L'article 64 du Règlement général sur la protection des données (RGPD) définit les cas dans lesquels le Comité européen de la protection des données (CEPD) doit être saisi pour adopter un avis sur un projet de décision d'une autorité de contrôle. Cette disposition constitue un élément central du mécanisme de contrôle de la cohérence, garantissant qu'un certain nombre de décisions ayant une portée européenne ou soulevant des questions d'interprétation importantes fassent l'objet d'un examen collégial avant leur adoption.
Le mécanisme d'avis prévu à l'article 64 vise à prévenir les divergences d'interprétation du RGPD entre autorités de contrôle et à garantir une application harmonisée du règlement. En soumettant certains projets de décision à l'examen du CEPD, le législateur européen a créé un processus de contrôle de la cohérence ex ante, permettant d'identifier et de corriger d'éventuelles incohérences avant qu'elles ne produisent leurs effets.
L'article 64 s'inscrit dans la continuité de l'article 63, qui établit le principe général du mécanisme de contrôle de la cohérence, et précède l'article 65, qui organise le règlement des litiges entre autorités par le CEPD. Ensemble, ces dispositions forment un système complet de coordination des autorités de contrôle au niveau européen.
Texte officiel de l'article 64 du RGPD
L'article 64 du RGPD dispose notamment que :
« 1. Le comité rend un avis lorsqu'une autorité de contrôle compétente a l'intention d'adopter l'une des mesures ci-après. À cette fin, l'autorité de contrôle compétente communique le projet de décision au comité, lorsque cette décision :
a) vise à adopter une liste des opérations de traitement qui doivent faire l'objet d'une analyse d'impact relative à la protection des données en application de l'article 35, paragraphe 4 ;
b) porte sur une question relevant de l'article 40, paragraphe 7, visant à déterminer si un projet de code de conduite ou une modification ou une prorogation d'un code de conduite respecte le présent règlement ;
c) vise à approuver les critères d'accréditation en application de l'article 41, paragraphe 3 ;
d) vise à définir les clauses types de protection des données visées à l'article 46, paragraphe 2, point d), et à l'article 28, paragraphe 8 ;
e) vise à autoriser les clauses contractuelles visées à l'article 46, paragraphe 3, point a) ;
f) vise à approuver les règles d'entreprise contraignantes au sens de l'article 47.
2. Toute autorité de contrôle, le président du comité ou la Commission peut demander que toute question d'application générale ou produisant des effets dans plusieurs États membres soit examinée par le comité en vue d'obtenir un avis, en particulier lorsqu'une autorité de contrôle compétente ne respecte pas les obligations relatives à l'assistance mutuelle conformément à l'article 61 ou aux opérations conjointes conformément à l'article 62.
3. Dans les cas visés aux paragraphes 1 et 2, le comité rend un avis sur la question qui lui est soumise, à condition qu'il n'ait pas déjà rendu un avis sur la même question. Cet avis est adopté dans un délai de huit semaines à la majorité simple des membres du comité. Ce délai peut être prorogé de six semaines, compte tenu de la complexité de la question en cause. [...] Si un membre du comité ne formule pas d'objection dans un délai raisonnable indiqué par le président, celui-ci considère que ce membre approuve le projet de décision.
4. Les autorités de contrôle et la Commission communiquent, sans retard injustifié, au comité par voie électronique les informations utiles, y compris, selon le cas, un résumé des faits, le projet de décision, les motifs qui justifient l'adoption d'une telle mesure, et les observations des autres autorités de contrôle concernées.
5. Le président du comité informe sans retard injustifié, par voie électronique :
a) les membres du comité et la Commission de toute information utile communiquée. Le secrétariat du comité fournit, lorsque cela est nécessaire, des traductions des informations utiles ; et
b) l'autorité de contrôle visée, selon le cas, aux paragraphes 1 et 2, et la Commission de l'avis, et le rend public.
6. L'autorité de contrôle compétente ne peut adopter son projet de décision visé au paragraphe 1 que compte tenu de l'avis du comité et communique au président du comité par voie électronique la manière dont l'avis du comité a été pris en considération, notamment si elle a l'intention de maintenir son projet de décision. Ce faisant, elle indique les raisons pour lesquelles elle ne suit pas l'avis du comité, en tout ou partie. L'autorité de contrôle communique son projet de décision aux autres autorités de contrôle et à la Commission.
[...] 8. Dans un délai de quinze jours à compter de la communication du projet de décision visée au paragraphe 6, l'autorité de contrôle chef de file adopte la décision définitive. »
Ce texte établit une procédure structurée d'examen collégial des projets de décision ayant une portée européenne, garantissant la cohérence de l'application du RGPD.
Cas obligatoires de saisine du CEPD
L'article 64, paragraphe 1, énumère six catégories de décisions qui doivent obligatoirement faire l'objet d'un avis du CEPD avant leur adoption par une autorité de contrôle. Ces décisions ont toutes en commun de présenter une portée qui dépasse le cadre purement national et d'avoir un impact potentiel sur l'application harmonisée du RGPD.
La première catégorie concerne l'adoption de listes d'opérations de traitement devant faire l'objet d'une analyse d'impact relative à la protection des données (AIPD) en application de l'article 35, paragraphe 4. Ces listes, établies par chaque autorité de contrôle, doivent être soumises au CEPD pour garantir une certaine cohérence dans l'identification des traitements à haut risque à travers l'Union.
Les autres catégories concernent l'approbation de codes de conduite (point b), l'approbation de critères d'accréditation d'organismes de certification (point c), la définition de clauses types de protection des données (point d), l'autorisation de clauses contractuelles pour les transferts de données (point e), et l'approbation de règles d'entreprise contraignantes (point f). Toutes ces décisions ont vocation à s'appliquer au-delà des frontières d'un seul État membre.
Saisine facultative du CEPD
L'article 64, paragraphe 2, prévoit la possibilité pour toute autorité de contrôle, le président du CEPD ou la Commission européenne de demander l'examen par le comité de toute question d'application générale ou produisant des effets dans plusieurs États membres. Cette saisine facultative permet d'activer le mécanisme de cohérence même dans des cas non prévus au paragraphe 1, lorsque l'importance de la question le justifie.
Le paragraphe 2 mentionne particulièrement les situations où une autorité de contrôle ne respecte pas ses obligations relatives à l'assistance mutuelle (article 61) ou aux opérations conjointes (article 62). Dans ces cas, la saisine du CEPD permet de débloquer une situation de non-coopération et de garantir que les droits des personnes concernées ne soient pas affectés par des blocages institutionnels.
Procédure et délais d'adoption de l'avis
L'article 64, paragraphe 3, organise la procédure d'adoption de l'avis du CEPD. Le comité dispose d'un délai de huit semaines à compter de la saisine pour adopter son avis, délai qui peut être prorogé de six semaines supplémentaires compte tenu de la complexité de la question. L'avis est adopté à la majorité simple des membres du comité.
La procédure prévoit que si un membre du comité ne formule pas d'objection dans un délai raisonnable indiqué par le président, celui-ci considère que ce membre approuve le projet de décision. Ce mécanisme d'approbation tacite vise à garantir la rapidité de la procédure et à éviter qu'un silence prolongé d'un ou plusieurs membres ne paralyse l'adoption de l'avis.
Communication des informations et transparence
L'article 64, paragraphe 4, impose aux autorités de contrôle et à la Commission européenne de communiquer au CEPD toutes les informations utiles pour l'examen du projet de décision, incluant un résumé des faits, le projet de décision lui-même, les motifs justifiant son adoption, et les observations des autres autorités de contrôle concernées.
Le président du CEPD a pour mission d'informer les membres du comité et la Commission de ces informations, et de communiquer l'avis adopté à l'autorité de contrôle concernée ainsi qu'à la Commission. L'avis est également rendu public, conformément au principe de transparence qui gouverne l'action du CEPD.
Effet de l'avis sur la décision de l'autorité de contrôle
L'article 64, paragraphe 6, précise que l'autorité de contrôle compétente ne peut adopter son projet de décision que compte tenu de l'avis du CEPD. Elle doit communiquer au président du comité la manière dont l'avis a été pris en considération, et indiquer les raisons pour lesquelles elle ne suit pas l'avis, en tout ou partie, le cas échéant.
Il est important de noter que l'avis du CEPD au titre de l'article 64 n'est pas contraignant. L'autorité de contrôle conserve la possibilité de s'écarter de l'avis, à condition de motiver sa position. Toutefois, dans la pratique, les autorités suivent généralement les avis du CEPD, ceux-ci bénéficiant d'une forte légitimité en tant qu'expression de la position collective des autorités européennes.
Délai d'adoption de la décision définitive
L'article 64, paragraphe 8, impose à l'autorité de contrôle chef de file d'adopter sa décision définitive dans un délai de quinze jours à compter de la communication du projet de décision tenant compte de l'avis du CEPD. Ce délai court garantit que la procédure de consultation du CEPD ne retarde pas indûment l'adoption de la décision finale.
Articulation avec les autres dispositions du RGPD
L'article 64 s'articule étroitement avec l'article 65, qui organise le règlement des litiges entre autorités par le CEPD. Alors que l'article 64 prévoit l'adoption d'avis non contraignants sur des projets de décision, l'article 65 permet au CEPD d'adopter des décisions contraignantes en cas de désaccord persistant entre autorités.
Il doit également être lu en lien avec les dispositions spécifiques du RGPD qui prévoient l'intervention du CEPD, notamment l'article 35, paragraphe 4 (listes d'AIPD), l'article 40, paragraphe 7 (codes de conduite), l'article 41, paragraphe 3 (critères d'accréditation), l'article 46 (clauses types et clauses contractuelles), et l'article 47 (règles d'entreprise contraignantes).
Enfin, l'article 64 s'inscrit dans le cadre plus large des articles 68 à 76, qui définissent la composition, les missions et le fonctionnement du Comité européen de la protection des données.
Jurisprudence relative à l'article 64
Depuis l'entrée en application du RGPD, le Comité européen de la protection des données a adopté de nombreux avis au titre de l'article 64. Ces avis ont notamment porté sur l'approbation de règles d'entreprise contraignantes (BCR) pour des groupes multinationaux, l'accréditation d'organismes de certification, et l'adoption de listes nationales d'opérations de traitement devant faire l'objet d'une analyse d'impact.
Les avis du CEPD relatifs aux listes d'AIPD ont permis d'harmoniser l'approche des différentes autorités de contrôle quant à l'identification des traitements à haut risque. Le CEPD a notamment souligné l'importance de prendre en compte les critères énoncés dans ses lignes directrices relatives aux AIPD et d'éviter des divergences trop importantes entre les listes nationales.
En matière de codes de conduite et de règles d'entreprise contraignantes, les avis du CEPD ont contribué à clarifier les exigences du RGPD et à garantir que les mécanismes approuvés par les autorités nationales offrent un niveau de protection suffisant et cohérent à travers l'Union européenne.
Recommandations de la CNIL et du CEPD
Le Comité européen de la protection des données recommande aux autorités de contrôle de consulter les avis précédemment adoptés avant de soumettre un nouveau projet de décision, afin de garantir la cohérence de leur approche avec la jurisprudence établie par le comité. Il encourage également les autorités à soumettre leurs projets de décision suffisamment en amont pour permettre un examen approfondi dans les délais impartis.
La CNIL, en tant que membre actif du CEPD, participe à l'élaboration des avis du comité et veille à ce que ses propres projets de décision soient conformes aux positions adoptées au niveau européen. Elle souligne l'importance de la procédure d'avis prévue à l'article 64 pour garantir la sécurité juridique des organisations opérant dans plusieurs États membres.
Le CEPD recommande aux responsables de traitement souhaitant obtenir l'approbation de règles d'entreprise contraignantes ou de codes de conduite de prendre connaissance des avis précédemment adoptés, qui constituent des indicateurs précieux sur les exigences attendues et les points d'attention des autorités de contrôle.
Implications pratiques pour les responsables de traitement
Pour les responsables de traitement, la procédure d'avis prévue à l'article 64 présente plusieurs implications pratiques. Tout d'abord, elle allonge le délai nécessaire à l'obtention d'une approbation ou d'une autorisation de la part d'une autorité de contrôle, puisque le projet de décision doit être soumis au CEPD pour avis avant adoption finale.
Les organisations doivent donc anticiper ces délais dans leurs projets impliquant l'approbation de règles d'entreprise contraignantes, de codes de conduite ou de clauses contractuelles. Il est recommandé de prévoir un délai global d'au moins trois à six mois pour l'ensemble de la procédure, incluant l'examen initial par l'autorité de contrôle compétente, la consultation du CEPD et l'adoption de la décision finale.
Les avis adoptés par le CEPD, qui sont rendus publics, constituent également une source d'information précieuse pour les organisations. En consultant ces avis, les responsables de traitement peuvent anticiper les exigences des autorités de contrôle et adapter leurs projets en conséquence, réduisant ainsi le risque de refus ou de demandes de modification.
L'article 64 du RGPD établit un mécanisme structuré de consultation du Comité européen de la protection des données pour l'adoption de certaines décisions ayant une portée européenne. En soumettant ces projets de décision à un examen collégial, le règlement garantit une application cohérente et harmonisée du RGPD à travers l'Union européenne. Bien que les avis du CEPD ne soient pas contraignants, ils exercent une influence considérable sur les décisions des autorités de contrôle et contribuent à la construction d'une jurisprudence européenne commune en matière de protection des données.