Article 97 RGPD : les rapports de la Commission
Article 97 RGPD : l'obligation de réexamen tous les 4 ans, les rapports 2020 et 2024 de la Commission et le Digital Omnibus de 2025.
On présente souvent le RGPD comme un texte gravé dans le marbre. C’est faux : son article 97 organise au contraire son propre réexamen périodique. Et en novembre 2025, pour la première fois, la Commission a déposé un paquet de propositions modifiant substantiellement le règlement. Comprendre l’article 97, c’est comprendre comment et quand le RGPD est susceptible de bouger sous vos pieds.
Ce que dit l’article 97 du RGPD
L’article 97 figure au chapitre XI, parmi les « dispositions finales » du règlement (UE) 2016/679. Il impose à la Commission européenne une obligation de bilan régulier. Le texte tient en cinq paragraphes.
L’article 97(1) pose le calendrier : « Au plus tard le 25 mai 2020, et tous les quatre ans par la suite, la Commission présente au Parlement européen et au Conseil un rapport sur l’évaluation et le réexamen du présent règlement. Ces rapports sont publics. » C’est la clause de rendez-vous : tous les quatre ans, l’exécutif européen doit rendre des comptes sur la manière dont le règlement fonctionne réellement.
L’article 97(2) cible deux chapitres en priorité : le chapitre V sur les transferts de données vers les pays tiers, avec une attention particulière aux décisions d’adéquation adoptées au titre de l’article 45(3), et le chapitre VII sur la coopération et la cohérence entre autorités. Ce ne sont pas des choix anodins : ce sont les deux mécanismes les plus fragiles du règlement, ceux qui dépendent le plus de la pratique pour fonctionner.
L’article 97(3) autorise la Commission à demander des informations aux États membres et aux autorités de contrôle. L’article 97(4) l’oblige à tenir compte des positions du Parlement, du Conseil et « d’autres organismes ou sources pertinents » — ce qui inclut le Comité européen de la protection des données (CEPD). Enfin, l’article 97(5), le plus important en pratique, prévoit que la Commission soumet, « le cas échéant, des propositions appropriées visant à modifier le présent règlement », notamment au regard de l’évolution des technologies.
La distinction à ne pas manquer : rapport ≠ réforme
Dans mon expérience de conseil, c’est le point qui prête le plus à confusion. L’article 97 enchaîne en réalité deux mécanismes distincts qu’il ne faut pas mélanger.
D’un côté, le rapport d’évaluation des paragraphes 1 à 4 : un exercice de bilan, publié, sans effet juridique direct. Il décrit ce qui fonctionne et ce qui coince, mais il ne change pas une virgule du texte.
De l’autre, la proposition de modification du paragraphe 5 : un acte politique facultatif (« le cas échéant »), qui déclenche, lui, la procédure législative ordinaire — codécision entre Parlement et Conseil. C’est seulement à ce stade que le RGPD peut réellement être amendé.
Pendant longtemps, la Commission a actionné le premier mécanisme sans jamais déclencher le second. Cela a changé fin 2025.
Les deux rapports de réexamen déjà publiés
Le premier rapport a été publié le 24 juin 2020 (communication COM(2020) 264 final), quelques semaines après l’échéance du 25 mai 2020 fixée à l’article 97(1). Son intitulé donnait le ton : « La protection des données, un pilier de l’autonomisation des citoyens et de l’approche de l’UE à l’égard de la transition numérique ». Le bilan était globalement positif. La Commission y pointait toutefois deux faiblesses récurrentes : une application encore hétérogène d’un État membre à l’autre, et la difficulté du mécanisme de coopération à traiter les grands dossiers transfrontaliers — précisément les deux sujets que l’article 97(2) lui demandait de surveiller.
Le deuxième rapport a été publié le 25 juillet 2024 (communication COM(2024) 357 final), respectant le rythme quadriennal. Quatre ans plus tard, le constat sur le guichet unique restait sévère : lenteur des procédures, divergences entre autorités, lourdeur pour les PME. Ce rapport a directement nourri l’adoption du futur règlement de procédure (« GDPR Procedural Regulation »), destiné à harmoniser le déroulement des enquêtes transfrontalières. À noter pour votre veille : au rythme de l’article 97(1), le troisième rapport est attendu en 2028.
Il faut rappeler que ces rapports ne sortent pas du chapeau de la Commission. Dès février 2020, le CEPD avait remis sa propre contribution à l’évaluation, au titre exprès de l’article 97 — une illustration concrète de l’obligation de prise en compte des « sources pertinentes » de l’article 97(4). Si le sujet du Comité vous intéresse, j’en détaille le fonctionnement dans mon analyse de l’article 68 du RGPD.
Le Digital Omnibus : l’article 97(5) enfin activé
C’est l’actualité qui rend cet article central en 2026. Le 19 novembre 2025, la Commission a présenté son paquet « Digital Omnibus » : deux propositions de règlements visant à « simplifier » plusieurs textes numériques, dont le RGPD et l’AI Act. Juridiquement, c’est l’article 97(5) qui sort enfin de sa réserve — la première proposition de modification de fond du règlement depuis 2016.
Les ajustements proposés sont loin d’être cosmétiques. Trois méritent l’attention des praticiens.
D’abord, la notion de donnée personnelle elle-même : pour un acteur donné, une donnée pseudonymisée ne serait plus automatiquement « personnelle » s’il ne dispose pas de moyens raisonnablement susceptibles d’identifier la personne. La qualification deviendrait relative, dépendante des capacités réelles d’identification du destinataire.
Ensuite, les données sensibles : leur définition serait restreinte aux données révélant « directement » une caractéristique protégée, ce qui pourrait exclure les données simplement inférées par profilage ou recoupement.
Enfin, un guichet unique de notification des incidents serait créé, consolidant des obligations aujourd’hui dispersées entre RGPD, directive NIS2, règlement DORA et directive CER. Le texte propose aussi d’étendre aux PME et entreprises de capitalisation moyenne (« small mid-caps ») certaines mesures d’allègement.
Attention toutefois : il ne s’agit à ce stade que d’une proposition. Elle doit encore être examinée par le Parlement et le Conseil selon la procédure législative ordinaire, avec une adoption finale possible en 2026-2027 seulement, après négociations et amendements. Rien n’est entré en vigueur. C’est exactement la logique de l’article 97(5) : la Commission propose, le législateur dispose.
Pourquoi l’article 97 vous concerne en pratique
On pourrait croire qu’une clause de réexamen ne concerne que les institutions. Ce serait une erreur de lecture. En vingt ans de pratique, j’ai vu trop de programmes de conformité conçus comme des projets « one shot », alors que le cadre, lui, est explicitement évolutif.
Concrètement, l’article 97 a trois conséquences pour un responsable de traitement. D’abord, votre veille doit intégrer le cycle quadriennal : 2020, 2024, 2028. Chaque rapport annonce les chantiers réglementaires des années suivantes. Ensuite, les sujets « transferts » et « coopération » sont les plus mouvants — c’est l’article 97(2) qui le dit. Si votre activité repose sur des transferts hors UE ou sur des décisions d’adéquation, vous êtes en première ligne des évolutions à venir. Enfin, une proposition n’est pas un texte applicable : tant que le Digital Omnibus n’est pas adopté, le RGPD de 2016 reste votre référence. Anticiper, oui ; appliquer par anticipation un texte non voté, non.
Cette logique de texte vivant n’est d’ailleurs pas nouvelle : elle prolonge l’esprit du règlement depuis son entrée en vigueur et son articulation avec le droit antérieur, que j’ai détaillée à propos de l’abrogation de la directive 95/46.
Ce qu’il faut retenir
- L’article 97(1) impose à la Commission un rapport d’évaluation du RGPD tous les quatre ans : 2020, 2024, et le prochain attendu en 2028.
- L’article 97(2) cible en priorité deux chapitres fragiles : les transferts internationaux (chapitre V) et la coopération entre autorités (chapitre VII).
- Il faut distinguer le rapport (bilan sans effet juridique, paragraphes 1 à 4) de la proposition de modification (article 97(5), qui déclenche seule la procédure législative).
- Le Digital Omnibus du 19 novembre 2025 est la première activation de l’article 97(5) : il propose de revoir la notion de donnée personnelle, les données sensibles et la notification des incidents.
- Une proposition n’est pas un texte applicable : jusqu’à adoption (2026-2027 au plus tôt), le RGPD de 2016 reste la norme de référence.
FAQ
Tous les combien la Commission doit-elle évaluer le RGPD ?
Tous les quatre ans. L’article 97(1) a fixé un premier rapport au 25 mai 2020, « et tous les quatre ans par la suite ». Le deuxième a été publié le 25 juillet 2024 ; le troisième est donc attendu en 2028. Ces rapports sont publics et adressés au Parlement européen et au Conseil.
Le rapport de l’article 97 modifie-t-il le RGPD ?
Non. Le rapport des paragraphes 1 à 4 est un bilan sans effet juridique direct. Seul l’article 97(5) permet à la Commission de proposer une modification du règlement, laquelle doit ensuite suivre la procédure législative ordinaire (Parlement et Conseil). Un rapport peut préparer une réforme, mais ne la réalise pas.
Le Digital Omnibus est-il déjà applicable ?
Non. Présenté le 19 novembre 2025, il s’agit d’une proposition de la Commission au titre de l’article 97(5). Elle doit encore être examinée et amendée par le Parlement et le Conseil, avec une adoption envisageable en 2026-2027 au plus tôt. Tant qu’il n’est pas adopté et entré en vigueur, le texte actuel du RGPD continue de s’appliquer intégralement.
Sur quels sujets le réexamen du RGPD porte-t-il en priorité ?
L’article 97(2) impose à la Commission d’examiner d’abord le chapitre V (transferts de données hors UE, dont les décisions d’adéquation de l’article 45(3)) et le chapitre VII (coopération et cohérence entre autorités de contrôle). Ce sont les deux mécanismes les plus dépendants de la pratique, et donc les plus susceptibles d’évoluer.
Vous voulez suivre les évolutions du RGPD sans vous noyer dans les textes ? Recevez nos analyses conformité chaque semaine : décryptages, jurisprudence CNIL et veille réglementaire, directement dans votre boîte mail.