Article 64 du RGPD : Avis du comité

Texte original du RGPD

1. Le comité émet un avis chaque fois qu’une autorité de contrôle compétente envisage d’adopter l’une des mesures ci-après. À cet effet, l’autorité de contrôle compétente communique le projet de décision au comité, lorsque ce projet:

a) vise à adopter une liste d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données doit être effectuée en application de l’article 35, paragraphe 4;

b) concerne la question de savoir, en application de l’article 40, paragraphe 7, si un projet de code de conduite ou une modification ou une prorogation d’un code de conduite respecte le présent règlement;

c) vise à approuver les critères d’agrément d’un organisme en application de l’article 41, paragraphe 3, ou d’un organisme de certification en application de l’article 43, paragraphe 3;

d) vise à fixer des clauses types de protection des données visées à l’article 46, paragraphe 2, point d), et à l’article 28, paragraphe 8;

e) vise à autoriser les clauses contractuelles visées à l’article 46, paragraphe 3, point a); ou

f) vise à approuver des règles d’entreprise contraignantes au sens de l’article 47.

2. Toute autorité de contrôle, le président du comité ou la Commission peuvent demander que toute question d’application générale ou produisant des effets dans plusieurs États membres soit examinée par le comité en vue d’obtenir un avis, en particulier lorsqu’une autorité de contrôle compétente ne respecte pas les obligations relatives à l’assistance mutuelle conformément à l’article 61 ou les obligations relatives aux opérations conjointes conformément à l’article 62.

3. Dans les cas visés aux paragraphes 1 et 2, le comité émet un avis sur la question qui lui est soumise, à condition qu’il n’ait pas déjà émis un avis sur la même question. Cet avis est adopté dans un délai de huit semaines à la majorité simple des membres du comité. Ce délai peut être prolongé de six semaines en fonction de la complexité de la question. En ce qui concerne le projet de décision visé au paragraphe 1 transmis aux membres du comité conformément au paragraphe 5, un membre qui n’a pas formulé d’objection dans un délai raisonnable fixé par le président est réputé approuver le projet de décision.

4. Les autorités de contrôle et la Commission communiquent, dans les meilleurs délais, au comité, par voie électronique et au moyen d’un formulaire type, toutes les informations utiles, y compris, selon le cas, un résumé des faits, le projet de décision, les motifs rendant nécessaire l’adoption de cette mesure et les points de vue des autres autorités de contrôle concernées.

5. Le président du comité transmet dans les meilleurs délais par voie électronique:

a) toutes les informations utiles qui lui ont été communiquées aux membres du comité et à la Commission, au moyen d’un formulaire type. Le secrétariat du comité fournit, si nécessaire, les traductions des informations utiles; et

b) l’avis à l’autorité de contrôle visée, selon le cas, aux paragraphes 1 et 2, et à la Commission, et le publie.

6. L’autorité de contrôle compétente n’adopte pas son projet de décision visé au paragraphe 1 lorsque le délai visé au paragraphe 3 court.

7. L’autorité de contrôle visée au paragraphe 1 tient le plus grand compte de l’avis du comité et fait savoir par voie électronique au moyen d’un formulaire type au président du comité, dans un délai de deux semaines suivant la réception de l’avis, si elle maintient ou si elle modifiera son projet de décision et, le cas échéant, son projet de décision modifié.

8. Lorsque l’autorité de contrôle concernée informe le président du comité dans le délai visé au paragraphe 7 du présent article qu’elle n’a pas l’intention de suivre, en tout ou en partie, l’avis du comité, en fournissant les motifs pertinents, l’article 65, paragraphe 1, s’applique

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Pas de disposition correspondante

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 24

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du 27 avril 2016, la Commission nationale de l’informatique et des libertés met en œuvre des procédures de coopération et d’assistance mutuelle avec les autorités de contrôle des autres Etats membres de l’Union européenne et réalise avec ces autorités des opérations conjointes.

La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.

La commission peut charger le bureau :

1° D’exercer ses prérogatives en tant qu’autorité concernée, au sens de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016, et en particulier d’émettre une objection pertinente et motivée au projet de décision d’une autre autorité de contrôle ;

2° Lorsque la commission adopte un projet de décision en tant qu’autorité chef de file ou autorité concernée, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par le règlement (UE) 2016/679 du 27 avril 2016 et d’arrêter la décision au nom de la commission.

Analyse des 3 textes qui précèdent 

L’article 64 du RGPD concrétise le fonctionnement du mécanisme de contrôle de la cohérence introduit par l’article 63. Il précise les cas où le Comité européen de la protection des données (CEPD) doit être consulté et définit la procédure d’avis préalable que les autorités nationales doivent suivre avant toute décision susceptible d’affecter plusieurs États membres.

Sous la directive 95/46/CE il n’existe aucune disposition correspondante, en effet il y avait un Groupe de travail de l’article 29, composé des représentants des autorités nationales et de la Commission.

Cependant :

• Ce groupe avait uniquement un rôle consultatif et non contraignant.
• Il ne possédait aucune compétence décisionnelle, ni pouvoir d’avis obligatoire vis-à-vis des projets de décisions nationales.
• Il n’existait aucune procédure d’examen préalable des décisions pouvant avoir une portée transfrontalière.

Ainsi chaque autorité statuant de manière indépendante sur les traitements, le risque d’incohérences d’interprétation et de contradictions entre États membres demeurait élevé.

L’article 64 du RGPD s’inscrit donc dans la continuité de l’article 63 : il en est le volet procédural.
Il établit le pouvoir d’avis du CEPD et encadre formellement la consultation obligatoire des autorités nationales avant certaines décisions majeures.

La transposition française au sein de la Loi Informatique et Libertés, n’a pas repris mot pour mot l’article 64, mais l’a intégré dans un cadre unique de coopération européenne, logé à l’article 24 de la loi.

Jurisprudences 

Européennes 

C-645/19 (15 juin 2021) – Facebook Ireland Ltd e.a. c. Gegevensbeschermingsautoriteit

La CJUE dans l’affaire Facebook Ireland réaffirme que la procédure d’avis du CEPD prévue à l’article 64 RGPD est essentielle pour assurer la cohérence des décisions nationales en matière de protection des données, en particulier dans les cas présentant une dimension transfrontalière.

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).