Article 94 Abrogation de la directive 95/46/CE

Portée de l'abrogation

Le paragraphe 1 de l'article 94 prévoit l'abrogation de la directive 95/46/CE avec effet au 25 mai 2018, date d'entrée en application du RGPD. Cette abrogation marque la fin de l'ancien régime de protection des données fondé sur une directive, instrument juridique nécessitant une transposition en droit national, et son remplacement par un règlement, instrument directement applicable dans tous les États membres.

L'abrogation de la directive entraîne également l'abrogation des législations nationales adoptées pour la transposer. Les États membres ont dû adapter leurs législations nationales pour les mettre en conformité avec le RGPD, abrogeant ou modifiant les dispositions adoptées en transposition de la directive 95/46/CE. Cette harmonisation vise à garantir l'application uniforme des règles de protection des données dans toute l'Union européenne.

Toutefois, l'abrogation de la directive ne remet pas en cause les décisions, autorisations et autres actes adoptés sous son empire. Ces actes continuent de produire leurs effets jusqu'à leur modification, leur remplacement ou leur retrait dans le cadre du nouveau régime institué par le RGPD. Cette continuité juridique garantit la sécurité des situations acquises et évite un vide juridique pendant la transition.

Continuité juridique et règles d'interprétation

Le paragraphe 2 de l'article 94 organise la continuité juridique en précisant comment les références à la directive abrogée doivent être interprétées après l'entrée en application du RGPD. Les références faites à la directive 95/46/CE dans d'autres textes législatifs, réglementaires ou contractuels s'entendent désormais comme faites au RGPD.

Cette règle d'interprétation s'applique automatiquement, sans qu'il soit nécessaire de modifier formellement tous les textes contenant des références à la directive. Elle garantit la cohérence de l'ordre juridique et évite les complications qui résulteraient de la coexistence de références à l'ancien et au nouveau régime.

Le paragraphe 2 prévoit également que les références au Groupe de protection des personnes à l'égard du traitement des données à caractère personnel (dit « Groupe de l'article 29 »), organe consultatif institué par la directive 95/46/CE, s'entendent comme faites au Comité européen de la protection des données (CEPD) institué par le RGPD. Cette substitution automatique garantit la continuité de l'action de cet organe et la validité de ses travaux antérieurs.

Transition entre les deux régimes

La transition entre la directive 95/46/CE et le RGPD s'est opérée selon un calendrier précis. Le RGPD a été adopté le 27 avril 2016, mais n'est entré en application que le 25 mai 2018, soit deux ans plus tard. Cette période de transition a permis aux États membres, aux autorités de contrôle, et aux responsables de traitement de se préparer à l'application du nouveau régime.

Pendant cette période de transition, la directive 95/46/CE est restée en vigueur et continuait de s'appliquer. Les responsables de traitement et les sous-traitants devaient respecter les législations nationales transposant la directive, tout en se préparant à l'entrée en application du RGPD. Cette période a été marquée par d'intenses travaux de mise en conformité, de formation, et d'adaptation des systèmes et procédures.

À compter du 25 mai 2018, le RGPD est devenu pleinement applicable, abrogeant la directive 95/46/CE. Les responsables de traitement et les sous-traitants ont dû démontrer leur conformité au nouveau régime, sous peine de sanctions prévues à l'article 83 du RGPD. Les autorités de contrôle ont progressivement adopté leurs nouvelles compétences et procédures prévues par le règlement.

Évolution du cadre juridique

Le passage de la directive 95/46/CE au RGPD représente une évolution majeure du droit européen de la protection des données. La directive, adoptée en 1995, reflétait l'état de la technologie et de l'économie à cette époque, caractérisé par des traitements principalement locaux et des technologies relativement simples.

Le RGPD, adopté en 2016, répond aux défis de l'économie numérique mondialisée : traitements massifs de données, algorithmes de profilage sophistiqués, cloud computing, objets connectés, intelligence artificielle. Il renforce les droits des personnes concernées (droit à l'oubli, droit à la portabilité, droit à l'information renforcé), impose de nouvelles obligations aux responsables de traitement (accountability, privacy by design, notification des violations), et introduit des mécanismes de coopération renforcés entre autorités de contrôle.

Le choix d'un règlement plutôt qu'une directive marque également une évolution importante. Contrairement à la directive qui nécessitait une transposition en droit national, source de divergences entre États membres, le règlement est directement applicable et garantit une harmonisation complète des règles de protection des données dans toute l'Union européenne.

Articulation avec les autres dispositions du RGPD

L'article 94 s'articule avec l'article 99, qui précise la date d'entrée en vigueur et d'application du RGPD. Tandis que l'article 99 établit que le règlement est entré en vigueur le vingtième jour suivant sa publication (soit le 24 mai 2016), l'article 94 précise qu'il n'est devenu applicable que deux ans plus tard (le 25 mai 2018), date à laquelle la directive 95/46/CE a été abrogée.

Il se combine également avec l'article 95, qui précise la relation entre le RGPD et la directive 2002/58/CE relative à la vie privée et aux communications électroniques. Cette directive, complémentaire à la directive 95/46/CE, continue de s'appliquer après l'abrogation de cette dernière, mais doit désormais être interprétée en cohérence avec le RGPD.

Jurisprudence relative à l'article 94

La Cour de justice de l'Union européenne a eu l'occasion de préciser les modalités de la transition entre la directive 95/46/CE et le RGPD. Elle a notamment confirmé que les principes de protection des données établis par la directive restent pertinents pour l'interprétation du RGPD, qui en constitue le prolongement et le renforcement.

Les juridictions nationales ont également dû trancher des questions relatives à l'application temporelle du RGPD. Elles ont généralement considéré que le RGPD s'applique aux traitements en cours à la date de son entrée en application, même s'ils ont été initiés sous l'empire de la directive 95/46/CE, tout en tenant compte des attentes légitimes des responsables de traitement bénéficiant d'un délai raisonnable pour se mettre en conformité.

Recommandations de la CNIL et du CEPD

La CNIL a accompagné les responsables de traitement dans la transition vers le RGPD en publiant de nombreux guides et recommandations. Elle a adopté une approche pragmatique pendant les premiers mois suivant l'entrée en application du règlement, privilégiant l'accompagnement et le dialogue plutôt que les sanctions, tout en restant ferme sur les violations graves et délibérées.

Le Comité européen de la protection des données (CEPD), qui a succédé au Groupe de l'article 29, a repris et mis à jour les lignes directrices adoptées par son prédécesseur sous l'empire de la directive 95/46/CE. Il a également adopté de nouvelles lignes directrices sur les aspects innovants du RGPD, garantissant ainsi la continuité et l'évolution de la doctrine en matière de protection des données.

Implications pratiques pour les responsables de traitement

Les responsables de traitement ont dû mener d'importants travaux de mise en conformité lors de la transition entre la directive 95/46/CE et le RGPD. Ces travaux ont notamment porté sur la cartographie des traitements, la révision des mentions d'information, la mise en place de procédures pour garantir les nouveaux droits des personnes, l'adaptation des contrats avec les sous-traitants, et la mise en œuvre de mesures de sécurité renforcées.

Plusieurs années après l'entrée en application du RGPD, la mise en conformité reste un processus continu. Les organisations doivent adapter leurs pratiques aux évolutions technologiques, aux nouvelles lignes directrices des autorités de contrôle, et à la jurisprudence émergente. Elles doivent également documenter en permanence leur conformité pour démontrer le respect du principe d'accountability.

Les responsables de traitement doivent également être conscients que l'abrogation de la directive 95/46/CE ne remet pas en cause les autorisations et décisions obtenues sous son empire, mais que ces autorisations peuvent nécessiter une révision ou une mise à jour pour garantir leur conformité avec les exigences du RGPD.