24.1.2024
Le Comité Européen de la Protection des Données (CEPD) est un organe de l'Union européenne possédant la personnalité juridique.
Le CEPD remplace le Groupe de l’article 29, dit G29, un groupe de travail à caractère consultatif et indépendant composé des représentants de chaque autorité indépendante de protection des données nationale, d'un représentant de l'autorité ou des autorités créées pour les institutions et organismes communautaires ainsi que d'un représentant de la Commission européenne.
Le G29 a été institué par l’article 29 de la directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui constituait l’ancien cadre juridique en matière de protection des données à caractère personnel au niveau européen.
Le Comité est composé des chefs des autorités de contrôle de chaque Etat membre ou de leurs représentants ainsi que du Contrôleur européen de la protection des données ou de son représentant (RGPD, article 68, paragraphe 3). Celui-ci est une entité indépendante distincte du Comité et a pour fonction de veiller au respect du droit des citoyens à la protection de leur vie privée lors du traitement de données à caractère personnel par les institutions et organes de l'UE, ce qui implique notamment le contrôle, le conseil et la gestion des plaintes. Le Contrôleur européen est également en charge du secrétariat du Comité (RGPD, article 75, paragraphe 1).
S’il existe plusieurs autorités de contrôle au sein d’un même Etat membre, ces différentes autorités sont représentées par un seul et même représentant (RGPD, article 68, paragraphe 4).
La Commission européenne peut également participer, sans voter, aux activités et aux réunions du CPED en désignant un représentant (RGPD, article 68, paragraphe 5). Cela ne signifie pas pour autant que la Commission a le pouvoir de donner des instructions au CEPD, qui agit en toute indépendance dans l’exercice de ses missions (RGPD, article 69).
La mission principale du CEPD est de veiller à l’application du RGPD. Dans ce cadre, le Comité peut notamment publier des lignes directrices, conseiller la Commission européenne, analyser toute question portant sur l'application du RGPD ou encore dresser le bilan de l’application de ses lignes directrices (RGPD, article 70, paragraphe 1).
Le Comité peut également adopter une décision à caractère contraignant dans certains cas particuliers. Il en est notamment ainsi lorsqu’une autorité de contrôle formule une objection pertinente et motivée à l'égard d'un projet de décision de l'autorité de contrôle chef de file et que cette objection n'est pas suivie ou est rejetée. L’autorité chef de file est une autorité désignée afin d’assurer la gestion d’une activité de traitement transfrontalier (G29, lignes directrices du 13 décembre 2016), c’est-à-dire un traitement réalisé dans l’UE par une organisation ayant des activités dans plusieurs Etats membres ou dont les activités affectent sensiblement ou sont susceptibles d'affecter sensiblement des personnes concernées dans plusieurs États membres (RGPD, article 4, paragraphe 23).
L’adoption d’une décision contraignante peut également survenir dès lors qu’il existe des points de vue divergents concernant la compétence d’une autorité de contrôle et lorsqu’une autorité de contrôle ne demande pas ou ne respecte pas l’avis du Comité (RGPD, article 65, paragraphe 1). Les autorités de contrôle sont en effet tenues de demander l’avis du CEPD lorsqu’elles envisagent d’adopter certaines mesures telles que l’adoption d’une liste de traitements nécessitant la réalisation d’une analyse d’impact ou encore l’approbation de règles d’entreprise contraignantes (RGPD, article 64, paragraphe 1).