Article 63 du RGPD : Mécanisme de contrôle de la cohérence

Texte original du RGPD 

Afin de contribuer à l’application cohérente du présent règlement dans l’ensemble de l’Union, les autorités de contrôle coopèrent entre elles et, le cas échéant, avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente section.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Pas de disposition correspondante

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 24

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du 27 avril 2016, la Commission nationale de l’informatique et des libertés met en œuvre des procédures de coopération et d’assistance mutuelle avec les autorités de contrôle des autres Etats membres de l’Union européenne et réalise avec ces autorités des opérations conjointes.

La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.

La commission peut charger le bureau :

1° D’exercer ses prérogatives en tant qu’autorité concernée, au sens de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016, et en particulier d’émettre une objection pertinente et motivée au projet de décision d’une autre autorité de contrôle ;

2° Lorsque la commission adopte un projet de décision en tant qu’autorité chef de file ou autorité concernée, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par le règlement (UE) 2016/679 du 27 avril 2016 et d’arrêter la décision au nom de la commission.

Analyse des 3 textes qui précèdent 

L’article 63 du RGPD introduit un principe entièrement nouveau : celui du contrôle de la cohérence.

Sous la directive 95/46/CE,  il existe aucune disposition correspondante, en effet les autorités nationales appliquaient les règles de protection des données de manière totalement autonome et non coordonnée. Cette approche décentralisée présentait des inconvénients majeurs :

• Divergences d’interprétation : chaque autorité nationale pouvait adopter des positions différentes sur des questions similaires
• Insécurité juridique : les entreprises opérant dans plusieurs États membres faisaient face à des exigences contradictoires
• Fragmentation du marché unique : l’absence de cohérence entravait la libre circulation des donnée

Les entreprises devaient naviguer dans un patchwork de 28 régimes nationaux distincts, sans mécanisme de résolution des conflits d’interprétation

L’article 63 pose le principe directeur d’une application harmonisée du RGPD à travers l’Union européenne. Il constitue la pierre angulaire du système de gouvernance européenne de la protection des données.

La France transpose l’article 63 RGPD de manière englobante à travers l’article 24 de la Loi Informatique et Libertés, qui couvre l’ensemble des mécanismes de coopération. 

Jurisprudences 

Européennes 

C-645/19 (15 juin 2021) – Facebook Ireland Ltd e.a. c. Gegevensbeschermingsautoriteit

La CJUE dans l’arrêt Facebook rappelle que l’article 63 du RGPD structure et rend obligatoire le mécanisme de cohérence pour éviter toute fragmentation ou divergence entre les autorités nationales, et c’est ce cadre qui conditionne la légalité des actions transfrontalières de ces mêmes autorités.

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).