Service privé et distinct du Registre National du Commerce et des sociétés tenues par les greffiers des tribunaux de commerce. Informations fournies par le Groupement d’intérêt économique des greffiers des tribunaux de commerce (G.I.E. INFOGREFFE)

Comité européen de la protection des données

Mise à jour 06/10/2025 Protection des données

Comité européen de la protection des données (CEPD) : définition, rôle et implications

Rôle général et cadre juridique

Le Comité européen de la protection des données (CEPD, en anglais EDPB) est un organe indépendant institué par le Règlement général sur la protection des données (RGPD). Sa mission principale est d'assurer la cohérence de l'application du RGPD dans l'Union européenne, en fournissant des orientations communes, en résolvant les désaccords entre autorités de contrôle nationales et en délivrant des avis à la Commission européenne sur des questions réglementaires. Le CEPD siège à Bruxelles et exerce ses fonctions au niveau européen pour garantir une interprétation harmonisée des normes de protection des données personnelles.

Composition, statut et gouvernance

Le CEPD réunit :

  • les représentants des autorités nationales de protection des données de chaque État membre de l'Union européenne ;
  • le Contrôleur européen de la protection des données (EDPS), qui participe pleinement aux travaux ;
  • des représentants des autorités compétentes des États membres de l'Association européenne de libre-échange et de l'Espace économique européen dans les domaines couverts par le RGPD, avec des droits restreints pour certains postes de gouvernance.

La Commission européenne peut assister aux réunions sans droit de vote. Le CEPD est dirigé par un président et, si prévu, des vice-présidents élus par le collège de ses membres. Un secrétariat assure l'organisation des réunions et le suivi des décisions.

Missions et pouvoirs opérationnels

Les missions du CEPD sont multiples et comprennent notamment :

  • l'élaboration de lignes directrices, d'avis et de bonnes pratiques visant à clarifier l'application du RGPD ;
  • la délivrance d'avis à la Commission sur les propositions législatives et les initiatives relatives à la protection des données ;
  • la gestion du mécanisme de cohérence pour les traitements transfrontaliers, incluant la possibilité d'adopter des décisions contraignantes lorsqu'il existe un désaccord entre autorités ;
  • la promotion de la coopération entre autorités nationales et le soutien à des actions coordonnées ;
  • l'émission d'opinions sur les codes de conduite, les mécanismes de certification et les instruments contractuels.

Par exemple, si une entreprise multinationale a des opérations de traitement de données dans plusieurs États membres, le CEPD peut intervenir via le mécanisme de cohérence pour trancher un différend relatif à l'identification de l'autorité chef de file ou à la portée d'une prise de décision unique.

Fonctionnement procédural et exemples pratiques

Le CEPD fonctionne en formation plénière et par groupes de travail thématiques (sécurité, transferts internationaux, technologies émergentes, etc.). Les procédures suivent généralement ces étapes : proposition d'une autorité nationale, débats en groupe de travail, publication d'un projet d'avis pour consultation publique, puis adoption par la plénière. Pour les décisions relevant de l'Article 65 du RGPD (décisions contraignantes en matière transfrontalière), le collège cherche d'abord le consensus ; à défaut, une majorité qualifiée permet l'adoption.

Cas pratique 1 : Une autorité nationale enquête contre un fournisseur cloud qui exerce dans plusieurs pays de l'UE. Si la question est transfrontalière, l'autorité chef de file saisit le CEPD ; le comité peut émettre une décision contraignante définissant les mesures correctrices et l'autorité responsable de l'exécution.

Cas pratique 2 : Le CEPD publie des lignes directrices sur l'évaluation d'impact relative à la protection des données (DPIA) pour les projets d'intelligence artificielle. Les entreprises doivent aligner leurs procédures internes et leurs modèles DPIA sur ces orientations pour démontrer la conformité auprès des autorités nationales.

Impact pour les entreprises et recommandations

Le CEPD n'offre pas d'assistance individualisée aux entreprises ou aux particuliers ; les réclamations individuelles doivent être adressées aux autorités de contrôle nationales. En revanche, ses avis et lignes directrices sont des sources essentielles de conformité. Pour les organisations :

  • surveiller régulièrement les publications du CEPD pour anticiper les exigences pratiques ;
  • adapter les politiques de gouvernance des données (DPIA, bases juridiques, transferts internationaux) en fonction des avis publiés ;
  • préparer des dossiers techniques et juridiques cohérents en cas d'enquête transfrontalière impliquant une autorité chef de file.

Principes directeurs et valeurs

Le CEPD fonde son action sur des principes tels que la transparence, l'impartialité, l'indépendance, la coopération et l'efficacité. Ces valeurs guident la production de documents techniques et la résolution des conflits entre autorités, afin d'assurer une protection homogène et prévisible des données personnelles à l'échelle européenne.