Article 68 du RGPD : Comité européen de la protection des données
Sommaire
Introduction
L’article 68 installe le Comité européen de la protection des données (CEPD) comme instance centrale du dispositif de gouvernance des données personnelles dans l’Union européenne. Ce comité agit en tant qu’autorité centrale, garantissant cohérence et homogénéité dans l’application du RGPD à travers les différents États membres
Explication de l’article
L’article 68 du RGPD définit le rôle du Comité européen de la protection des données.
Le CEPD est un organe de l’Union européenne disposant de la personnalité juridique. Le Comité est présidé par un président. Le Comité est composé par les chefs des autorités de contrôle de chaque État membre, du contrôleur européen de la protection des données ou de leurs représentants.
Si dans un État, plusieurs autorités de contrôle veillent à la protection des données, elles doivent désigner un représentant commun.
La Commission européenne se réserve le droit de participer aux activités et réunions du comité, sans droit de vote, via un représentant. Le président du comité est chargé d’informer la commission des activités du comité.
Lors de règlements de litiges par le comité, le contrôleur européen à la protection des données ne dispose d’un droit de vote que lorsque la décision concerne des institutions, organes, organismes de l’Union.
Texte original du RGPD
1. Le comité européen de la protection des données (ci après dénommé « comité ») est institué en tant qu’organe de l’Union et possède la personnalité juridique.
2. Le comité est représenté par son président.
3. Le comité se compose du chef d’une autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données, ou de leurs représentants respectifs.
4. Lorsque, dans un État membre, plusieurs autorités de contrôle sont chargées de surveiller l’application des dispositions du présent règlement, un représentant commun est désigné conformément au droit de cet État membre.
5. La Commission a le droit de participer aux activités et réunions du comité sans droit de vote. La Commission désigne un représentant. Le président du comité informe la Commission des activités du comité.
6. Dans les cas visés à l’article 65, le contrôleur européen de la protection des données ne dispose de droits de vote qu’à l’égard des décisions concernant des principes et règles applicables aux institutions, organes et organismes de l’Union qui correspondent, en substance, à ceux énoncés dans le présent règlement.
Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Article 29
Groupe de protection des personnes à l’égard du traitement des données à caractère personnel
1. Il est institué un groupe de protection des personnes à l’égard du traitement des données à caractère personnel, ci-après dénommé «groupe».
Le groupe a un caractère consultatif et indépendant.
2. Le groupe se compose d’un représentant de l’autorité ou des autorités de contrôle désignées par chaque État membre, d’un représentant de l’autorité ou des autorités créées pour les institutions et organismes communautaires et d’un représentant de la Commission.
Chaque membre du groupe est désigné par l’institution, l’autorité ou les autorités qu’il représente. Lorsqu’un État membre a désigné plusieurs autorités de contrôle, celles-ci procèdent à la nomination d’un représentant commun. Il en va de même pour les autorités créées pour les institutions et organismes communautaires.
3. Le groupe prend ses décisions à la majorité simple des représentants des autorités de contrôle.
4. Le groupe élit son président. La durée du mandat du président est de deux ans. Le mandat est renouvelable.
5. Le secrétariat du groupe est assuré par la Commission.
6. Le groupe établit son règlement intérieur.
7. Le groupe examine les questions mises à l’ordre du jour par son président, soit à l’initiative de celui-ci, soit à la demande d’un représentant des autorités de contrôle ou de la Commission.
Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté).
Pas de disposition spécifique.
Analyse des 3 textes qui précèdent
Sous la directive 95/46 CE, l’article 29 mettait en place le « Groupe de protection des personnes à l’égard du traitement des données à caractère personnel » (G29), qui avait un caractère consultatif et indépendant, mais sans personnalité juridique propre. Le G29 était composé d’un représentant de chaque autorité nationale, d’un représentant des institutions européennes et d’un représentant de la Commission européenne.
- Il s’agissait d’un organe de coordination, chargé de formuler des avis et de conseiller la Commission.
- Son secrétariat était assuré par la Commission, et il établissait son propre règlement intérieur.
- Le G29 était moins institutionnalisé et ses moyens d’action étaient plus restreints que le CEPD.
L’article 68 du RGPD institue officiellement le Comité européen de la protection des données (CEPD) en lui donnant un statut d’organe de l’Union, doté de la personnalité juridique, et en précisant sa composition. Cette structuration constitue une évolution majeure par rapport au dispositif précédent de la directive 95/46/CE et n’a pas d’équivalent direct dans la loi Informatique et Libertés.
La loi Informatique et Libertés n’a pas de disposition équivalente.
Par cette évolution, le RGPD affirme le poids du CEPD et instaure une gouvernance robuste pour l’application du droit européen à la protection des données.
Jurisprudences
À ce jour, il n’existe aucune jurisprudence concernant cette disposition.
Recommandations
À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).
Le RGPD ne doit pas être une source de stress. Un DPO externe peut vous accompagner sereinement.