L'article 70 du Règlement général sur la protection des données (RGPD) définit les missions du Comité européen de la protection des données (CEPD). Cette disposition établit un cadre complet des attributions du comité, qui vont de l'adoption de lignes directrices et de recommandations à la résolution des litiges entre autorités de contrôle, en passant par le conseil aux institutions européennes sur les questions de protection des données.
Les missions confiées au CEPD par l'article 70 sont essentielles pour garantir une application cohérente du RGPD à travers l'Union européenne. En fournissant une interprétation harmonisée du règlement et en facilitant la coopération entre autorités de contrôle, le comité contribue à la construction d'un espace européen de protection des données unifié et efficace.
L'article 70 s'inscrit dans le cadre du chapitre VII du RGPD consacré à la coopération et à la cohérence, et précise les missions que le CEPD accomplit en toute indépendance conformément à l'article 69. Il doit être lu en lien avec les articles 64 à 67, qui organisent les mécanismes par lesquels le comité exerce concrètement ses missions.
Texte officiel de l'article 70 du RGPD
L'article 70 du RGPD dispose notamment que :
« 1. Le comité veille à l'application cohérente du présent règlement. À cette fin, le comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, en particulier :
a) contrôle et assure l'application correcte du présent règlement dans les cas prévus aux articles 64 et 65, sans préjudice des missions des autorités de contrôle nationales ;
b) conseille la Commission sur toute question relative à la protection des données à caractère personnel dans l'Union, y compris sur toute proposition de modification du présent règlement ;
c) conseille la Commission sur le format et les procédures de l'échange d'informations entre responsables du traitement, sous-traitants et autorités de contrôle concernant les règles d'entreprise contraignantes ;
d) émet des lignes directrices, des recommandations et des bonnes pratiques sur les procédures visant à effacer les liens vers des données à caractère personnel, des copies ou des reproductions de ces données dans les services de communication accessibles au public, visées à l'article 17, paragraphe 2 ;
e) examine, de sa propre initiative, à la demande d'un de ses membres ou à la demande de la Commission, toute question relative à l'application du présent règlement et émet des lignes directrices, des recommandations et des bonnes pratiques afin d'encourager l'application cohérente du présent règlement ;
f) émet des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe pour préciser davantage les critères et conditions applicables aux décisions fondées sur le profilage conformément à l'article 22, paragraphe 2 ;
g) émet des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe pour déterminer les violations de données à caractère personnel et fixer le délai visé à l'article 33, paragraphes 1 et 2, ainsi que les circonstances particulières dans lesquelles le responsable du traitement ou le sous-traitant est tenu de notifier une violation ;
h) émet des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe concernant les circonstances dans lesquelles une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques visées à l'article 34, paragraphe 1 ;
i) émet des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe aux fins de préciser davantage les critères et exigences applicables aux transferts de données à caractère personnel fondés sur des règles d'entreprise contraignantes [...] ;
j) émet des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe aux fins de préciser davantage les critères et exigences applicables aux transferts de données à caractère personnel sur la base de l'article 49, paragraphe 1 ;
k) élabore des lignes directrices à l'intention des autorités de contrôle concernant l'application des mesures visées à l'article 58, paragraphes 1, 2 et 3, ainsi que la fixation des amendes administratives en application de l'article 83 ;
l) réexamine l'application pratique des lignes directrices, des recommandations et des bonnes pratiques visées aux points e) et f) ;
m) émet des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe pour définir des procédures communes pour le signalement par des personnes physiques de violations du présent règlement en application de l'article 54, paragraphe 2 ;
n) encourage l'élaboration de codes de conduite et la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en matière de protection des données conformément aux articles 40 et 42 ;
o) procède à l'accréditation d'organismes de certification et effectue le réexamen périodique conformément à l'article 43 [...] ;
p) précise les exigences visées à l'article 43, paragraphe 3, en vue de l'accréditation d'organismes de certification conformément à l'article 42 ;
q) formule un avis à l'intention de la Commission sur les exigences en matière de certification visées à l'article 43, paragraphe 8 ;
r) formule un avis à l'intention de la Commission sur les pictogrammes visés à l'article 12, paragraphe 7 ;
s) formule un avis à l'intention de la Commission en ce qui concerne l'évaluation du caractère adéquat du niveau de protection offert par un pays tiers ou une organisation internationale [...] ;
t) émet des avis sur les projets de décisions des autorités de contrôle conformément au mécanisme de contrôle de la cohérence visé à l'article 64, paragraphe 1, sur les questions soumises en application de l'article 64, paragraphe 2, et rend des décisions contraignantes conformément à l'article 65, y compris dans les cas visés à l'article 66 ;
u) favorise la coopération et l'échange bilatéral et multilatéral d'informations et de bonnes pratiques efficaces entre les autorités de contrôle ;
v) favorise l'élaboration de programmes de formation communs et facilite les échanges de personnel entre autorités de contrôle ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou avec des organisations internationales ;
w) favorise l'échange de connaissances et de documents relatifs à la législation et aux pratiques en matière de protection des données à caractère personnel avec les autorités de contrôle de la protection des données à caractère personnel du monde entier ;
x) rend des avis sur les codes de conduite élaborés au niveau de l'Union en application de l'article 40, paragraphe 9 ; et
y) tient un registre public électronique des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence. »
2. Lorsque la Commission demande l'avis du comité, elle peut indiquer un délai, compte tenu de l'urgence de la question.
3. Le comité transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l'article 93 et les rend publics.
4. Le comité consulte, lorsque cela est approprié, les parties intéressées et leur donne la possibilité de formuler des observations dans un délai raisonnable. Sans préjudice de l'article 76, le comité rend publics les résultats de la procédure de consultation. »
Mission de contrôle de l'application cohérente du RGPD
La mission première du CEPD, énoncée au paragraphe 1 de l'article 70, consiste à veiller à l'application cohérente du RGPD dans l'ensemble de l'Union européenne. Cette mission transversale se décline en de nombreuses attributions spécifiques listées aux points a) à y) de l'article.
Le point a) confie au comité le contrôle et l'assurance de l'application correcte du RGPD dans les cas prévus aux articles 64 et 65, c'est-à-dire dans le cadre du mécanisme de contrôle de la cohérence et du règlement des litiges entre autorités. Cette mission s'exerce sans préjudice des missions des autorités de contrôle nationales, le CEPD intervenant en complément et en coordination avec celles-ci.
Mission de conseil aux institutions européennes
Les points b) et c) du paragraphe 1 confèrent au CEPD une mission de conseil auprès de la Commission européenne sur toute question relative à la protection des données dans l'Union, y compris sur les propositions de modification du RGPD. Le comité peut également conseiller la Commission sur les formats et procédures d'échange d'informations concernant les règles d'entreprise contraignantes.
Cette mission consultative permet d'éclairer le processus législatif européen et de garantir que les évolutions du cadre juridique tiennent compte de l'expérience pratique des autorités de contrôle et des enjeux concrets de protection des données.
Adoption de lignes directrices, recommandations et bonnes pratiques
Une part importante des missions du CEPD consiste à adopter des lignes directrices, des recommandations et des bonnes pratiques sur divers aspects du RGPD. Les points d) à m) énumèrent plusieurs domaines dans lesquels le comité est expressément mandaté pour produire de tels documents : droit à l'effacement, profilage, violations de données, transferts internationaux, mesures correctrices et amendes administratives.
Ces lignes directrices constituent une source d'interprétation faisant autorité et sont largement suivies par les autorités de contrôle et les responsables de traitement. Elles contribuent à harmoniser les pratiques de conformité et à clarifier les exigences du RGPD dans des domaines complexes ou sujets à interprétation.
Promotion des mécanismes d'autorégulation
Les points n) à r) confient au CEPD des missions relatives à la promotion et à l'encadrement des mécanismes d'autorégulation prévus par le RGPD : codes de conduite, certification, labels et pictogrammes. Le comité encourage l'élaboration de ces mécanismes, procède à l'accréditation d'organismes de certification, et formule des avis sur les exigences applicables.
Coopération internationale et formation
Les points u) à w) organisent les missions du CEPD en matière de coopération entre autorités de contrôle et de coopération internationale. Le comité favorise l'échange d'informations et de bonnes pratiques, l'élaboration de programmes de formation communs, et l'échange de personnel et de connaissances avec les autorités de contrôle du monde entier.
Articulation avec les autres dispositions du RGPD
L'article 70 s'articule étroitement avec les articles 64 et 65, qui organisent le mécanisme de contrôle de la cohérence et le règlement des litiges, missions expressément confiées au CEPD. Il doit également être lu en lien avec l'article 71, qui précise les obligations de reporting du comité, et avec l'article 76, qui garantit la confidentialité de ses travaux.
Jurisprudence relative à l'article 70
Depuis l'entrée en application du RGPD, le CEPD a adopté de nombreuses lignes directrices, recommandations et avis dans l'exercice des missions confiées par l'article 70. Ces documents couvrent des thématiques aussi variées que les transferts de données, le consentement, le profilage, les violations de données, ou encore la désignation du délégué à la protection des données.
Les lignes directrices du CEPD sont régulièrement citées par les autorités de contrôle dans leurs décisions de sanction et par les juridictions dans leurs jugements, témoignant de leur autorité et de leur utilité pratique pour l'interprétation du RGPD.
Recommandations de la CNIL et du CEPD
Le CEPD encourage les responsables de traitement, les sous-traitants et les délégués à la protection des données à consulter régulièrement ses lignes directrices et recommandations, qui constituent des outils précieux pour la mise en conformité. Il rappelle que ces documents sont rendus publics et accessibles sur son site internet.
La CNIL recommande aux organisations de suivre attentivement les publications du CEPD et d'adapter leurs pratiques en conséquence. La conformité aux lignes directrices du comité constitue un élément favorable dans l'appréciation de la diligence des responsables de traitement en cas de contrôle ou de sanction.
Implications pratiques pour les responsables de traitement
Pour les responsables de traitement, les missions du CEPD définies à l'article 70 ont plusieurs implications pratiques. D'une part, les lignes directrices et recommandations adoptées par le comité constituent une source d'interprétation faisant autorité, qu'il convient de consulter et de suivre pour garantir la conformité au RGPD.
D'autre part, le CEPD favorise le développement de mécanismes d'autorégulation tels que les codes de conduite et les certifications, qui peuvent aider les organisations à démontrer leur conformité et à bénéficier d'une présomption de respect du RGPD.
Enfin, les avis et décisions adoptés par le CEPD dans le cadre du mécanisme de cohérence peuvent avoir une portée qui dépasse le cas d'espèce et influencer l'interprétation générale du RGPD. Les organisations doivent donc suivre ces décisions, même lorsqu'elles ne sont pas directement concernées.
L'article 70 du RGPD définit un ensemble complet et ambitieux de missions confiées au Comité européen de la protection des données. De l'adoption de lignes directrices à la résolution des litiges, en passant par le conseil aux institutions et la promotion de l'autorégulation, ces missions font du CEPD l'acteur central de l'harmonisation européenne en matière de protection des données. L'exercice efficace de ces missions est essentiel pour garantir une application cohérente du RGPD et renforcer la confiance dans le système européen de protection des données personnelles.