Article 71 du RGPD : Rapport du CEPD

Texte original du RGPD

1. Le comité établit un rapport annuel sur la protection des personnes physiques à l’égard du traitement dans l’Union et, s’il y a lieu, dans les pays tiers et les organisations internationales. Le rapport est rendu public et communiqué au Parlement européen, au Conseil et à la Commission.

2. Le rapport annuel présente notamment le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées à l’article 70, paragraphe 1, point l), ainsi que des décisions contraignantes visées à l’article 65.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Article 30

(…)  6. Le groupe établit un rapport annuel sur l’état de la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans la Communauté et dans les pays tiers, qu’il communique à la Commission, au Parlement européen et au Conseil. Ce rapport est publié.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté). 

Pas de disposition spécifique

Analyse des 3 textes qui précèdent

À l’image des obligations prévues dans la Directive 95/46/CE, l’article 71 du RGPD impose au Comité européen de la protection des données (CEPD) d’établir chaque année un rapport sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Ce rapport doit couvrir non seulement la situation au sein de l’Union européenne, mais également, lorsque c’est pertinent, celle observée dans les pays tiers et au sein des organisations internationales.

Ce rapport annuel doit être communiqué au Parlement européen, au Conseil et à la Commission, puis rendu public.
Le RGPD renforce le contenu du rapport par rapport à la Directive : il doit désormais présenter un bilan de la mise en œuvre concrète des lignes directrices, recommandations et bonnes pratiques adoptées par le Comité (article 70, §1, point l)), ainsi que des décisions contraignantes rendues dans le cadre du mécanisme de cohérence (article 65).
Cette exigence marque une volonté d’assurer la transparence sur l’impact réel des travaux du Comité et leur influence sur l’application harmonisée du Règlement.

L’article 30, paragraphe 6 de la Directive 95/46 CE imposait déjà au Groupe de l’article 29 de rédiger un rapport annuel sur l’état de la protection des données personnelles.
Ce rapport devait couvrir la situation dans la Communauté européenne et dans les pays tiers, être communiqué à la Commission, au Parlement européen et au Conseil, et faire l’objet d’une publication.

Le contenu du rapport était cependant limité à un état des lieux général, sans obligation d’évaluation de la portée pratique des recommandations ou décisions du Groupe. Le RGPD comble ainsi cette lacune en rendant l’exercice plus analytique et axé sur l’efficacité réelle des instruments adoptés par le Comité.

La loi française Informatique et Libertés ne comporte pas de disposition équivalente à l’article 71 du RGPD.
Si la CNIL publie un rapport annuel d’activités en vertu de ses obligations de transparence et de reddition de comptes, celui-ci découle de la pratique institutionnelle nationale plutôt que d’une transposition directe d’une exigence légale analogue à celle imposée au Comité européen par le RGPD.

Jurisprudences 

À ce jour, il n’existe aucune jurisprudence concernant cette disposition. 

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).