You are currently viewing Le Comité européen de protection des données personnelles

Le Comité européen de protection des données personnelles

 

La protection de nos données personnelles est aujourd’hui affaiblie par sa “délocalisation” dans l’UE. 
Fort heureusement, un organe existe pour contrer en partie cet effet indésirable : le Comité Européen de la Protection des Données.

 

  • Un élément central du système de protection de nos données

Échelon supérieur du système de protection de nos données, le Comité supervise l’ensemble de l’Espace Économique Européen. En cela, il impose ses décisions aux différentes autorités locales comme la CNIL.

 Il se distingue donc du Contrôleur européen de la protection des données, chargé pour sa part de surveiller les seuls organes et institutions de l’Union.

Le Comité est en fait une table ronde, composée des 27 autorités de contrôle nationales (dont la CNIL), auxquelles s’ajoutent le Contrôleur et quelques membres consultatifs. Naturellement, il est entièrement indépendant dans l’accomplissement de ses différentes missions (1).

 

  • Un rôle crucial dans la bonne application du RGPD

Sa mission est simple, mais primordiale : assurer une application cohérente du RGPD dans l’Espace économique européen. Pour la remplir, il exerce 3 rôles principaux : il conseille, interprète et tranche les différends.

Ainsi, lors de la rédaction des projets de normes européennes, il évalue leur cohérence avec le RGPD et conseille la Commission pour limiter les contradictions.

Son rôle d’interprète est probablement le plus important : il adopte des conclusions et lignes directrices pour clarifier l’application concrète du RGPD. Ces indications sont reprises par les autorités nationales type CNIL, et les juridictions en cas de litige.

Enfin, il a un rôle d’arbitre entre les autorités de contrôle nationales. Il arrive fréquemment que plusieurs autorités aient une compétence partagée sur un dossier transfrontalier, mais ne parviennent pas à s’entendre sur la décision à rendre. Dans ce cas, il tranche et impose une décision contraignante à l’autorité chef de file.

 

  • Un organe essentiel mais somme toute limité 

Si essentiel qu’il fût, le CEPD n’est pas tout-puissant face aux limites du guichet unique. Son rôle d’arbitre ne fonctionne que lorsqu‘un projet de décision est émis par l’autorité chef de file. Tant que le dossier de traitement transfrontalier est à l’état d’enquête – par exemple les 161 enquêtes transfrontalières en cours en Irlande – le CEPD reste impuissant.

Pour contourner durablement une carence de l’autorité compétente, il doit attendre qu’une autre autorité nationale déclenche la – très encadrée (2)procédure d’urgence.

 

Le CEPD est donc le rouage central d’un système fonctionnel, mais souffrant d’un angle mort. Sans réforme, on risque ici de créer une nouvelle concurrence européenne du moins-répressif, comme c’est déjà le cas en matière fiscale (3) ou douanière (4).

 

Par Martin Deloy

 

  1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, articles 69 et 70
  2. CJUE, arrêt du 15 juin 2021, Facebook Ireland ltd c/ Gegevensbeschermingsautoriteit, C-645/19, ECLI:EU:C:2021:483, point 75
  3.  Le Cacheux, J. (2008). La concurrence fiscale dans l’Union européenne. Idées économiques et sociales, 154, 24-29, points 10-11
  4. Albert, J. (2017). L’Union douanière, les apparences d’une solidarité européenne historique. Gestion & Finances Publiques, p 59-69, §45 et 47 ; CJUE, arrêt du 17 mars 2011, C-23/10, Commission européenne c. Rép. Portugaise  ; CJUE, arrêt du 7 avr. 2011, C-405/09, Commission européenne c. Rép. de Finlande

 

A propos de Martin Deloy