Article 72 RGPD : la procédure du CEPD décryptée
Article 72 RGPD : comment le Comité européen (CEPD) prend ses décisions. Majorité simple, exceptions, règlement intérieur à la majorité des deux tiers.
Quand le Comité européen de la protection des données (CEPD) impose à une autorité nationale de revoir un projet de décision, ou valide une amende de plusieurs centaines de millions d’euros, une question rarement posée se pose pourtant : comment ce vote a-t-il été emporté ? À combien de voix ? L’article 72 du RGPD répond en deux paragraphes d’apparence purement technique. Ils fixent les règles de majorité du comité — et derrière ces seuils se joue la solidité juridique de toute la doctrine européenne et des décisions qui en découlent. Voici ce qu’il faut comprendre.
Ce que dit l’article 72 du RGPD
L’article 72 est l’une des dispositions les plus brèves du chapitre VII, mais ses deux paragraphes organisent toute la mécanique décisionnelle du comité.
L’article 72(1) pose la règle de principe : « Le comité prend ses décisions à la majorité simple de ses membres, sauf disposition contraire du présent règlement. » Autrement dit, par défaut, une décision du CEPD est adoptée dès lors qu’elle réunit la moitié des voix plus une. Les membres, je le rappelle, sont les responsables d’une autorité de contrôle par État membre et le Contrôleur européen de la protection des données, selon la composition fixée par l’article 68.
L’article 72(2) traite d’un objet distinct : « Le comité adopte son règlement intérieur à la majorité des deux tiers de ses membres et détermine ses modalités de fonctionnement. » Pour s’organiser lui-même, le comité doit donc réunir une majorité renforcée. La distinction est volontaire : un seuil bas pour décider au quotidien, un seuil élevé pour fixer les règles du jeu.
La majorité simple et ses exceptions décisives
Le cœur de l’article 72(1) tient dans sa réserve : « sauf disposition contraire ». La majorité simple est le principe, mais le RGPD prévoit lui-même des exceptions, et la principale concerne les décisions les plus lourdes de conséquences.
C’est l’article 65, sur le règlement des litiges entre autorités, qui porte cette exception. Lorsque le comité rend une décision contraignante — par exemple pour trancher un désaccord entre l’autorité chef de file et les autorités concernées dans un dossier transfrontalier —, l’article 65(2) exige que cette décision soit adoptée à la majorité des deux tiers de ses membres dans un délai d’un mois. Ce n’est qu’en cas de blocage persistant, après prolongation du délai, que l’article 65(3) autorise un retour à la majorité simple. Les décisions qui ont fondé certaines des sanctions les plus retentissantes du RGPD — comme la décision contraignante de 2023 ayant conduit à l’amende de 1,2 milliard d’euros contre Meta sur les transferts vers les États-Unis — relèvent de ce régime de majorité renforcée.
Cette articulation n’est pas un détail de procédure. Une décision contraignante adoptée sans atteindre le seuil requis serait juridiquement fragile. Le respect des règles de majorité de l’article 72, combiné aux exigences spécifiques de l’article 65, conditionne la régularité formelle des actes du comité — et donc leur résistance à un éventuel recours. Pour les avis rendus dans le cadre du mécanisme de cohérence au titre de l’article 64, en revanche, c’est bien la majorité simple de droit commun qui s’applique.
Le règlement intérieur : pourquoi une majorité renforcée
L’article 72(2) réserve la majorité des deux tiers à l’adoption du règlement intérieur du comité. Le choix du législateur se comprend aisément : les règles internes engagent durablement l’institution et fixent la manière dont elle délibère. Il était logique d’exiger un consensus large, et non une simple majorité de circonstance, pour les arrêter.
Le CEPD a exercé cette compétence dès sa première réunion plénière, le 25 mai 2018, jour de l’entrée en application du RGPD, en adoptant son règlement intérieur — texte qu’il a ensuite révisé à plusieurs reprises. Ce document précise des éléments que le règlement lui-même laisse ouverts : organisation des réunions plénières, modalités de vote (y compris la procédure écrite), création et fonctionnement des sous-groupes d’experts, règles de confidentialité et de transparence des débats. C’est là, par exemple, que sont fixées les modalités concrètes des votes que l’article 72(1) se borne à encadrer dans son principe.
Cette autonomie d’organisation prolonge l’indépendance du comité. Une autorité qui reçoit ses règles de fonctionnement d’un tiers ne serait pas réellement indépendante. En adoptant lui-même son règlement intérieur à une majorité qualifiée, le CEPD garantit que ses modalités de travail émanent de ses seuls membres.
Modalités de fonctionnement : comment le comité travaille concrètement
La dernière partie de l’article 72(2) — « et détermine ses modalités de fonctionnement » — habilite le comité à organiser son travail au-delà du seul texte du règlement. En pratique, le CEPD fonctionne autour de trois rouages.
La réunion plénière rassemble l’ensemble des membres et constitue l’organe décisionnel : c’est là que sont adoptés les avis, lignes directrices et décisions contraignantes au titre des missions de l’article 70. Les sous-groupes d’experts (expert subgroups), composés d’agents des autorités nationales, préparent les dossiers en amont par thématique — technologie, coopération, frontières et exécution, etc. Enfin, le secrétariat, assuré par le Contrôleur européen de la protection des données conformément à l’article 75, fournit l’appui administratif, logistique et analytique sans lequel un organe réunissant vingt-sept autorités ne pourrait pas fonctionner.
C’est cette architecture, déterminée par le comité sur le fondement de l’article 72(2), qui permet de transformer des positions nationales parfois divergentes en une doctrine européenne cohérente.
Pourquoi l’article 72 intéresse une entreprise
On pourrait croire ces règles de majorité réservées aux juristes institutionnels. Dans mon expérience de conseil, elles ont pourtant deux implications très concrètes pour les organisations concernées par un dossier européen.
D’abord, sur le terrain du contentieux. Lorsqu’une décision contraignante de l’article 65 fonde, en aval, une sanction prononcée par une autorité nationale, la régularité du vote au sein du comité fait partie des éléments de procédure susceptibles d’être examinés. Vérifier que la majorité requise — deux tiers, et non simple majorité — a bien été atteinte relève de la défense de premier niveau dans un recours, au même titre que le respect des délais du mécanisme de coopération de l’article 60.
Ensuite, sur le terrain de la lecture de la doctrine. Savoir qu’un avis a été adopté à la majorité simple, là où une décision contraignante exige les deux tiers, aide à pondérer la portée d’un texte du comité. Un document obtenu à une large majorité traduit un consensus européen solide ; il a vocation à structurer durablement les pratiques de contrôle. C’est précisément ce type de signal que l’on intègre dans une veille de conformité structurée, et que des outils comme Legiscope permettent de relier automatiquement à ses propres traitements.
Ce qu’il faut retenir
- L’article 72 RGPD fixe les règles de majorité du Comité européen de la protection des données (CEPD) : la majorité simple est le principe pour ses décisions (art. 72(1)).
- Cette règle s’applique « sauf disposition contraire » : les décisions contraignantes de l’article 65 exigent une majorité des deux tiers, exception décisive pour les dossiers transfrontaliers à fort enjeu.
- L’adoption du règlement intérieur du comité requiert également la majorité des deux tiers (art. 72(2)) ; le CEPD l’a adopté dès le 25 mai 2018.
- Le comité « détermine ses modalités de fonctionnement » : réunions plénières, sous-groupes d’experts et secrétariat assuré par le Contrôleur européen (article 75).
- Pour une entreprise, vérifier la majorité atteinte est un point de procédure utile en contentieux et un repère pour pondérer la portée d’un texte du CEPD.
FAQ
Comment le CEPD prend-il ses décisions selon l’article 72 ?
Par défaut, à la majorité simple de ses membres (art. 72(1)), soit la moitié des voix plus une. Cette règle s’applique « sauf disposition contraire du règlement », ce qui réserve les cas où le RGPD impose une majorité renforcée, au premier rang desquels les décisions contraignantes de l’article 65.
Quelle majorité faut-il pour une décision contraignante du comité ?
L’article 65(2) exige une majorité des deux tiers des membres du comité, dans un délai d’un mois. Ce n’est qu’en cas de blocage prolongé qu’un retour à la majorité simple devient possible (art. 65(3)). C’est l’exception la plus importante à la règle de majorité simple posée par l’article 72(1).
Pourquoi le règlement intérieur du CEPD exige-t-il la majorité des deux tiers ?
Parce que ce texte fixe durablement les règles d’organisation et de délibération du comité. L’article 72(2) impose une majorité qualifiée pour garantir qu’elles reposent sur un consensus large des membres, et non sur une majorité de circonstance. Le CEPD a adopté son règlement intérieur dès sa première plénière, le 25 mai 2018.
Que recouvrent les « modalités de fonctionnement » de l’article 72(2) ?
Elles désignent l’organisation concrète du travail du comité : réunions plénières décisionnelles, sous-groupes d’experts qui préparent les dossiers par thématique, et secrétariat assuré par le Contrôleur européen de la protection des données. Cette architecture permet de transformer des positions nationales en une doctrine européenne cohérente.