📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 70 du RGPD : Missions du comité

Sommaire

Introduction 

L’article 70 du RGPD décrit les missions principales du Comité Européen de la Protection des Données (CEPD). Ce comité veille à l’application cohérente du RGPD à travers l’Union. Cet article fait du CEPD l’organe central de pilotage et de coordination de la protection des données au niveau européen, afin d’éviter les divergences d’interprétation et d’assurer la sécurité juridique pour les entreprises et les citoyens.

Explication de l’article

L’article 70 du RGPS liste l’ensemble des missions réalisées par le comité. Le CEPD est le garant de l’application cohérente du RGPD.

Ses missions sont :

  • Surveiller et garantir la bonne application du RGPD.
  • Conseiller la Commission sur toute question relative à la protection des données personnelles ou sur projet de modification du RGPD (dans le délai indiqué par la Commission).
  • Conseiller la Commission concernant les règles d’entreprises contraignantes.
  • Publier des lignes directrices, des recommandations et des bonnes pratiques sur l’application du RGPD.
  • Examiner toute question se rapportant à l’application du présent règlement et certains points spécifiques (profilage, violations de données…).
  • Élaborer des lignes directrices à destination des autorités de contrôle concernant leurs missions et la fixation des amendes administratives.
  • Encourager l’élaboration de codes de conduite et la mise en place de mécanismes de certification, de labels et de marques en matière de protection des données personnelles.
  • Approuver les critères de certification et tenir un registre public des mécanismes de certification, des labels et des marques en matière de protection des données personnelles ainsi que des responsables de traitements et sous-traitants certifiés établis dans des pays tiers.
  • Approuver les agréments des organismes de certification.
  • Rendre à la Commission un avis sur divers domaines (les exigences en matière de certification, sur l’évaluation du caractère adéquat de protection assuré par un État tiers…).
  • Émettre des avis sur les projets de décision des autorités de contrôle conformément au mécanisme de contrôle de la cohérence et prendre des décisions contraignantes.
  • Promouvoir la coopération et l’échange bilatéral et multilatéral effectif d’informations et de bonnes pratiques entre les autorités de contrôle.
  • Promouvoir l’élaboration de programmes de formation conjoints, de documentations et d’outils de connaissance entre autorités de contrôle, pays tiers, organisations, etc.
  • Émettre des avis sur les codes de conduite.
  • Tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence.

Les avis, lignes directrices, recommandations et bonnes pratiques doivent être publiés.



Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Le comité veille à l’application cohérente du présent règlement. À cet effet, le comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, a notamment pour missions:

a) de surveiller et garantir la bonne application du présent règlement dans les cas prévus aux articles 64 et 65, sans préjudice des missions des autorités de contrôle nationales;

b) de conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l’Union, y compris sur tout projet de modification du présent règlement;

c) de conseiller la Commission, en ce qui concerne les règles d’entreprise contraignantes, sur la forme de l’échange d’informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s’y rapportent;

d) de publier des lignes directrices, des recommandations et des bonnes pratiques sur les procédures de suppression des liens vers des données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit l’article 17, paragraphe 2;

e) d’examiner, de sa propre initiative, à la demande de l’un de ses membres ou à la demande de la Commission, toute question portant sur l’application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente du présent règlement;

f) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et conditions applicables aux décisions fondées sur le profilage en vertu de l’article 22, paragraphe 2;

g) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d’établir les violations de données à caractère personnel, de déterminer les meilleurs délais visés à l’article 33, paragraphes 1 et 2, et de préciser les circonstances particulières dans lesquelles un responsable du traitement ou un sous-traitant est tenu de notifier la violation de données à caractère personnel;

h) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe concernant les circonstances dans lesquelles une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques comme le prévoit l’article 34, paragraphe 1;

i) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, aux fins de préciser davantage les critères et exigences applicables aux transferts de données à caractère personnel fondés sur des règles d’entreprise contraignantes appliquées par les responsables du traitement et sur des règles d’entreprise contraignantes appliquées par les sous-traitants et concernant les autres exigences nécessaires pour assurer la protection des données à caractère personnel des personnes concernées visées à l’article 47;

j) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et exigences applicables aux transferts de données à caractère personnel sur la base de l’article 49, paragraphe 1;

k) d’élaborer, à l’intention des autorités de contrôle, des lignes directrices concernant l’application des mesures visées à l’article 58, paragraphes 1, 2 et 3, ainsi que la fixation des amendes administratives en vertu de l’article 83;

l) de faire le bilan de l’application pratique des lignes directrices, recommandations et des bonnes pratiques visées aux points e) et f);

m) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d’établir des procédures communes pour le signalement par des personnes physiques de violations du présent règlement en vertu de l’article 54, paragraphe 2;

n) d’encourager l’élaboration de codes de conduite et la mise en place de mécanismes de certification et de labels et de marques en matière de protection des données en vertu des articles 40 et 42;

o) de procéder à l’agrément des organismes de certification et à l’examen périodique de cet agrément en vertu de l’article 43 et de tenir un registre public des organismes agréés en vertu de l’article 43, paragraphe 6, ainsi que des responsables du traitement ou des sous-traitants agréés établis dans des pays tiers en vertu de l’article 42, paragraphe 7;

p) de définir les exigences visées à l’article 43, paragraphe 3, aux fins de l’agrément des organismes de certification prévu à l’article 42;

q) de rendre à la Commission un avis sur les exigences en matière de certification visées à l’article 43, paragraphe 8;

r) de rendre à la Commission un avis sur les icônes visées à l’article 12, paragraphe 7;

s) de rendre à la Commission un avis en ce qui concerne l’évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale, y compris concernant l’évaluation visant à déterminer si un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale n’assurent plus un niveau adéquat de protection. À cette fin, la Commission fournit au comité tous les documents nécessaires, y compris la correspondance avec le gouvernement du pays tiers, en ce qui concerne ledit pays tiers, territoire ou secteur déterminé ou avec l’organisation internationale;

t) d’émettre des avis sur les projets de décisions des autorités de contrôle conformément au mécanisme de contrôle de la cohérence visé à l’article 64, paragraphe 1, sur les questions soumises en vertu de l’article 64, paragraphe 2, et d’émettre des décisions contraignantes en vertu de l’article 65, y compris dans les cas visés à l’article 66 ;

u) de promouvoir la coopération et l’échange bilatéral et multilatéral effectif d’informations et de bonnes pratiques entre les autorités de contrôle;

v) de promouvoir l’élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d’organisations internationales;

w) de promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données;

x) d’émettre des avis sur les codes de conduite élaborés au niveau de l’Union en application de l’article 40, paragraphe 9; et

y) de tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence.

2. Lorsque la Commission demande conseil au comité, elle peut mentionner un délai, selon l’urgence de la question.

3. Le comité transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l’article 93, et les publie.

4. Le comité consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l’article 76.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Aucune disposition correspondante

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté). 

Pas de disposition spécifique

Analyse des 3 textes qui précèdent 

À l’image de l’article 30 de la Directive 95/46/CE, l’article 70 du RGPD définit les missions du Comité européen de la protection des données (CEPD). Ces missions sont toutefois étendues afin de refléter l’élargissement du champ d’action du Comité, aussi bien à l’intérieur qu’à l’extérieur de l’Union européenne.

Dans la continuité du Groupe de l’article 29, le CEPD a pour principale mission d’assurer une application cohérente du Règlement. À cette fin, ses attributions sont les suivantes :

  • Surveiller et garantir la bonne application du Règlement dans le cadre du mécanisme de cohérence (a). Le Comité y joue un rôle central en émettant des avis sur les projets de décision des autorités de contrôle (art. 64) ou en réglant certains différends entre ces autorités par des décisions contraignantes (art. 65).
  • Conseiller la Commission sur toute question relative à la protection des données personnelles, notamment concernant les projets de révision du Règlement (b) ou les modalités d’échange d’informations pour les règles d’entreprise contraignantes (c).
  • Émettre des lignes directrices, recommandations et bonnes pratiques portant sur :
    • la suppression de données rendues publiques, en vertu de l’article 17, §2 (d) ;
    • les conditions et critères des décisions automatisées fondées sur le profilage (art. 22, §2), la détermination du délai injustifié pour notifier une violation de données (art. 31), ainsi que les circonstances de cette notification (g) ;
    • les situations où une violation est susceptible d’entraîner un risque élevé pour les personnes (h) ;
    • les critères applicables aux transferts de données fondés sur des règles d’entreprise contraignantes ou situations particulières (art. 43 et 44) (i, j) ;
    • la procédure commune de signalement des violations du Règlement (m).

Le Comité peut également, d’initiative ou à la demande d’un de ses membres ou de la Commission, examiner toute question relative à l’application du RGPD et formuler des lignes directrices ou recommandations (e).
Il émet également des lignes directrices pour les autorités de contrôle nationales concernant les pouvoirs visés à l’article 58 et la fixation des amendes administratives (art. 83) (k).

Une innovation majeure du RGPD réside dans la possibilité pour la Commission de saisir le Comité en situation d’urgence, en lui imposant un délai d’avis (§2).
Les travaux du Comité (avis, lignes directrices, recommandations, bonnes pratiques) doivent être transmis à la Commission et au comité visé à l’article 93, puis publiés (§3).
Enfin, le Comité a la faculté de consulter les parties prenantes avant l’adoption de ses documents, et de rendre publics les résultats de ces consultations dans un délai raisonnable (§4).

L’article 30 de la Directive 95/46 CE définissait déjà les missions consultatives du Groupe de l’article 29 auprès de la Commission, ainsi que son rôle dans l’application homogène des règles de transposition nationale.

Ses principales missions étaient les suivantes :

  • Examiner toute question liée à la transposition de la Directive par les États membres afin d’assurer une application uniforme.
  • Conseiller la Commission sur le niveau de protection des données à caractère personnel, tant dans la Communauté que dans les pays tiers, ainsi que sur les codes de conduite adoptés à l’échelle européenne.
  • Fournir des avis sur tout projet de mesure complémentaire visant à sauvegarder les droits et libertés des personnes physiques à l’égard du traitement des données, ou sur toute initiative communautaire susceptible d’affecter ces droits.
  • Alerter la Commission en cas de divergences entre législations ou pratiques nationales compromettant l’équivalence du niveau de protection dans l’Union.
  • Adopter d’initiative des recommandations sur toute question relative à la protection des données à caractère personnel, à communiquer à la Commission.

Un dialogue régulier entre le Groupe et la Commission était prévu : cette dernière devait établir un rapport sur les suites données aux recommandations du Groupe, rapport destiné au Parlement et rendu public.
Enfin, le Groupe devait rédiger chaque année un rapport d’activité sur l’état de la protection des données dans l’Union et dans les pays tiers, communiqué à la Commission et au Parlement, puis publié.

Jurisprudences 

À ce jour, il n’existe aucune jurisprudence concernant cette disposition. 

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).

 

Ne restez pas seul face à vos obligations RGPD. Trouvez un DPO externe de confiance avec Mon Expert RGPD.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.