L'article 65 du Règlement général sur la protection des données (RGPD) institue le mécanisme de règlement des litiges par le Comité européen de la protection des données (CEPD). Contrairement à l'article 64 qui prévoit l'adoption d'avis non contraignants, l'article 65 confère au CEPD le pouvoir d'adopter des décisions contraignantes pour résoudre les désaccords entre autorités de contrôle concernant des traitements transfrontaliers.
Ce mécanisme constitue l'un des outils les plus puissants du système de coopération européen en matière de protection des données. Il permet de surmonter les blocages qui pourraient survenir lorsque l'autorité chef de file et les autres autorités concernées ne parviennent pas à se mettre d'accord sur le traitement d'une affaire transfrontalière. Sans ce mécanisme de règlement des litiges, le système du guichet unique risquerait d'être paralysé par des désaccords persistants.
L'article 65 s'inscrit dans la continuité des articles 60 à 64, qui organisent la coopération entre autorités de contrôle et le mécanisme de contrôle de la cohérence. Il constitue le dernier recours du système de coopération, intervenant lorsque les procédures de coopération ordinaires n'ont pas permis d'aboutir à un consensus.
Texte officiel de l'article 65 du RGPD
L'article 65 du RGPD dispose notamment que :
« 1. Afin de garantir l'application correcte et cohérente du présent règlement dans des cas d'espèce, le comité adopte une décision contraignante dans les cas suivants :
a) lorsque, dans une affaire visée à l'article 60, paragraphe 4, une autorité de contrôle concernée a formulé une objection pertinente et motivée à l'encontre d'un projet de décision de l'autorité chef de file ou que l'autorité chef de file a rejeté une telle objection au motif qu'elle n'est pas pertinente ou motivée. La décision contraignante porte sur toutes les questions qui font l'objet de l'objection pertinente et motivée, en particulier la question de savoir s'il y a violation du présent règlement ;
b) lorsqu'il existe des points de vue divergents sur les autorités de contrôle concernées compétentes pour l'établissement principal ;
c) lorsqu'une autorité de contrôle compétente ne demande pas l'avis du comité dans les cas visés à l'article 64, paragraphe 1, ou ne suit pas l'avis du comité rendu en application de l'article 64. Dans ce cas, toute autorité de contrôle concernée ou la Commission peut communiquer la question au comité.
2. La décision visée au paragraphe 1 est adoptée dans un délai d'un mois à compter de la saisine de la question, à la majorité des deux tiers des membres du comité. Ce délai peut être prorogé d'un mois, compte tenu de la complexité de la question en cause. La décision visée au paragraphe 1 est motivée et adressée à l'autorité de contrôle chef de file et à toutes les autorités de contrôle concernées et elle les lie.
3. Lorsque le comité n'a pas été en mesure d'adopter une décision dans les délais visés au paragraphe 2, il adopte sa décision dans un délai de deux semaines suivant l'expiration du second mois visé au paragraphe 2, à la majorité simple des membres du comité. En cas de partage égal des voix des membres du comité, la voix de son président l'emporte.
4. Les autorités de contrôle concernées n'adoptent pas de décision sur la question soumise au comité en vertu du paragraphe 1 pendant les délais visés aux paragraphes 2 et 3.
5. Le président du comité notifie la décision visée au paragraphe 1 aux autorités de contrôle concernées sans retard injustifié. Il en informe la Commission. La décision est publiée sans délai sur le site internet du comité après que l'autorité de contrôle a notifié la décision définitive visée au paragraphe 6.
6. L'autorité de contrôle chef de file ou, selon le cas, l'autorité de contrôle saisie de la réclamation adopte sa décision définitive sur la base de la décision visée au paragraphe 1 du présent article, sans retard injustifié et au plus tard un mois après que le comité a notifié sa décision. L'autorité de contrôle chef de file ou, selon le cas, l'autorité de contrôle saisie de la réclamation informe le comité de la date à laquelle sa décision définitive est notifiée au responsable du traitement ou au sous-traitant et à la personne concernée, le cas échéant. La décision définitive des autorités de contrôle concernées est adoptée en vertu de l'article 60, paragraphes 7, 8 et 9. La décision définitive fait référence à la décision visée au paragraphe 1 du présent article et précise qu'elle sera publiée sur le site internet du comité conformément au paragraphe 5 du présent article. La décision définitive joint la décision visée au paragraphe 1 du présent article. »
Ce texte établit un mécanisme de règlement des litiges permettant au CEPD d'adopter des décisions contraignantes pour résoudre les désaccords entre autorités de contrôle.
Cas de saisine du comité pour décision contraignante
L'article 65, paragraphe 1, énumère trois cas dans lesquels le CEPD peut être saisi pour adopter une décision contraignante. Le premier cas (point a) concerne les situations où une autorité de contrôle concernée a formulé une objection pertinente et motivée à l'encontre d'un projet de décision de l'autorité chef de file, et où cette objection n'a pas été résolue de manière consensuelle.
Le deuxième cas (point b) vise les litiges relatifs à la détermination de l'autorité chef de file, lorsqu'il existe des points de vue divergents sur l'identification de l'établissement principal du responsable de traitement. Cette situation peut survenir lorsque plusieurs autorités estiment être compétentes pour traiter une affaire transfrontalière.
Le troisième cas (point c) concerne les situations où une autorité de contrôle compétente ne demande pas l'avis du comité dans les cas prévus à l'article 64, paragraphe 1, ou ne suit pas l'avis du comité. Ce mécanisme permet de sanctionner les autorités qui contourneraient la procédure de cohérence ou refuseraient de suivre les avis du CEPD sans justification valable.
Procédure et délais d'adoption de la décision
L'article 65, paragraphe 2, prévoit que la décision contraignante du CEPD doit être adoptée dans un délai d'un mois à compter de la saisine de la question, délai pouvant être prorogé d'un mois supplémentaire compte tenu de la complexité de l'affaire. La décision est adoptée à la majorité des deux tiers des membres du comité, reflétant l'importance et le caractère contraignant de cette décision.
Le paragraphe 3 prévoit un mécanisme de sauvegarde pour les cas où le comité ne parvient pas à réunir une majorité des deux tiers dans les délais impartis. Dans ce cas, la décision peut être adoptée dans un délai supplémentaire de deux semaines à la majorité simple des membres, la voix du président l'emportant en cas de partage égal des voix. Ce mécanisme garantit qu'une décision sera toujours adoptée, même en cas de désaccord important entre membres du comité.
Caractère contraignant et suspension des décisions nationales
La décision du CEPD au titre de l'article 65 est contraignante pour les autorités de contrôle concernées, qui doivent l'appliquer dans leur décision définitive. Ce caractère contraignant distingue fondamentalement les décisions de l'article 65 des avis de l'article 64, qui ne sont que consultatifs.
L'article 65, paragraphe 4, prévoit que les autorités de contrôle concernées ne peuvent adopter de décision sur la question soumise au comité pendant les délais d'examen par le CEPD. Cette suspension vise à garantir que les autorités ne créent pas de situations irréversibles avant que le comité n'ait pu trancher le litige.
Notification et publication de la décision
L'article 65, paragraphe 5, organise la notification de la décision du CEPD aux autorités de contrôle concernées et à la Commission européenne. La décision est publiée sans délai sur le site internet du comité après que l'autorité de contrôle a notifié la décision définitive au responsable de traitement et à la personne concernée.
Cette publication vise à assurer la transparence du mécanisme de règlement des litiges et à permettre aux responsables de traitement et aux personnes concernées de comprendre les raisons de la décision finale adoptée par l'autorité de contrôle. Elle contribue également à la construction d'une jurisprudence européenne commune en matière de protection des données.
Adoption de la décision définitive par l'autorité de contrôle
L'article 65, paragraphe 6, impose à l'autorité de contrôle chef de file ou, selon le cas, à l'autorité saisie de la réclamation, d'adopter sa décision définitive sur la base de la décision du CEPD, sans retard injustifié et au plus tard un mois après notification de cette décision. L'autorité ne dispose d'aucune marge d'appréciation pour s'écarter de la décision du comité, celle-ci étant contraignante.
La décision définitive de l'autorité de contrôle doit faire référence à la décision du CEPD et préciser qu'elle sera publiée sur le site internet du comité. Elle doit également joindre la décision du comité, garantissant ainsi la traçabilité complète du processus décisionnel.
Articulation avec les autres dispositions du RGPD
L'article 65 s'articule étroitement avec l'article 60, qui organise la procédure de coopération entre l'autorité chef de file et les autres autorités concernées. C'est en effet lorsque cette procédure de coopération n'aboutit pas à un consensus, en raison d'objections pertinentes et motivées non résolues, que le mécanisme de l'article 65 est activé.
Il complète également l'article 64 relatif aux avis du comité, en offrant un mécanisme plus contraignant pour les situations où un avis consultatif ne serait pas suffisant pour résoudre un désaccord. Les deux articles forment ainsi un système à deux niveaux, permettant une gradation dans l'intervention du CEPD.
Enfin, l'article 65 doit être lu en lien avec les articles 78 et 263 du TFUE, qui prévoient les voies de recours juridictionnel contre les décisions du CEPD et des autorités de contrôle. Les décisions contraignantes du CEPD peuvent faire l'objet d'un recours devant la Cour de justice de l'Union européenne, garantissant ainsi le respect du droit à un recours effectif.
Jurisprudence relative à l'article 65
Depuis l'entrée en application du RGPD, le Comité européen de la protection des données a adopté plusieurs décisions contraignantes au titre de l'article 65, marquant l'utilisation effective de ce mécanisme de règlement des litiges. Ces décisions ont notamment concerné de grandes plateformes numériques opérant à l'échelle européenne, dont les pratiques de traitement des données ont suscité des divergences d'appréciation entre autorités de contrôle.
Les décisions du CEPD au titre de l'article 65 ont permis de clarifier l'interprétation de plusieurs dispositions clés du RGPD, notamment en matière de base juridique du traitement, d'obligations de transparence, de droits des personnes et de transferts internationaux de données. Elles ont également contribué à définir la portée des obligations pesant sur les responsables de traitement opérant à l'échelle européenne.
Plusieurs de ces décisions ont fait l'objet de recours devant les juridictions nationales ou européennes, témoignant de l'importance des enjeux et des montants de sanctions potentiels. La jurisprudence de la Cour de justice de l'Union européenne relative à l'article 65 demeure toutefois limitée à ce stade, le mécanisme étant encore relativement récent.
Recommandations de la CNIL et du CEPD
Le Comité européen de la protection des données insiste sur l'importance du mécanisme de règlement des litiges pour garantir l'application cohérente du RGPD dans les affaires transfrontalières. Il encourage les autorités de contrôle à rechercher en priorité des solutions consensuelles dans le cadre de la procédure de coopération prévue à l'article 60, et à ne recourir au mécanisme de l'article 65 qu'en dernier ressort.
La CNIL souligne que le mécanisme de règlement des litiges constitue une garantie importante pour les personnes concernées, leur permettant d'obtenir une décision même en cas de désaccord entre autorités de contrôle. Elle rappelle également que les décisions du CEPD contribuent à la construction d'une jurisprudence européenne commune, bénéfique tant pour les personnes concernées que pour les responsables de traitement.
Le CEPD recommande aux responsables de traitement opérant à l'échelle européenne de suivre attentivement les décisions contraignantes adoptées au titre de l'article 65, celles-ci constituant des indicateurs précieux sur l'interprétation du RGPD retenue au niveau européen. La conformité à ces décisions constitue un élément favorable dans l'appréciation de la diligence des organisations.
Implications pratiques pour les responsables de traitement
Pour les responsables de traitement faisant l'objet d'une procédure transfrontalière, le déclenchement du mécanisme de règlement des litiges prévu à l'article 65 peut avoir plusieurs conséquences. D'une part, il prolonge la durée de la procédure, les délais d'examen par le CEPD s'ajoutant aux délais de la procédure de coopération initiale entre autorités.
D'autre part, le caractère contraignant de la décision du CEPD garantit qu'une décision finale sera adoptée, même en cas de désaccord persistant entre autorités. Pour les organisations, cela offre une forme de sécurité juridique, en évitant qu'une procédure ne reste indéfiniment en suspens en raison d'un blocage institutionnel.
Les responsables de traitement doivent également être conscients que les décisions du CEPD sont publiées et peuvent avoir une portée qui dépasse le cas d'espèce, influençant l'interprétation du RGPD de manière générale. Il est donc important de suivre ces décisions et d'adapter ses pratiques en conséquence, même lorsqu'on n'est pas directement concerné par l'affaire en cause.
L'article 65 du RGPD constitue la clé de voûte du système de coopération entre autorités de contrôle, en fournissant un mécanisme de règlement des litiges permettant d'adopter des décisions contraignantes en cas de désaccord persistant. Ce mécanisme garantit que le système du guichet unique ne soit pas paralysé par des blocages institutionnels et que les personnes concernées puissent obtenir une décision effective sur leurs réclamations. Il contribue également à la construction d'une jurisprudence européenne commune, renforçant la cohérence de l'application du RGPD à travers l'Union européenne.