Article 70 RGPD : les missions du CEPD décryptées

Quand vous lisez qu’un consentement doit être « libre, spécifique, éclairé et univoque », ou qu’un sous-traitant doit présenter telle garantie, vous appliquez presque toujours, sans le savoir, une ligne directrice du Comité européen de la protection des données (CEPD). Mais d’où ce comité tient-il le pouvoir de produire une doctrine que toute l’Europe applique ? La réponse tient dans l’article 70 du RGPD, qui énumère ses missions. C’est la disposition la plus structurante du chapitre VII : elle transforme un organe consultatif en véritable producteur de droit souple, et explique pourquoi les positions du CEPD s’imposent en pratique à chaque entreprise européenne. Voici ce qu’il faut comprendre — et comment en faire un outil de conformité.

Ce que dit l’article 70 du RGPD

L’article 70 suit immédiatement l’article 68, qui institue le CEPD comme organe de l’Union doté de la personnalité juridique. Là où l’article 68 dit qui est le comité, l’article 70 dit ce qu’il fait.

Le principe figure au chapeau de l’article 70(1) : le comité « veille à l’application cohérente du présent règlement ». Cette mission générale est la clé de lecture de tout le texte. Tout ce que fait le CEPD — lignes directrices, avis, décisions, registres — converge vers un seul objectif : éviter que vingt-sept autorités nationales n’interprètent différemment les mêmes obligations. Pour y parvenir, l’article 70(1) déroule une liste de missions, des points (a) à (y), que le comité exerce « de sa propre initiative ou, le cas échéant, à la demande de la Commission ».

Les paragraphes suivants encadrent l’exercice de ces missions : l’article 70(2) permet à la Commission de fixer un délai lorsqu’elle sollicite un avis, en fonction de l’urgence ; l’article 70(3) impose la transmission des avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité de l’article 93, ainsi que leur publication ; l’article 70(4) prévoit la consultation des parties intéressées et la mise à disposition publique des résultats. Ce dernier paragraphe est, on le verra, un levier largement sous-exploité par les entreprises françaises.

Les vingt-cinq missions, regroupées en cinq blocs fonctionnels

La liste des points (a) à (y) paraît hétéroclite. En réalité, elle s’organise autour de cinq fonctions cohérentes. Les lire ainsi permet de comprendre où le CEPD agit — et donc où surveiller sa production.

Bloc 1 — Produire la doctrine interprétative (le cœur du dispositif)

C’est la mission la plus importante en pratique. L’article 70(1)(e) confère au comité une compétence générale : examiner « toute question portant sur l’application du présent règlement » et publier des lignes directrices, recommandations et bonnes pratiques pour en encourager l’application cohérente. C’est la base juridique de l’essentiel de la doctrine européenne.

Plusieurs points déclinent cette compétence sur des sujets précis : le profilage et les décisions automatisées de l’article 22(2) au point (f) ; la constatation des violations de données et le « retard injustifié » des articles 33(1) et (2) au point (g) ; le risque élevé pour les droits et libertés de l’article 34(1) au point (h) ; les règles d’entreprise contraignantes (BCR, article 47) au point (i) ; les transferts fondés sur l’article 49(1) au point (j) ; l’application des mesures correctrices de l’article 58 et la fixation des amendes administratives de l’article 83 au point (k). Le point (d) vise spécifiquement les modalités d’effacement des liens et copies au titre du droit à l’oubli (article 17(2)).

En une décennie, ce bloc a produit plus de trente lignes directrices structurantes — du consentement (Lignes directrices 05/2020) à la notion de responsable et de sous-traitant (07/2020), en passant par la notification des violations (9/2022). Aucune n’est juridiquement contraignante au sens strict, mais aucune autorité n’en dévie : c’est du droit souple à effet dur.

Bloc 2 — Conseiller la Commission et les institutions

Le comité joue un rôle d’expert auprès de la Commission. Il la conseille sur toute question relative à la protection des données, y compris sur les projets de modification du RGPD lui-même (point b). Il rend des avis sur des objets techniques très concrets : le format des échanges relatifs aux BCR (point c), les exigences de certification de l’article 43(8) (point q), les icônes normalisées de l’article 12(7) (point r), les codes de conduite adoptés au niveau de l’Union (point x).

Le point (s) est le plus stratégique de ce bloc : le CEPD fournit à la Commission un avis sur le caractère adéquat du niveau de protection d’un pays tiers — y compris pour constater qu’un pays n’assure plus un niveau adéquat. C’est le mécanisme qui irrigue, en amont, toute la question des transferts hors UE. L’avis conjoint du CEPD sur le Data Privacy Framework UE–États-Unis, comme ses réserves répétées depuis l’arrêt Schrems II, relèvent directement de cette mission.

Bloc 3 — Animer le mécanisme de cohérence

Le point (t) est l’articulation directe avec le cœur procédural du règlement. Il charge le comité de rendre les avis de l’article 64 sur les projets de décision des autorités, et d’adopter les décisions contraignantes de l’article 65, y compris dans le cadre de la procédure d’urgence de l’article 66. Le point (a) complète en confiant au comité le contrôle de la bonne application du règlement dans les cas relevant des articles 64 et 65.

C’est par cette mission que le CEPD a infligé, via les autorités chef de file, les sanctions les plus lourdes du RGPD : WhatsApp Ireland (225 M€, décision 1/2021), Instagram (405 M€, décision 3/2022), Meta pour les transferts vers les États-Unis (1,2 Md€, décision 1/2023) et TikTok (345 M€, décision 2/2023). Le point (m) prolonge ce bloc en prévoyant des procédures communes de signalement des violations par les personnes physiques.

Bloc 4 — Gérer les outils de conformité volontaire

Le comité encourage et encadre les dispositifs par lesquels les entreprises démontrent volontairement leur conformité. Il promeut l’élaboration des codes de conduite (article 40) et des mécanismes de certification (article 42) au titre du point (n). Il procède à l’accréditation des organismes de certification et à son réexamen périodique (point o), précise les exigences applicables à cette accréditation (point p), et tient des registres publics : organismes accrédités (article 43(6)) et responsables ou sous-traitants certifiés établis dans des pays tiers (article 42(7)).

C’est ce bloc qui a permis l’approbation d’Europrivacy comme premier label de certification européen, et l’examen des grands codes de conduite sectoriels (cloud, adtech).

Bloc 5 — Coopérer, former, documenter

Le dernier bloc est plus institutionnel mais structure la « culture commune » des autorités. Le comité promeut la coopération et l’échange d’informations entre autorités (point u), les programmes communs de formation et les échanges de personnel (point v), et l’échange de connaissances avec les autorités de protection des données du monde entier (point w). Surtout, le point (y) lui impose de tenir « un registre électronique accessible au public des décisions prises par les autorités de contrôle et les juridictions » sur les questions traitées dans le mécanisme de cohérence. Le point (l) le charge enfin de réexaminer l’application pratique de ses propres lignes directrices — une clause d’auto-évaluation trop souvent oubliée.

Pourquoi un avis non contraignant s’impose-t-il en pratique ?

C’est la question que me posent le plus souvent les juristes d’entreprise. L’article 70 ne donne au CEPD, pour l’essentiel de sa production, qu’un pouvoir de recommandation. Une ligne directrice n’est pas un règlement ; elle ne crée pas, formellement, d’obligation nouvelle.

Et pourtant, dans mon expérience de conseil, ignorer une ligne directrice du CEPD est l’une des décisions les plus risquées qu’une entreprise puisse prendre. Trois raisons l’expliquent. D’abord, les autorités nationales — dont la CNIL — fondent leurs contrôles et leurs sanctions sur ces textes : s’en écarter, c’est s’exposer à une mise en demeure motivée par le non-respect d’une doctrine publiée. Ensuite, le juge national et la Cour de justice de l’Union s’y réfèrent comme à un élément d’interprétation autorisé. Enfin, la mécanique de l’article 70(1)(t) combinée à l’article 65 transforme la doctrine en décision contraignante dès qu’un dossier transfrontalier remonte au comité : ce qui n’était qu’une recommandation devient alors directement opposable.

Autrement dit, l’article 70 organise un continuum : de la bonne pratique facultative à la décision impérative, sans rupture. C’est ce continuum qui fait du CEPD le véritable centre de gravité interprétatif du RGPD, bien davantage que la lettre des articles eux-mêmes.

Comment exploiter l’article 70 dans votre conformité

L’article 70 n’est pas qu’une disposition d’architecture institutionnelle. Bien lu, il devient un instrument de veille et de défense. Voici quatre chantiers concrets.

Premier chantier — faire de la production du CEPD votre première source de veille. Avant de commander une analyse juridique sur un sujet nouveau (IA, cookies, transferts, durées de conservation), vérifiez systématiquement si le comité a déjà publié une ligne directrice ou un avis. C’est gratuit, public (article 70(3)), et cela reflète l’interprétation que la CNIL appliquera. Une veille mensuelle du site du CEPD vaut mieux que bien des notes internes.

Deuxième chantier — utiliser le registre de l’article 70(1)(y). Le registre public des décisions prises dans le mécanisme de cohérence est une mine sous-exploitée. Il permet d’anticiper la position des autorités sur un type de traitement avant d’être soi-même contrôlé. Croisez-le avec votre cartographie des traitements à risque.

Troisième chantier — participer aux consultations publiques (article 70(4)). Lorsqu’il prépare une ligne directrice, le CEPD ouvre une consultation et donne aux parties intéressées la possibilité de commenter. Les fédérations professionnelles françaises y sont sous-représentées face aux acteurs anglo-saxons. Une contribution argumentée, déposée au bon moment, pèse sur la doctrine qui s’imposera ensuite à tout votre secteur. C’est l’un des rares leviers d’influence ouverts aux entreprises.

Quatrième chantier — intégrer le point (s) dans votre stratégie de transferts. Si vous transférez des données hors UE, suivez les avis d’adéquation du comité : ils signalent en avance les fragilités d’un mécanisme (Data Privacy Framework, clauses contractuelles types) et vous laissent le temps d’ajuster votre analyse d’impact des transferts avant qu’une décision ne soit invalidée.

C’est précisément ce travail de veille réglementaire continue, de cartographie et de documentation que les outils de conformité comme Legiscope automatisent, en reliant chaque obligation à la doctrine applicable.

Ce qu’il faut retenir

• L’article 70 RGPD énumère les missions du Comité européen de la protection des données (CEPD), au service d’un objectif unique : l’application cohérente du règlement dans toute l’Union.
• Ses vingt-cinq missions (points a à y) se regroupent en cinq blocs : produire la doctrine interprétative, conseiller la Commission, animer le mécanisme de cohérence, encadrer les outils de conformité volontaire, et coopérer/former/documenter.
• La compétence générale de l’article 70(1)(e) est la base juridique de plus de trente lignes directrices structurantes (consentement, sous-traitance, violations, etc.).
• Une ligne directrice n’est pas formellement contraignante, mais elle s’impose en pratique : les autorités s’en servent pour sanctionner, les juges pour interpréter, et l’article 65 peut la transformer en décision impérative.
• L’article 70(4) ouvre un levier d’influence rare : la consultation publique préalable à toute ligne directrice. Les entreprises françaises gagneraient à y contribuer.

FAQ

Quelle est la différence entre une ligne directrice et un avis du CEPD ?

Une ligne directrice (article 70(1)(e)) est une doctrine interprétative générale, publiée de la propre initiative du comité pour clarifier l’application d’une notion. Un avis de l’article 64 porte sur un cas précis soumis au comité (projet de décision d’une autorité, code de conduite transnational, certification). Les deux relèvent de l’article 70, mais l’avis s’inscrit dans une procédure formelle du mécanisme de cohérence.

Les lignes directrices du CEPD sont-elles obligatoires ?

Non au sens strict : elles ne créent pas d’obligation nouvelle et ne sont pas un règlement. Mais elles s’imposent en pratique, car les autorités de contrôle comme la CNIL fondent leurs sanctions sur elles et les juridictions s’y réfèrent. S’en écarter sans justification solide est un risque contentieux réel.

Le CEPD peut-il sanctionner directement mon entreprise ?

Non. Le CEPD ne dispose pas de pouvoir de sanction direct sur les entreprises. Il adopte des décisions contraignantes (article 65) qui s’imposent aux autorités nationales ; ce sont ensuite ces autorités, comme la CNIL, qui notifient et exécutent la sanction. C’est par ce canal que des amendes de plusieurs centaines de millions d’euros ont été prononcées.

Comment suivre la production du CEPD au titre de l’article 70 ?

Toutes les lignes directrices, recommandations, avis et décisions sont publiés (article 70(3)) sur le site du comité, et les décisions du mécanisme de cohérence figurent dans le registre public de l’article 70(1)(y). Une veille mensuelle de ces sources, intégrée à votre cartographie des traitements, est la méthode la plus efficace.

Une entreprise peut-elle influencer une ligne directrice du CEPD ?

Oui, indirectement. L’article 70(4) impose au comité de consulter les parties intéressées avant d’adopter une ligne directrice et de rendre publics les résultats. Déposer une contribution argumentée pendant cette consultation — directement ou via une fédération professionnelle — est l’un des rares moyens de peser sur la doctrine qui s’appliquera ensuite à tout un secteur.