L'article 99 du Règlement général sur la protection des données (RGPD) constitue la disposition finale du règlement. Il fixe la date d'entrée en vigueur du RGPD et organise sa période d'application progressive, permettant aux États membres, aux autorités de contrôle et aux organisations de se préparer à la mise en œuvre effective des nouvelles obligations. Cette disposition marque l'aboutissement d'un processus législatif européen de plusieurs années et ouvre une nouvelle ère pour la protection des données personnelles dans l'Union européenne.
Le RGPD a été adopté le 27 avril 2016 par le Parlement européen et le Conseil de l'Union européenne, au terme de négociations complexes impliquant les institutions européennes, les États membres, et de nombreuses parties prenantes. L'article 99 prévoit une période transitoire de deux ans entre l'entrée en vigueur formelle du règlement et son application effective, permettant aux acteurs concernés de se familiariser avec les nouvelles règles et de mettre en place les mesures de conformité nécessaires.
L'article 99 s'inscrit dans le cadre du chapitre XI relatif aux dispositions finales et constitue la dernière disposition du RGPD. Il doit être lu en lien avec l'article 94, qui organise l'abrogation de la directive 95/46/CE, et avec l'ensemble des dispositions transitoires prévues par le règlement.
Texte officiel de l'article 99 du RGPD
L'article 99 du RGPD dispose notamment que :
« 1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.
2. Il est applicable à partir du 25 mai 2018. »
Ce texte, d'une remarquable concision, établit la distinction fondamentale entre l'entrée en vigueur formelle du règlement et sa date d'application effective, ménageant ainsi une période transitoire indispensable à sa mise en œuvre.
Distinction entre entrée en vigueur et application
Le paragraphe 1 de l'article 99 prévoit que le RGPD entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne. Le règlement a été publié le 4 mai 2016 et est donc entré en vigueur le 24 mai 2016. Cette entrée en vigueur signifie que le RGPD est devenu partie intégrante de l'ordre juridique de l'Union européenne à cette date.
Toutefois, le paragraphe 2 précise que le règlement n'est applicable qu'à partir du 25 mai 2018, soit deux ans après son entrée en vigueur. Cette distinction entre entrée en vigueur et application est courante dans les actes législatifs européens portant des réformes importantes. Elle permet de ménager une période transitoire pendant laquelle les obligations du RGPD ne sont pas encore juridiquement contraignantes, mais où les acteurs concernés peuvent et doivent se préparer à leur mise en œuvre.
Pendant la période transitoire entre le 24 mai 2016 et le 25 mai 2018, la directive 95/46/CE et les législations nationales de transposition demeuraient applicables. Les responsables de traitement et les sous-traitants devaient continuer à respecter ces dispositions tout en préparant leur mise en conformité avec le RGPD. Les autorités de contrôle, quant à elles, ont utilisé cette période pour adapter leur organisation, former leurs agents, et préparer les lignes directrices nécessaires à l'application du règlement.
Période transitoire et préparation à la conformité
La période transitoire de deux ans prévue par l'article 99 a constitué un moment crucial pour l'ensemble des acteurs concernés par le RGPD. Les organisations ont dû réaliser des audits de conformité, mettre en place des registres de traitements, réviser leurs politiques de confidentialité, former leurs équipes, et souvent désigner un délégué à la protection des données.
Les États membres ont également utilisé cette période pour adapter leur législation nationale au RGPD, notamment en adoptant ou en modifiant leurs lois relatives à la protection des données. En France, la loi Informatique et Libertés du 6 janvier 1978 a été profondément révisée pour tenir compte du RGPD, d'abord par l'ordonnance du 12 décembre 2018, puis par la loi du 20 juin 2018.
Les autorités de contrôle ont consacré cette période à la formation de leurs agents, à l'élaboration de lignes directrices et de recommandations, et à la sensibilisation des organisations et du public aux nouvelles obligations. Le Comité européen de la protection des données, institué par l'article 68 du RGPD, a commencé à fonctionner avant même la date d'application du règlement afin de préparer les instruments nécessaires à son application harmonisée.
Application immédiate et effet direct
À compter du 25 mai 2018, le RGPD est devenu pleinement applicable dans l'ensemble de l'Union européenne. En tant que règlement, il bénéficie de l'applicabilité directe prévue à l'article 288 du Traité sur le fonctionnement de l'Union européenne (TFUE), ce qui signifie qu'il s'applique directement dans tous les États membres sans nécessiter de mesure de transposition.
Cette applicabilité directe constitue une différence fondamentale avec la directive 95/46/CE, qui devait être transposée dans le droit national de chaque État membre, conduisant à des divergences d'application entre les pays. Le RGPD garantit une harmonisation complète des règles de protection des données à travers l'Union, créant ainsi un véritable espace européen de protection des données.
L'effet direct du RGPD signifie également que les personnes concernées peuvent invoquer directement ses dispositions devant les juridictions nationales, sans attendre l'adoption de mesures nationales de mise en œuvre. Cette possibilité renforce l'effectivité de la protection des données et garantit que les droits reconnus par le règlement sont directement opposables aux responsables de traitement et aux sous-traitants.
Abrogation de la directive 95/46/CE
L'article 94 du RGPD prévoit que la directive 95/46/CE est abrogée avec effet au 25 mai 2018, date d'application du règlement. Cette abrogation marque la fin d'un régime juridique qui avait structuré la protection des données en Europe pendant plus de vingt ans. Elle symbolise également le passage d'un système fondé sur l'harmonisation par directives à un système d'application uniforme par règlement.
Les références à la directive 95/46/CE doivent être comprises comme visant le RGPD à compter du 25 mai 2018. Cette continuité juridique garantit la stabilité des instruments qui se référaient à l'ancienne directive et évite un vide juridique susceptible de compromettre la protection des données.
Application dans le temps et situations transitoires
L'application du RGPD à compter du 25 mai 2018 soulève des questions relatives aux situations en cours à cette date. Le règlement ne contient pas de dispositions transitoires détaillées pour régler ces situations, laissant aux juridictions et aux autorités de contrôle le soin de déterminer le régime applicable aux traitements en cours.
Les autorités de contrôle ont généralement adopté une approche pragmatique, considérant que le RGPD s'applique immédiatement à tous les traitements en cours à compter du 25 mai 2018, y compris pour les données collectées antérieurement à cette date. Toutefois, elles ont fait preuve de tolérance pendant les premiers mois d'application du règlement, privilégiant l'accompagnement à la sanction pour les organisations démontrant une volonté sincère de mise en conformité.
Bilan et perspectives
Depuis son entrée en application le 25 mai 2018, le RGPD a profondément transformé le paysage de la protection des données en Europe et au-delà. Il a conduit les organisations à revoir en profondeur leurs pratiques de traitement des données, à investir massivement dans la conformité, et à développer une culture de la protection des données. Il a également renforcé les pouvoirs des autorités de contrôle et accru la sensibilisation du public aux enjeux de la vie privée numérique.
Le RGPD a également inspiré de nombreuses législations à travers le monde, devenant une référence internationale en matière de protection des données. Des pays comme le Brésil, la Californie, ou encore le Japon ont adopté des législations s'inspirant largement du modèle européen, contribuant ainsi à l'émergence d'un standard global de protection des données.
L'article 97 du RGPD prévoit que la Commission européenne présente un rapport d'évaluation et de réexamen du règlement au plus tard le 25 mai 2020, puis tous les quatre ans par la suite. Ces rapports permettront d'évaluer l'application pratique du RGPD et d'identifier les besoins éventuels d'adaptation face aux évolutions technologiques, économiques et sociales.
Jurisprudence relative à l'article 99
La jurisprudence relative à l'article 99 concerne principalement les questions d'application dans le temps du RGPD. Les juridictions nationales et la Cour de justice de l'Union européenne ont eu l'occasion de préciser que le règlement s'applique à tous les traitements en cours à compter du 25 mai 2018, y compris pour les données collectées antérieurement à cette date.
Les autorités de contrôle ont également adopté des positions sur l'application temporelle du RGPD, notamment en ce qui concerne la prescription des manquements commis avant le 25 mai 2018 et la validité des consentements recueillis sous l'empire de l'ancienne législation. Ces positions soulignent que les responsables de traitement doivent s'assurer que tous leurs traitements, y compris ceux initiés avant l'application du RGPD, respectent les exigences du règlement.
Recommandations de la CNIL et du CEPD
La Commission nationale de l'informatique et des libertés (CNIL) rappelle que le RGPD s'applique à l'ensemble des traitements de données personnelles effectués sur le territoire français ou affectant des résidents français, indépendamment de la date à laquelle ces traitements ont été initiés. Elle encourage les organisations à maintenir leurs efforts de conformité et à rester vigilantes face aux évolutions technologiques et réglementaires.
Le Comité européen de la protection des données (CEPD) souligne que l'entrée en application du RGPD ne marque pas la fin mais le début d'un processus continu d'amélioration de la protection des données. Il encourage les autorités de contrôle à poursuivre leur mission d'accompagnement et de sensibilisation, tout en exerçant leurs pouvoirs de sanction de manière proportionnée et cohérente.
Implications pratiques pour les responsables de traitement
Pour les responsables de traitement et les sous-traitants, l'article 99 rappelle que le RGPD est pleinement applicable depuis le 25 mai 2018 et que la conformité constitue une obligation permanente nécessitant une vigilance continue. Les organisations doivent maintenir à jour leurs registres de traitements, réviser régulièrement leurs politiques et procédures, former leurs équipes, et rester informées des évolutions jurisprudentielles et doctrinales.
La mise en conformité avec le RGPD ne doit pas être considérée comme un projet ponctuel achevé après une phase de transition, mais comme un processus continu d'amélioration et d'adaptation aux évolutions technologiques, organisationnelles et réglementaires. Les organisations doivent intégrer la protection des données dans leur gouvernance et leur culture d'entreprise, conformément au principe d'accountability qui structure l'ensemble du règlement.
L'article 99 du RGPD fixe la date d'entrée en vigueur du règlement au 24 mai 2016 et sa date d'application au 25 mai 2018. Cette période transitoire de deux ans a permis aux États membres, aux autorités de contrôle et aux organisations de se préparer à la mise en œuvre effective des nouvelles obligations. Depuis le 25 mai 2018, le RGPD constitue le cadre juridique uniforme de la protection des données dans l'Union européenne, marquant une rupture avec le système antérieur fondé sur la directive 95/46/CE et ouvrant une nouvelle ère pour la protection des droits et libertés fondamentaux des personnes physiques dans l'espace numérique.