitaires, ont d’ores et déjà mis en place des systèmes de traitement automatisés.
Ce que les DPO jugent utile : la transparence et la sécurité avant tout
Quand on interroge les DPO sur leur perception de l’utilité des différentes obligations, ce sont les exigences liées à la sécurité, les principes fondamentaux du texte, et l’obligation d’information qui apparaissent comme les éléments les plus précieux, juste devant le droit d’accès. next
Autrement dit, les DPO valorisent précisément ce que la Commission européenne envisage d’affaiblir. Ce paradoxe est au coeur de la critique portée par Max Schrems, fondateur de noyb : « Cette étude révèle un fossé immense entre les besoins des personnes qui travaillent concrètement au respect de la conformité et les problèmes alimentés par la bulle du lobby bruxellois. » next
Vers un système de paliers : les grandes entreprises sous des règles plus strictes
L’étude aborde également la question du « one size fits all », c’est-à-dire l’application d’un cadre uniforme à toutes les organisations quelle que soit leur taille ou leur rapport aux données personnelles.
Malgré le fait que beaucoup de répondants représentent de grandes entreprises, 70 % d’entre eux estiment qu’il est nécessaire d’imposer des règles plus strictes aux grandes structures. next Les DPO semblent donc largement favorables à une approche différenciée : des obligations allégées et très claires pour les PME, des contraintes renforcées pour les acteurs qui font du traitement de données leur coeur de métier.
Ce positionnement contredit directement la communication de Bruxelles, qui présente la simplification du RGPD comme un bénéfice universel pour toutes les entreprises.
Liste blanche ou liste noire : les DPO ouverts aux deux logiques
Sur la proposition de liste blanche pour automatiser le consentement de certains traitements à finalité claire (comme la mesure d’audience), 84 % des sondés se déclarent globalement favorables à l’idée. next
Mais noyb va plus loin en soumettant également le concept de liste noire, qui interdirait les traitements « clairement illicites », à la manière de ce que prévoit l’article 5 du règlement européen sur l’IA. Cette option recueille un accueil favorable, total ou partiel, chez 91 % des sondés. next
Pour noyb, ce résultat traduit une préférence des professionnels pour la clarté des règles plutôt que pour la flexibilité. Une règle nette, même contraignante, est plus facile à appliquer qu’un cadre flou ouvert à l’interprétation.
Ce que cela signifie pour les DPO en France
Les résultats de cette étude confirment ce que beaucoup de DPO expérimentent au quotidien : la lourdeur du RGPD ne vient pas de droits trop étendus accordés aux personnes concernées, mais de la complexité documentaire et administrative qui pèse sur les équipes de conformité.
Réduire le droit d’accès ou assouplir les obligations de transparence ne résoudrait rien pour les DPO. En revanche, simplifier les registres, clarifier les règles applicables aux sous-traitants, ou alléger les formalités liées aux analyses d’impact pour les traitements à faible risque représenteraient des gains réels.
Le sondage de noyb constitue ainsi un contrepoids précieux face au lobbying intense qui s’exerce à Bruxelles. Il rappelle que les professionnels de la protection des données ne sont pas les ennemis de la compétitivité européenne : ils en sont, bien au contraire, l’un des garants, à condition que le cadre dans lequel ils opèrent reste cohérent et lisible.
