Article 65 du RGPD : Règlement des litiges par le Comité

Introduction

L’article 65 du RGPD prévoit une procédure de résolution des différends entre autorités de contrôle, sous l’égide du CEPD, afin de trancher les conflits relatifs à l’application du RGPD en matière transfrontalière.

Explication de l’article

Le Comité européen de la protection des données (CEPD) peut rendre des décisions contraignantes dans certains cas de désaccord entre autorités de contrôle. Ces décisions visent à garantir une application uniforme du RGPD. Voici les cas dans lesquels le CEPD intervient :

Lorsqu’une objection pertinente et motivée est formulée à l’encontre d’un projet de décision, et que l’autorité chef de file ne la juge ni pertinente ni motivée.
En cas de doute sur l’établissement principal d’un responsable de traitement ou sur la compétence de l’autorité de contrôle concernée.
Lorsqu’une autorité ne demande pas l’avis du Comité alors qu’elle le devrait, ou qu’elle ne suit pas un avis déjà rendu.

Le Comité adopte une décision contraignante dans un délai d’un mois (prolongeable à deux mois en cas de complexité). La décision est prise à la majorité des deux tiers. Si aucun accord n’est trouvé, une décision peut être adoptée à la majorité simple dans un délai de deux semaines après expiration du délai initial. En cas d’égalité, la voix du président est prépondérante. La décision contraignante suspend toute autre décision des autorités concernées. Elle est notifiée à l’autorité chef de file, aux autres autorités de contrôle impliquées, et est publiée sur le site du Comité. La Commission est également informée. L’autorité chef de file ou celle ayant reçu la réclamation adopte ensuite la décision finale sur la base de la décision contraignante, dans un délai d’un mois. Elle informe le Comité de la date de notification au responsable de traitement, au sous-traitant et à la personne concernée.

Ceci est une alerte Toute société ayant des bases de données se doit de respecter les règles du RGPD, quelle que soit la taille de l'entreprise.

Libérez-vous du RGPD

Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.

Je prends rendez-vous avec un expert

Texte original du RGPD

1. En vue d’assurer l’application correcte et cohérente du présent règlement dans les cas d’espèce, le comité adopte une décision contraignante dans les cas suivants:

a) lorsque, dans le cas visé à l’article 60, paragraphe 4, une autorité de contrôle concernée a formulé une objection pertinente et motivée à l’égard d’un projet de décision de l’autorité de contrôle chef de file ou que l’autorité de contrôle chef de file a rejeté une objection au motif qu’elle n’est pas pertinente ou motivée. La décision contraignante concerne toutes les questions qui font l’objet de l’objection pertinente et motivée, notamment celle de savoir s’il y a violation du présent règlement;

b) lorsqu’il existe des points de vue divergents quant à l’autorité de contrôle concernée qui est compétente pour l’établissement principal;

c) lorsqu’une autorité de contrôle compétente ne demande pas l’avis du comité dans les cas visés à l’article 64, paragraphe 1, ou qu’elle ne suit pas l’avis du comité émis en vertu de l’article 64. Dans ce cas, toute autorité de contrôle concernée ou la Commission peut saisir le comité de la question.

2. La décision visée au paragraphe 1 est adoptée à la majorité des deux tiers des membres du comité dans un délai d’un mois à compter de la transmission de la question. Ce délai peut être prolongé d’un mois en fonction de la complexité de la question. La décision visée au paragraphe 1, est motivée et est adressée à l’autorité de contrôle chef de file et à toutes les autorités de contrôle concernées et est contraignante à leur égard.

3. Lorsque le comité n’a pas été en mesure d’adopter une décision dans les délais visés au paragraphe 2, il adopte sa décision, à la majorité simple de ses membres, dans un délai de deux semaines suivant l’expiration du deuxième mois visé au paragraphe 2. En cas d’égalité des voix au sein du comité, la voix de son président est prépondérante.

4. Les autorités de contrôle concernées n’adoptent pas de décision sur la question soumise au comité en vertu du paragraphe 1 lorsque les délais visés aux paragraphes 2 et 3 courent.

5. Le président du comité notifie, dans les meilleurs délais, la décision visée au paragraphe 1 aux autorités de contrôle concernées. Il en informe la Commission. La décision est publiée sur le site internet du comité sans tarder après que l’autorité de contrôle a notifié la décision finale visée au paragraphe 6.

6. L’autorité de contrôle chef de file ou, selon le cas, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte sa décision finale sur la base de la décision visée au paragraphe 1 du présent article, dans les meilleurs délais et au plus tard un mois après que le comité a notifié sa décision. L’autorité de contrôle chef de file ou, selon le cas, l’autorité de contrôle auprès de laquelle la réclamation a été introduite informe le comité de la date à laquelle sa décision finale est notifiée, respectivement, au responsable du traitement ou au sous-traitant et à la personne concernée. La décision finale des autorités de contrôle concernées est adoptée aux conditions de l’article 60, paragraphes 7, 8 et 9. La décision finale fait référence à la décision visée au paragraphe 1 du présent article et précise que celle-ci sera publiée sur le site internet du comité conformément au paragraphe 5 du présent article. La décision visée au paragraphe 1 du présent article est jointe à la décision finale.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Pas de disposition correspondante

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 24

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du 27 avril 2016, la Commission nationale de l’informatique et des libertés met en œuvre des procédures de coopération et d’assistance mutuelle avec les autorités de contrôle des autres Etats membres de l’Union européenne et réalise avec ces autorités des opérations conjointes.

La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.

La commission peut charger le bureau :

1° D’exercer ses prérogatives en tant qu’autorité concernée, au sens de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016, et en particulier d’émettre une objection pertinente et motivée au projet de décision d’une autre autorité de contrôle ;

2° Lorsque la commission adopte un projet de décision en tant qu’autorité chef de file ou autorité concernée, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par le règlement (UE) 2016/679 du 27 avril 2016 et d’arrêter la décision au nom de la commission

Analyse des 3 textes qui précèdent

L’article 65 du RGPD s’inscrit dans le prolongement des articles 63 et 64, qui instaurent respectivement le principe de cohérence et la procédure d’avis du Comité européen de la protection des données (CEPD).
Il en constitue le mécanisme de résolution des différends contraignant, visant à assurer une application uniforme et juridiquement cohérente du RGPD dans toute l’Union.

Cette disposition intervient lorsqu’un désaccord persiste entre les autorités nationales, notamment dans la procédure de coopération prévue à l’article 60.

Sous la directive 95/46/CE il n’existait aucune disposition équivalente, la coopération entre autorités de protection des données reposait sur des échanges informels et la bonne volonté des États membres.
Le Groupe de l’article 29, ancêtre du CEPD, ne disposait d’aucun pouvoir juridiquement contraignant, se limitant à :

émettre des recommandations et avis non obligatoires ;
favoriser les échanges d’informations entre autorités nationales.

Conséquence pratique :

Aucune instance européenne ne réglait les désaccords entre autorités de contrôle,
Chaque autorité décidait indépendamment, souvent au détriment de la cohérence,
L’application du droit variait sensiblement selon les États membres.

L’article 65 du RGPD transforme le CEPD en véritable arbitre européen des différends entre autorités de contrôle.
Il institue un mécanisme juridiquement obligatoire, garantissant l’harmonisation des décisions dans des cas concrets.

La loi Informatique et Libertés, en son article 24, intègre implicitement l’article 65 du RGPD en l’encadrant dans les procédures globales de coopération européenne.

L’article 24 habilite la CNIL à :

mettre en œuvre les procédures prévues aux articles 60 à 67 du RGPD, incluant explicitement la procédure de règlement des différends (article 65) ;
confier au bureau de la CNIL le soin d’assurer cette représentation dans le mécanisme européen ;
émettre des objections pertinentes et motivées au sens du RGPD (art. 4, 24).

Jurisprudences

Européennes

C-645/19 (15 juin 2021) – Facebook Ireland Ltd e.a. c. Gegevensbeschermingsautoriteit

La décision souligne que l’article 65 du RGPD instaure un mécanisme essentiel pour résoudre les différends entre autorités de contrôle dans les procédures transfrontalières, conférant au CEPD une autorité décisionnelle contraignante afin d’éviter toute fragmentation dans la mise en œuvre du RGPD à l’échelle européenne.

Recommandations

CEPD

Lignes directrices relatives à l’application de l’article 65, paragraphe 1, point a), du RGPD – 03/2021 (24 mai 2023)