Article 92 Exercice de la délégation

Portée de la délégation de pouvoir

Le paragraphe 2 de l'article 92 précise que le pouvoir d'adopter des actes délégués est conféré à la Commission pour une durée indéterminée. Cette délégation permanente permet à la Commission d'adapter le RGPD aux évolutions techniques et pratiques sans limitation temporelle, garantissant ainsi la pérennité et la flexibilité du cadre réglementaire.

L'article 92 vise spécifiquement deux dispositions du RGPD : l'article 12, paragraphe 8, qui confère à la Commission le pouvoir d'adopter des actes délégués pour préciser les informations à présenter sous forme d'icônes standardisées ; et l'article 43, paragraphe 8, qui l'autorise à adopter des actes délégués pour préciser les critères et les exigences applicables aux mécanismes de certification.

Ces délégations portent sur des éléments techniques et évolutifs du RGPD, dont les détails ne pouvaient être fixés définitivement dans le texte du règlement. Elles permettent à la Commission d'adapter ces éléments aux évolutions technologiques, aux besoins des utilisateurs, et aux meilleures pratiques identifiées dans l'application du règlement.

Mécanisme de révocation

Le paragraphe 3 de l'article 92 prévoit que le Parlement européen ou le Conseil peuvent révoquer à tout moment la délégation de pouvoir conférée à la Commission. Ce mécanisme de révocation constitue une garantie importante du contrôle démocratique, permettant aux colégislateurs de reprendre la main si la Commission exerce sa délégation de manière insatisfaisante.

La révocation peut être décidée unilatéralement par le Parlement européen ou par le Conseil, sans nécessiter l'accord de l'autre institution. Cette facilité de révocation vise à garantir que la Commission reste fidèle à l'esprit du règlement dans l'exercice de sa compétence déléguée.

La révocation prend effet à compter de sa publication au Journal officiel de l'Union européenne ou à une date ultérieure précisée dans la décision de révocation. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur, garantissant ainsi la sécurité juridique et la continuité de l'application du RGPD.

Procédure d'adoption des actes délégués

Le paragraphe 4 de l'article 92 impose à la Commission de consulter les experts désignés par chaque État membre avant l'adoption d'un acte délégué. Cette consultation garantit que les actes délégués tiennent compte des expériences et des besoins pratiques des États membres, et contribue à leur acceptabilité et à leur effectivité.

La consultation doit être menée conformément aux principes de l'accord interinstitutionnel « Mieux légiférer » du 13 avril 2016. Cet accord établit des standards de qualité pour l'élaboration de la législation européenne, notamment en matière de consultation des parties prenantes, d'évaluation d'impact, et de transparence du processus législatif.

Le paragraphe 5 impose à la Commission de notifier simultanément tout acte délégué au Parlement européen et au Conseil dès son adoption. Cette notification déclenche le délai de contrôle prévu au paragraphe 6, pendant lequel ces institutions peuvent exercer leur droit d'objection.

Mécanisme de contrôle par objection

Le paragraphe 6 de l'article 92 établit un mécanisme de contrôle a posteriori, permettant au Parlement européen ou au Conseil de s'opposer à l'entrée en vigueur d'un acte délégué. Les colégislateurs disposent d'un délai de trois mois à compter de la notification pour exprimer leurs objections, ce délai pouvant être prolongé de trois mois supplémentaires à leur initiative.

Si aucune objection n'est formulée dans ce délai, ou si le Parlement et le Conseil informent la Commission de leur intention de ne pas formuler d'objections, l'acte délégué entre en vigueur. Ce mécanisme garantit que seuls les actes délégués conformes à la volonté des colégislateurs peuvent entrer en vigueur.

Le droit d'objection peut être exercé unilatéralement par le Parlement européen ou par le Conseil, sans nécessiter l'accord de l'autre institution. Cette souplesse vise à garantir un contrôle effectif et à éviter que des actes délégués inappropriés puissent entrer en vigueur du seul fait de l'inaction ou de la division des colégislateurs.

Articulation avec les autres dispositions du RGPD

L'article 92 s'articule directement avec les articles 12, paragraphe 8, et 43, paragraphe 8, du RGPD, qui constituent les deux seules dispositions conférant à la Commission le pouvoir d'adopter des actes délégués. Il établit le cadre procédural commun applicable à ces deux délégations.

Il se distingue de l'article 93, qui organise la procédure de comité applicable aux actes d'exécution. Les actes délégués, régis par l'article 92, ont pour objet de compléter ou de modifier certains éléments non essentiels du RGPD, tandis que les actes d'exécution visent à assurer des conditions uniformes d'exécution du règlement.

Jurisprudence relative à l'article 92

La jurisprudence relative à l'article 92 est encore limitée, car peu d'actes délégués ont été adoptés à ce jour en application du RGPD. Toutefois, la Cour de justice de l'Union européenne a développé une jurisprudence abondante sur les actes délégués en général, précisant les limites de la compétence de la Commission et les exigences procédurales applicables.

La CJUE a notamment confirmé que la Commission ne peut utiliser les actes délégués pour modifier des éléments essentiels du règlement de base, mais seulement pour compléter ou préciser des éléments non essentiels. Cette limitation garantit le respect du principe démocratique et de la répartition des compétences entre les institutions européennes.

Recommandations de la CNIL et du CEPD

Le Comité européen de la protection des données (CEPD) participe activement aux travaux de la Commission sur les actes délégués relevant du RGPD, notamment en fournissant son expertise technique sur les mécanismes de certification et les icônes standardisées. Il encourage la Commission à consulter largement les parties prenantes avant l'adoption d'actes délégués.

La CNIL et les autres autorités de contrôle nationales contribuent à l'élaboration des actes délégués en partageant leur expérience pratique de l'application du RGPD. Elles insistent sur la nécessité de garantir que ces actes délégués restent techniquement neutres et suffisamment flexibles pour s'adapter aux évolutions technologiques.

Implications pratiques pour les responsables de traitement

Les responsables de traitement doivent suivre l'adoption des actes délégués par la Commission, car ces actes peuvent préciser ou compléter certaines obligations du RGPD. Bien que peu d'actes délégués aient été adoptés à ce jour, leur adoption future pourrait avoir un impact significatif sur les pratiques de conformité.

Les organisations doivent notamment suivre les développements concernant les icônes standardisées prévues à l'article 12, paragraphe 8, qui pourraient simplifier et harmoniser l'information des personnes concernées. De même, les actes délégués relatifs aux mécanismes de certification prévus à l'article 43, paragraphe 8, pourraient faciliter la démonstration de la conformité au RGPD.

Les responsables de traitement peuvent contribuer indirectement à l'élaboration des actes délégués en participant aux consultations publiques organisées par la Commission et en faisant part de leur expérience pratique aux autorités de contrôle et au CEPD. Cette contribution peut aider à garantir que les actes délégués adoptés sont pratiques, réalisables et proportionnés.