En une phrase. Le CEPD (Comité européen de la protection des données — European Data Protection Board en anglais, EDPB) est l’organe européen composé des chefs de toutes les autorités nationales de protection des données et du Contrôleur européen de la protection des données (CEPD-EDPS). Établi par l’article 68 du RGPD, il garantit l’application cohérente du règlement à travers les lignes directrices, avis et décisions contraignantes au titre de l’article 65. Le CEPD succède au G29 (Groupe de l’article 29).
Le CEPD est l’autorité interprétative centrale du RGPD. Tout responsable de traitement européen doit comprendre son fonctionnement, car ses lignes directrices définissent comment les autorités appliquent la loi, ses avis orientent les décisions des autorités nationales, et ses décisions contraignantes au titre de l’article 65 tranchent les litiges entre autorités dans les affaires transfrontalières.
Pour le contexte général, voir data privacy compliance guide. Pour la procédure CNIL, contrôle CNIL : comment se préparer.
Points clés
- Le CEPD est composé des chefs des 27 autorités nationales de protection des données + 3 EEE + le CEPD-EDPS.
- Trois sorties principales : lignes directrices (interprétatives), avis (consultatifs sur mesures nationales), décisions contraignantes au titre de l’article 65.
- Les lignes directrices ne sont pas juridiquement contraignantes mais sont traitées comme l’interprétation faisant autorité par les autorités nationales et les juridictions.
- Les décisions contraignantes au titre de l’article 65 sont directement exécutoires et ont produit les plus grosses amendes RGPD (Meta 1,2 Md€, mai 2023).
- Le CEPD ne traite pas les plaintes directement — il coordonne les autorités nationales qui le font.
1. Structure et composition
Le CEPD est composé de :
- Le chef de chaque autorité de contrôle nationale (un par État membre + EEE : Islande, Liechtenstein, Norvège)
- Le Contrôleur européen de la protection des données (CEPD-EDPS) pour les questions concernant les institutions européennes
- La Commission européenne participe sans droit de vote
Le Comité compte environ 30 membres. Les décisions requièrent une majorité simple pour les lignes directrices et avis, deux tiers pour les décisions contraignantes au titre de l’article 65.
Le CEPD opère depuis Bruxelles avec un Secrétariat d’environ 30-40 personnes. Des groupes de travail (« sous-groupes d’experts ») préparent les versions préliminaires des lignes directrices sur des sujets spécifiques : transferts transfrontaliers, coopération, application, technologie, etc.
2. Les trois principales sorties
Lignes directrices
Documents interprétatifs détaillés sur des sujets RGPD spécifiques, généralement de 50 à 150 pages. Publiés après consultation publique. Bien que non juridiquement contraignants, ils sont traités comme l’interprétation faisant autorité par les autorités nationales et régulièrement cités en justice.
Lignes directrices notables (sélection) :
- Lignes directrices 04/2019 sur l’article 25 (protection des données dès la conception et par défaut)
- Recommandations 01/2020 sur les mesures supplémentaires pour les transferts internationaux (post-Schrems II) — voir notre guide TIA
- Lignes directrices 07/2020 sur les concepts de responsable de traitement et de sous-traitant — voir Article 28 vs Article 26
- Lignes directrices 02/2023 sur le champ technique de l’article 5(3) de la directive ePrivacy (cookies et traceurs)
- Lignes directrices 01/2024 sur l’intérêt légitime comme base légale
- Avis 28/2024 sur les modèles d’IA et les données personnelles
Avis
Plus courts, souvent émis en réponse à des mesures nationales spécifiques (par exemple, le projet de décision d’une CNIL sur une autorisation de transfert majeure). Les avis clarifient la position du CEPD mais n’engagent pas l’autorité requérante.
Décisions contraignantes au titre de l’article 65
La sortie la plus conséquente du CEPD. Lorsque les autorités nationales sont en désaccord sur une affaire transfrontalière (typiquement l’autorité chef de file et les autorités concernées), le CEPD règle le litige. Sa décision est contraignante pour toutes les autorités impliquées.
3. Décisions majeures au titre de l’article 65
Le mécanisme de l’article 65 a produit les plus importantes actions de mise en application du RGPD :
| Date | Affaire | Résultat |
|---|---|---|
| Déc 2020 | Twitter (Irish DPC vs autres CNIL) | Première décision article 65, amende portée de 60K à 450K€ |
| Sept 2021 | WhatsApp Ireland | Amende portée de 50M à 225M€ |
| Sept 2022 | Amende renforcée, protection des mineurs clarifiée | |
| Janv 2023 | Meta Ireland (Facebook & Instagram) | Base légale de la publicité comportementale contestée, total 390M€ |
| Mai 2023 | Meta Ireland (transfert UE-US) | 1,2 milliard d’euros — plus grosse amende RGPD à ce jour |
| Juil 2024 | LinkedIn Ireland | Exigences de consentement pour la publicité comportementale |
Le pattern : l’autorité chef de file (souvent l’Irlande) propose une décision modérée, les autorités concernées s’opposent comme trop indulgentes, le CEPD tranche en faveur de la position plus stricte. Cela a considérablement durci l’application sur les grandes plateformes.
4. Comment les sorties du CEPD s’appliquent à votre programme de conformité
Pour un responsable de traitement européen typique, les documents du CEPD comptent de trois manières :
4.1 Définition de « ce qu’est la conformité »
Les autorités nationales appliquent les lignes directrices du CEPD lorsqu’elles évaluent si une activité de traitement répond aux exigences RGPD. Un responsable invoquant l’intérêt légitime, par exemple, doit conduire un test de mise en balance dans la forme décrite par les lignes directrices 01/2024. S’écarter sans justification crée un risque réglementaire.
4.2 Lever l’ambiguïté en votre faveur
Les documents du CEPD clarifient souvent les zones grises. Par exemple, la frontière entre responsable de traitement et sous-traitant a été contestée pendant des années — les lignes directrices 07/2020 l’ont tranchée. Citer la position du CEPD protège les responsables de futures contestations par les autorités.
4.3 Suivre la direction de l’application
Les priorités du CEPD signalent les 12 à 24 prochains mois d’application par les autorités nationales. Le focus 2024 sur les modèles d’IA, le focus 2023 sur les dark patterns, le focus 2022 sur les cookies — chacun a précédé une vague de décisions des autorités nationales sur les mêmes sujets.
5. Mécanisme de coopération et de cohérence
Le CEPD se trouve au centre de deux mécanismes procéduraux conçus pour harmoniser l’application :
-
Coopération (article 60) : lorsque le traitement affecte des personnes concernées dans plusieurs États membres, l’autorité chef de file (où le responsable a son établissement principal) mène l’affaire en coopération avec les autorités concernées. Le CEPD intervient uniquement si la coopération échoue.
-
Cohérence (articles 63-67) : assure une interprétation cohérente à travers l’UE. Les autorités nationales notifient les projets de décision dans les affaires transfrontalières au CEPD, qui peut émettre des avis. Les affaires contestées déclenchent l’article 65.
6. Où trouver les documents du CEPD
- Site officiel : edpb.europa.eu
- Toutes les lignes directrices, avis, décisions et rapports annuels sont publics
- Rapport annuel (généralement publié au T2) résume l’activité de l’année précédente
7. Différence avec le CEPD-EDPS
Deux organes souvent confondus :
| Organe | Rôle |
|---|---|
| CEPD (Comité européen de la protection des données / EDPB) | Coordonne les autorités nationales, émet les lignes directrices sur l’application du RGPD pour tous les secteurs et responsables |
| CEPD-EDPS (Contrôleur européen de la protection des données / European Data Protection Supervisor) | Autorité de contrôle indépendante pour les institutions et organes de l’UE (Commission, Parlement, Frontex, etc.) |
Le CEPD-EDPS siège au CEPD mais son rôle d’application est limité aux institutions de l’UE.
8. Usage pratique : construire une position de conformité
Lors de la conception d’une nouvelle activité de traitement :
- Identifier les lignes directrices CEPD les plus pertinentes (ex. : pour les données d’entraînement d’IA, l’avis 28/2024)
- Lire la ligne directrice et identifier les critères que le CEPD considère déterminants
- Documenter comment votre traitement remplit chaque critère
- Citer la ligne directrice dans votre AIPD, votre registre des traitements et votre politique de confidentialité
Cela positionne votre organisation pour défendre le traitement s’il est contesté par une autorité. Sans ce travail préparatoire, défendre la conformité contre une contestation est nettement plus difficile.
Pour l’outillage : Legiscope cartographie les lignes directrices CEPD avec les fiches du registre, alerte sur les nouvelles lignes directrices pertinentes pour vos activités de traitement, et produit des AIPD alignées sur la méthodologie CEPD.
Pour les approfondissements connexes : SCCs guide, TIA guide, data privacy compliance guide, méthodologie audit RGPD.
Conclusion
Le CEPD est invisible pour la plupart des responsables de traitement jusqu’à ce qu’il ne le soit plus — et à ce moment-là, une décision article 65 peut multiplier une amende par 5 à 25. Suivre les priorités du CEPD est le signal le plus puissant de la direction que prend l’application par les autorités. Lire la ligne directrice pertinente avant de concevoir une nouvelle activité de traitement transforme la conformité de réactive à défendable.
FAQ
Que fait le CEPD ?
Le CEPD garantit l’application cohérente du RGPD à travers l’UE. Ses trois principales sorties sont : les lignes directrices (documents interprétatifs), les avis (sur mesures nationales spécifiques) et les décisions contraignantes au titre de l’article 65 qui règlent les litiges entre autorités nationales.
Les lignes directrices du CEPD sont-elles juridiquement contraignantes ?
Les lignes directrices ne sont pas juridiquement contraignantes mais sont traitées comme faisant autorité par les autorités nationales et les juridictions. S’écarter des lignes directrices CEPD sans justification crée un risque réglementaire significatif. Les décisions article 65, en revanche, sont directement exécutoires contre les autorités impliquées.
Quelle est la différence entre le CEPD et le CEPD-EDPS ?
Le CEPD coordonne les 30 autorités nationales et émet des lignes directrices pour tous les responsables. Le CEPD-EDPS (Contrôleur européen de la protection des données) est l’autorité indépendante qui supervise les institutions et organes de l’UE (Commission, Parlement, etc.).
Comment sont prises les décisions contraignantes au titre de l’article 65 ?
Lorsque l’autorité chef de file et les autorités concernées sont en désaccord sur une affaire transfrontalière, le CEPD règle le litige. Une majorité des deux tiers est requise. La décision est contraignante pour toutes les autorités impliquées et a produit les plus grosses amendes RGPD (Meta 1,2 Md€ en mai 2023).
Comment puis-je utiliser les documents du CEPD dans mon programme de conformité ?
Identifiez les lignes directrices pertinentes pour votre activité de traitement, documentez comment votre traitement remplit les critères que le CEPD considère déterminants, et citez la ligne directrice dans votre AIPD et votre politique de confidentialité. Cela construit une position défendable si votre traitement est contesté ultérieurement par une autorité.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope