Article 93 Procédure de comité

Nature et composition du comité

Le paragraphe 1 de l'article 93 prévoit que la Commission est assistée par un comité dans l'adoption des actes d'exécution relatifs au RGPD. Ce comité est composé de représentants de tous les États membres de l'Union européenne, généralement désignés par leurs administrations nationales responsables de la protection des données.

Le comité fonctionne conformément au règlement (UE) n° 182/2011, qui établit les règles générales applicables aux comités d'exécution. Ce règlement précise notamment les modalités de convocation, de délibération et de vote du comité, garantissant ainsi la transparence et l'efficacité de son fonctionnement.

Le comité a pour mission d'examiner les projets d'actes d'exécution préparés par la Commission et d'émettre un avis sur ceux-ci. Cet avis n'est pas contraignant au sens strict, mais la Commission doit en tenir le plus grand compte dans l'adoption de la version finale de l'acte d'exécution. En cas d'avis négatif du comité, la Commission peut néanmoins adopter l'acte d'exécution, mais selon des modalités plus strictes prévues par le règlement (UE) n° 182/2011.

Procédure d'examen

Le paragraphe 2 de l'article 93 prévoit que, lorsqu'il y est fait référence, la procédure d'examen prévue à l'article 5 du règlement (UE) n° 182/2011 s'applique. Cette procédure est la procédure standard applicable aux actes d'exécution ayant une portée générale ou une importance particulière.

Dans le cadre de cette procédure, la Commission soumet son projet d'acte d'exécution au comité. Le comité émet son avis à la majorité qualifiée définie à l'article 16, paragraphe 4, du traité sur l'Union européenne. Si le comité émet un avis favorable, la Commission adopte le projet d'acte d'exécution. Si le comité émet un avis défavorable, la Commission ne peut adopter le projet. En l'absence d'avis (ni favorable ni défavorable), la Commission peut adopter le projet, sauf dans certains domaines sensibles définis par le règlement (UE) n° 182/2011.

Cette procédure garantit un équilibre entre la capacité de la Commission d'adopter efficacement les actes d'exécution nécessaires à l'application du RGPD, et le contrôle exercé par les États membres pour s'assurer que ces actes reflètent leurs préoccupations et leurs besoins.

Procédure d'urgence

Le paragraphe 3 de l'article 93 prévoit que, lorsqu'il y est fait référence, la procédure d'urgence prévue à l'article 8 du règlement (UE) n° 182/2011, en liaison avec l'article 5, s'applique. Cette procédure permet à la Commission d'adopter des actes d'exécution immédiatement applicables en cas de raisons d'urgence impérieuses dûment justifiées.

Dans le cadre de cette procédure, la Commission peut adopter un acte d'exécution applicable immédiatement, sans attendre l'avis du comité. Toutefois, elle doit soumettre l'acte au comité dans un délai très court après son adoption. Si le comité émet un avis défavorable, la Commission doit abroger l'acte dans les meilleurs délais.

Cette procédure d'urgence vise à permettre une réaction rapide dans des situations exceptionnelles où un retard dans l'adoption de mesures d'exécution pourrait causer un préjudice important. Elle doit toutefois être utilisée avec parcimonie et uniquement lorsque des raisons d'urgence impérieuses le justifient.

Distinction entre actes délégués et actes d'exécution

L'article 93, qui régit les actes d'exécution, se distingue de l'article 92, qui régit les actes délégués. Cette distinction repose sur la nature et l'objet des actes concernés. Les actes délégués, régis par l'article 92, ont pour objet de compléter ou de modifier certains éléments non essentiels du RGPD. Ils sont adoptés selon une procédure de contrôle a posteriori par le Parlement européen et le Conseil.

Les actes d'exécution, régis par l'article 93, visent à assurer des conditions uniformes d'exécution du RGPD. Ils ne modifient ni ne complètent le règlement, mais précisent les modalités pratiques de sa mise en œuvre. Ils sont adoptés selon une procédure de comité associant les représentants des États membres.

Cette distinction reflète la répartition des compétences entre les institutions européennes établie par les traités. Les actes délégués, de nature quasi-législative, relèvent du contrôle des colégislateurs (Parlement et Conseil). Les actes d'exécution, de nature administrative, relèvent du contrôle des États membres chargés de mettre en œuvre le règlement.

Articulation avec les autres dispositions du RGPD

L'article 93 s'applique à diverses dispositions du RGPD qui confèrent à la Commission le pouvoir d'adopter des actes d'exécution. Ces dispositions incluent notamment l'article 28, paragraphe 8, sur les clauses contractuelles types entre responsable de traitement et sous-traitant ; l'article 46, paragraphe 2, sur les clauses contractuelles types pour les transferts internationaux ; et l'article 40, paragraphe 9, sur les codes de conduite.

L'article 93 garantit que ces actes d'exécution bénéficient de l'expertise et du soutien des États membres, contribuant ainsi à leur effectivité et à leur acceptabilité. Il permet également de tenir compte des spécificités nationales dans l'élaboration de ces instruments techniques.

Jurisprudence relative à l'article 93

La jurisprudence spécifique à l'article 93 du RGPD est encore limitée. Toutefois, la Cour de justice de l'Union européenne a développé une jurisprudence abondante sur les procédures de comité en général et sur le règlement (UE) n° 182/2011 en particulier. Cette jurisprudence précise les limites des compétences d'exécution de la Commission et les exigences procédurales applicables.

La CJUE a notamment confirmé que la procédure de comité doit garantir un véritable dialogue entre la Commission et les représentants des États membres, et que la Commission doit tenir dûment compte de l'avis du comité dans l'adoption de la version finale de l'acte d'exécution.

Recommandations de la CNIL et du CEPD

Le Comité européen de la protection des données (CEPD) participe activement aux travaux du comité prévu à l'article 93, en fournissant son expertise technique et en contribuant à l'élaboration des actes d'exécution. Il veille à ce que ces actes respectent les principes fondamentaux du RGPD et contribuent effectivement à son application uniforme dans toute l'Union européenne.

La CNIL et les autres autorités de contrôle nationales contribuent aux travaux du comité par l'intermédiaire de leurs représentants gouvernementaux. Elles partagent leur expérience pratique de l'application du RGPD et signalent les difficultés rencontrées, permettant ainsi à la Commission d'adapter les actes d'exécution aux besoins réels des praticiens.

Implications pratiques pour les responsables de traitement

Les responsables de traitement doivent suivre l'adoption des actes d'exécution par la Commission, car ces actes peuvent avoir un impact direct sur leurs pratiques de conformité. Les clauses contractuelles types, les codes de conduite approuvés, et les autres instruments adoptés selon la procédure de comité constituent des outils précieux pour faciliter la conformité au RGPD.

Les organisations peuvent contribuer indirectement à l'élaboration des actes d'exécution en participant aux consultations publiques organisées par la Commission et en faisant part de leur expérience pratique aux autorités de contrôle et au CEPD. Cette contribution peut aider à garantir que les actes d'exécution adoptés sont pratiques, réalisables et proportionnés.

Les responsables de traitement doivent également être conscients que le non-respect des exigences établies par les actes d'exécution peut constituer une violation du RGPD, susceptible de sanctions. Il est donc essentiel de se tenir informé des nouveaux actes d'exécution adoptés et de les intégrer dans les pratiques de conformité.