Le Comité européen de la protection des données (CEPD)

Un organe de l'UE indépendant prévu par le RGPD

L’ensemble des documents doctrinaux, décisions contraignantes et avis du CEPD sont adoptés lors de ses sessions plénières mensuelles. Ces réunions sont organisées selon des règles de bonnes pratiques adoptées le 14 novembre 2023.

Organisation

Le CEPD (« European Data Protection Board » ou EDPB en anglais) ne doit pas être confondu avec le Contrôleur européen de la protection des données (« European Data Protection Supervisor » ou EDPS en anglais), qui est l’autorité de contrôle indépendante veillant au respect du RGPD par les institutions et organes de l’UE.

Les membres du Comité européen de la protection des données comprennent :

• les chefs des autorités de contrôle de chaque État membre, ou leurs représentants ;
• le Contrôleur européen de la protection des données, ou ses représentants.

S’ajoutent, mais sans droit de vote, les représentants des autorités des États membres de l’Espace Economique Européen : la Norvège, de l’Islande et du Liechtenstein.

La Commission européenne participe aux activités et réunions du CEPD sans droit de vote.

Le président du CEPD et les deux vice-présidents sont élus pour 5 ans à la majorité simple des membres ayant le droit de voter. Leur mandat est renouvelable une fois, à condition qu’ils soient toujours à la tête de leur autorité nationale. Anu TALUS, cheffe de l’autorité finlandaise, a été élue le 23 mai 2023, succédant à Andrea JELINEK, première présidente du CEPD.

Le CEPD dispose de locaux à Bruxelles (au 30 rue Montoyer), avec un Secrétariat propre, mis à disposition par le Contrôleur européen de la protection des données.

Le CEPD se réunit une fois par mois, dans le cadre de ses réunions plénières au cours desquels les sujets stratégiques sont discutés et les documents adoptés. Il est possible, si nécessaire, d’organiser des réunions plénières extraordinaires supplémentaires.

Avant leur adoption, les positions et documents du CEPD sont élaborés par l’un des 13 groupes d’experts ou 3 groupes de travail (task forces). Leur compétence est définie par un mandat adopté en plénière (par exemple : transferts internationaux, nouvelles technologies, interrégulation, etc.).

Missions

Le CEPD a pour mission de garantir l’application cohérente :

• du règlement général sur la protection des données ;
• de la directive sur la protection des données pour les traitements à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, dite directive « Police-Justice » ;
• d’autres instruments juridiques de l’UE.

Ses missions sont définies en une liste figurant à l’article 70 du RGPD.

Le CEPD poursuit également le travail d’élaboration de la doctrine commune des autorités de protection des données de l’UE. Il peut ainsi adopter des documents d’orientations générales (ex. lignes directrices, recommandations) afin de clarifier les dispositions des actes législatifs européens en matière de protection des données et, de cette manière, fournir aux acteurs concernés une interprétation cohérente de leurs droits et obligations.

Le CEPD peut être appelé à rendre des avis formels sur le fondement de l’article 64 du RGPD et des décisions contraignantes sur le fondement de l’article 65 en cas de litiges entre autorités ou de l’article 66 en cas d’urgence. Le CEPD poursuit également le travail d’élaboration de la doctrine commune des autorités de protection des données de l’UE au travers de lignes directrices, de recommandations, etc.

L'environnement de la CNIL