Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 5 juin 2026
Accueil/RGPD/Article 68 RGPD : le Comité européen décrypté
RGPD

Article 68 RGPD : le Comité européen décrypté

Article 68 RGPD : nature, composition et rôle du Comité européen de la protection des données (CEPD), héritier du G29. Analyse complète.

Par Thiebaut DevergrannePublie le 1 juin 2026Mis a jour le 1 juin 202612 min de lecture
Sommaire
  1. Ce que dit l’article 68 du RGPD
  2. Du G29 au CEPD : une rupture, pas une continuité administrative
  3. La composition : 27 autorités, le Contrôleur européen, et une confusion à éviter
  4. La Commission et le Contrôleur européen : des droits de vote encadrés
  5. Comment fonctionne concrètement le CEPD
  6. Pourquoi l’article 68 compte pour votre entreprise
  7. Ce qu’il faut retenir
  8. FAQ

Quand on parle d’une amende de 1,2 milliard d’euros contre Meta, de lignes directrices sur les cookies ou de l’interprétation européenne du consentement, on cite presque toujours le « CEPD » ou l’« EDPB ». Mais qui est cet organe, d’où tire-t-il sa légitimité, et pourquoi ses prises de position s’imposent-elles en pratique à toutes les entreprises européennes ? Tout part de l’article 68 du RGPD, la disposition qui institue le Comité européen de la protection des données et lui donne, pour la première fois, une existence juridique propre. C’est l’acte de naissance de l’organe qui structure aujourd’hui l’interprétation du règlement. Voici ce qu’il faut comprendre.

Ce que dit l’article 68 du RGPD

L’article 68 ouvre la section 3 du chapitre VII, consacrée au Comité européen de la protection des données. Il en fixe la nature, la composition et les règles de vote, en six paragraphes.

L’article 68(1) institue le Comité « en tant qu’organe de l’Union » doté de « la personnalité juridique ». L’article 68(2) précise qu’il est représenté par son président. L’article 68(3) en fixe la composition : « le chef d’une autorité de contrôle de chaque État membre et le Contrôleur européen de la protection des données, ou leurs représentants respectifs ». L’article 68(4) règle le cas des États fédéraux ou décentralisés : lorsque plusieurs autorités coexistent dans un même État membre, « un représentant commun est désigné conformément au droit de cet État membre ». L’article 68(5) accorde à la Commission un droit de participation « sans droit de vote ». Enfin, l’article 68(6) limite le droit de vote du Contrôleur européen aux seules décisions concernant les principes applicables aux institutions de l’Union qui correspondent, en substance, à ceux du RGPD.

Deux mots changent tout par rapport au régime antérieur : « organe de l’Union » et « personnalité juridique ». Ce sont eux qui transforment une instance consultative en véritable autorité européenne.

Du G29 au CEPD : une rupture, pas une continuité administrative

Le Comité européen de la protection des données — CEPD en français, EDPB en anglais — n’est pas né de rien. Il succède au Groupe de travail « Article 29 » (souvent appelé G29 ou WP29), créé par l’article 29 de la directive 95/46/CE. Mais la succession n’est pas une simple reconduction : c’est un saut qualitatif.

Le G29 était un organe purement consultatif, sans personnalité juridique, dont les avis n’avaient aucune force obligatoire. Il a produit une doctrine considérable — sur le consentement, le profilage, la notion de responsable de traitement — mais il ne pouvait pas trancher un différend entre autorités, ni adopter de décision opposable. Le CEPD, lui, est un organe de l’Union doté de la personnalité juridique. Cette qualité, énoncée à l’article 68(1), lui permet d’ester, de contracter, d’employer du personnel, et surtout d’adopter, dans le cadre du mécanisme de cohérence, des décisions contraignantes au titre de l’article 65. C’est cette compétence décisionnelle qui distingue radicalement le CEPD de son prédécesseur.

La continuité juridique a néanmoins été soigneusement organisée. Lors de sa première réunion plénière, le 25 mai 2018, le CEPD a adopté l’endorsement 1/2018, par lequel il a repris à son compte une série de lignes directrices et avis du G29 — notamment les WP242 (portabilité), WP243 (DPO), WP248 (analyse d’impact), WP251 (décision automatisée), WP259 (consentement) et WP260 (transparence). Ces documents conservent donc leur valeur de référence, désormais sous l’autorité du nouvel organe. Cette reprise explique pourquoi, en 2026, on cite encore des lignes directrices héritées du G29 comme la doctrine européenne en vigueur.

La composition : 27 autorités, le Contrôleur européen, et une confusion à éviter

Le CEPD réunit, en formation plénière, le chef de chaque autorité nationale de protection des données des États membres — pour la France, la présidente de la CNIL, dont les missions de représentation européenne s’inscrivent dans le prolongement de l’article 51 — ainsi que le Contrôleur européen de la protection des données (CEPS, ou EDPS en anglais). Les autorités des États de l’Espace économique européen (Norvège, Islande, Liechtenstein) participent en qualité de membres sans droit de vote sur les questions relevant du seul RGPD.

Il faut ici dissiper une confusion fréquente, y compris chez des juristes. Le CEPD (Comité européen de la protection des données) et le Contrôleur européen (CEPS / EDPS) sont deux institutions distinctes :

  • Le Contrôleur européen est une autorité de contrôle à part entière, qui surveille le traitement des données par les institutions, organes et organismes de l’Union eux-mêmes (Commission, Parlement, agences). C’est l’« autorité de la CNIL » des institutions européennes.
  • Le CEPD est l’organe collégial qui réunit toutes les autorités nationales pour assurer l’application cohérente du RGPD à travers l’Union.

Le Contrôleur européen siège au sein du CEPD (article 68(3)) et lui fournit son secrétariat (article 75). Mais ce sont deux entités juridiques différentes, avec des mandats différents. Confondre les deux conduit à des erreurs d’analyse sur la portée des textes qu’ils publient.

Le cas des États à autorités multiples

L’article 68(4) anticipe une difficulté propre aux États fédéraux ou décentralisés. En Allemagne, par exemple, coexistent l’autorité fédérale (le BfDI) et seize autorités de Länder. Pour que le CEPD reste opérationnel — un siège, une voix par État — un représentant commun doit être désigné selon le droit national. L’Allemagne désigne ainsi un représentant unique, qui exprime une position coordonnée au sein de la Datenschutzkonferenz (DSK). Le même mécanisme vaut pour l’Espagne (AEPD et autorités régionales) ou pour d’autres États à pluralité d’autorités, conformément à la logique de l’article 51(3).

La Commission et le Contrôleur européen : des droits de vote encadrés

L’article 68(5) place la Commission européenne dans une position singulière : elle « a le droit de participer aux activités et aux réunions du Comité sans droit de vote ». Elle désigne un représentant et reçoit du président une information sur les activités du Comité. Ce statut traduit un équilibre délicat : la Commission, gardienne des traités et détentrice de l’initiative législative, doit pouvoir suivre les travaux du CEPD ; mais l’indépendance des autorités de contrôle, garantie par l’article 52, interdit qu’elle pèse sur leurs décisions par un droit de vote. La présence de la Commission est donc une présence d’observation, non de codécision.

L’article 68(6) règle, lui, une subtilité institutionnelle. Le Contrôleur européen ne supervise que les traitements des institutions de l’Union ; il n’a pas vocation à trancher des dossiers nationaux. C’est pourquoi, dans le cadre des décisions contraignantes de l’article 65, son droit de vote est limité aux décisions portant sur des principes applicables aux institutions de l’Union « qui correspondent, en substance » à ceux du RGPD. Autrement dit : sur un différend opposant l’autorité irlandaise à la CNIL dans un dossier Meta, le Contrôleur européen siège mais ne vote pas sur le fond ; sa voix ne compte que lorsque la cohérence avec le régime applicable aux institutions de l’Union est en jeu.

Comment fonctionne concrètement le CEPD

Le CEPD a son siège à Bruxelles. Il s’organise autour de trois niveaux. La plénière réunit les chefs d’autorité et adopte les lignes directrices, avis et décisions contraignantes. Les sous-groupes d’experts (Expert Subgroups) — par exemple sur les transferts internationaux, la coopération, la technologie ou les sanctions — préparent les travaux et instruisent les dossiers techniques. Le secrétariat, assuré par le Contrôleur européen au titre de l’article 75, fournit le soutien administratif, analytique et logistique.

Depuis 2018, le CEPD a produit une doctrine massive : plus de 80 avis au titre de l’article 64, une trentaine de lignes directrices, et plusieurs décisions contraignantes de l’article 65 — dont la décision 1/2023 ayant conduit à l’amende de 1,2 milliard d’euros contre Meta pour ses transferts vers les États-Unis, un dossier que nous détaillons dans notre analyse des transferts de données hors UE. La présidence du Comité a été exercée par Andrea Jelinek (Autriche) de 2018 à 2023, puis par Anu Talus (Finlande), élue en mai 2023. Le président représente le Comité (article 68(2)) et exerce les fonctions détaillées aux articles 73 et 74.

C’est par ce fonctionnement collégial que se construit l’interprétation européenne du RGPD. Quand le CEPD publie des lignes directrices sur le consentement ou sur la base de l’intérêt légitime, il ne crée pas de droit positif au sens strict, mais il fixe la lecture que les autorités nationales appliqueront — y compris la CNIL dans ses contrôles. En pratique, ignorer la doctrine du CEPD revient à s’exposer à un risque de non-conformité.

Pourquoi l’article 68 compte pour votre entreprise

L’article 68 est une disposition institutionnelle ; il ne crée aucun droit subjectif au profit des personnes concernées ni aucune obligation directe pour les responsables de traitement. Mais il serait erroné d’en conclure qu’il est sans portée pratique. Dans mon expérience de conseil, trois enseignements en découlent directement.

1. La doctrine du CEPD est votre première source d’interprétation. Avant de consulter un avocat ou d’engager une analyse coûteuse, le réflexe utile est de vérifier si le CEPD a publié des lignes directrices sur le sujet. Sur le consentement, les cookies, l’analyse d’impact, la portabilité ou les transferts, sa position est souvent plus opérationnelle et plus prévisible que la lecture brute du texte. Suivre ses publications, c’est anticiper les contrôles.

2. Votre dossier transfrontalier se joue à l’échelle du collège. Si votre entreprise relève du mécanisme de coopération de l’article 60, un différend entre autorités peut remonter jusqu’à une décision contraignante du CEPD au titre de l’article 65. La stratégie de conformité et de défense doit donc intégrer, dès l’amont, la logique collégiale : ce n’est pas une seule autorité qui décide, mais un organe européen où chaque autorité concernée pèse.

3. Les consultations publiques sont un levier sous-utilisé. Le CEPD soumet régulièrement ses projets de lignes directrices à consultation publique. Les fédérations sectorielles et les entreprises ont tout intérêt à y contribuer : c’est le moment où l’interprétation se fige pour plusieurs années. Une contribution argumentée, déposée au bon moment, a plus d’impact qu’un contentieux ultérieur.

Ce qu’il faut retenir

  • L’article 68 RGPD institue le Comité européen de la protection des données (CEPD / EDPB) comme « organe de l’Union » doté de la personnalité juridique — une rupture majeure avec le G29, simple groupe consultatif de la directive 95/46/CE.
  • Le CEPD se compose du chef de chaque autorité nationale (la présidente de la CNIL pour la France) et du Contrôleur européen de la protection des données ; il ne faut pas confondre le CEPD (organe collégial) et le Contrôleur européen (autorité de contrôle des institutions de l’Union, qui assure aussi le secrétariat du Comité).
  • La Commission participe sans droit de vote (article 68(5)) et le Contrôleur européen ne vote que sur les questions touchant aux institutions de l’Union (article 68(6)), pour préserver l’indépendance des autorités garantie par l’article 52.
  • Le CEPD a repris la doctrine du G29 (endorsement 1/2018) et produit depuis 2018 lignes directrices, avis de l’article 64 et décisions contraignantes de l’article 65 qui structurent l’enforcement européen.
  • Pour l’entreprise, l’article 68 a une portée pratique : la doctrine du CEPD est la première source d’interprétation du RGPD, et tout dossier transfrontalier se joue, in fine, à l’échelle de ce collège.

FAQ

Quelle est la différence entre le CEPD et le G29 ?

Le G29 (Groupe de travail « Article 29 »), institué par la directive 95/46/CE, était un organe purement consultatif sans personnalité juridique : ses avis n’avaient aucune force obligatoire. Le CEPD, institué par l’article 68 du RGPD, est un organe de l’Union doté de la personnalité juridique, qui peut adopter des décisions contraignantes au titre de l’article 65. Le CEPD a repris la doctrine du G29 par l’endorsement 1/2018 du 25 mai 2018.

Le CEPD et le Contrôleur européen sont-ils la même chose ?

Non. Le Contrôleur européen de la protection des données (CEPS / EDPS) est l’autorité qui surveille les traitements réalisés par les institutions de l’Union elles-mêmes. Le CEPD est l’organe collégial réunissant toutes les autorités nationales pour assurer l’application cohérente du RGPD. Le Contrôleur européen siège au CEPD et lui fournit son secrétariat (article 75), mais ce sont deux institutions juridiquement distinctes.

Qui représente la France au sein du CEPD ?

La présidente de la CNIL, en sa qualité de chef de l’autorité de contrôle française au sens de l’article 51. Elle dispose d’une voix en plénière et participe aux sous-groupes d’experts qui préparent les travaux du Comité.

Les lignes directrices du CEPD sont-elles obligatoires ?

Elles ne sont pas un acte de droit positif créant des obligations directes au sens strict, mais elles fixent l’interprétation que les autorités nationales — dont la CNIL — appliqueront dans leurs contrôles. En pratique, s’écarter de la doctrine du CEPD expose à un risque de non-conformité ; il est donc recommandé de la suivre comme première source d’interprétation du RGPD.

La Commission européenne peut-elle voter au sein du CEPD ?

Non. L’article 68(5) accorde à la Commission un droit de participation aux réunions du Comité, mais explicitement « sans droit de vote ». Cette limitation préserve l’indépendance des autorités de contrôle garantie par l’article 52. La Commission désigne un représentant et est informée des activités du Comité, mais ne participe pas à ses décisions.

Ce billet fait partie de notre série commentaire article par article du RGPD : article 51 (autorités de contrôle), article 52 (indépendance), article 56 (autorité chef de file), article 60 (coopération), article 63 (mécanisme de cohérence), article 64 (avis du CEPD), article 65 (décision contraignante), article 66 (procédure d’urgence), article 67 (échange d’informations). Pour aller plus loin, voir notre analyse des sanctions CNIL 2026 et des transferts de données hors UE.

Recevez chaque semaine notre analyse de la conformité RGPD, des décisions CNIL et de l’enforcement européen. S’abonner à la newsletter.

Articles lies

RGPD

Article 74 RGPD : les missions du président du CEPD

4 juin 2026 · 8 min
RGPD

Article 75 RGPD : le secrétariat du CEPD expliqué

4 juin 2026 · 7 min
RGPD

Airtable et RGPD : guide de conformité 2026

3 juin 2026 · 9 min