Digital Omnibus et RGPD : La centralisation autour du CEPD et de la Commission européenne
Digital Omnibus et RGPD : La centralisation autour du CEPD et de la Commission européenne
L’un des mouvements les plus structurants du Digital Omnibus réside dans la centralisation et l’harmonisation qu’il organise autour du Comité européen de la protection des données (CEPD / EDPB) et de la Commission européenne.
Jusqu’à présent, les autorités nationales de contrôle conservaient une marge d’autonomie sur plusieurs aspects de la mise en œuvre du RGPD, sous réserve des mécanismes de cohérence prévus par le règlement. Le projet de Digital Omnibus modifie sensiblement cet équilibre.
Il consacre en effet un modèle dans lequel le CEPD devient le principal acteur de la préparation technique et conceptuelle de plusieurs outils structurants, tandis que la Commission européenne se voit reconnaître un rôle central dans leur adoption formelle, par voie d’actes d’exécution.
Cette centralisation apparaît particulièrement à travers la réforme des articles 33 et 35 du RGPD, combinée aux modifications des articles 57, 64 et 70, qui déplacent progressivement la production des standards depuis les autorités nationales vers le couple CEPD / Commission européenne. Le CEPD serait ainsi chargé de proposer :
une liste commune des violations de données susceptibles d’engendrer un haut risque ;
un modèle commun de notification des violations ;
une liste européenne des traitements nécessitant une AIPD ;
une liste européenne des traitements n’en nécessitant pas ;
ainsi qu’une méthodologie commune de réalisation des AIPD.
Autrement dit, la véritable régulation ne se jouera pas uniquement dans les modifications d’articles opérées par le texte lui-même, mais également, et peut-être surtout, dans les standards futurs qui seront élaborés par le CEPD puis adoptés par la Commission.
Or, c’est précisément sur ce point que l’avis conjoint du CEPD et du Contrôleur européen exprime une réserve institutionnelle majeure. Les deux autorités soutiennent l’objectif d’harmonisation au niveau de l’Union, tant pour les violations de données que pour les AIPD. Elles considèrent même que cette harmonisation peut améliorer la cohérence et alléger la charge de conformité, y compris pour les PME.
En revanche, elles critiquent le fait que la Commission puisse ensuite revoir et modifier unilatéralement les documents préparés par le CEPD lors de leur adoption par acte d’exécution. Elles estiment que la formule proposée par la Commission laisse trop de discrétion à cette dernière, sans garantir une reconsultation du CEPD sur les éventuelles modifications introduites.
Pour cette raison, elles recommandent que le CEPD soit non seulement chargé de préparer ces instruments, mais également de les approuver, afin que le processus demeure confié à un organe indépendant, composé des autorités nationales de contrôle.
Cette critique est loin d’être purement technique. Elle révèle une tension institutionnelle plus profonde : derrière l’objectif affiché d’harmonisation, le Digital Omnibus tend à déplacer une partie du pouvoir normatif du RGPD vers la Commission européenne, au risque de soumettre davantage certains standards essentiels aux arbitrages politiques du moment.
Le CEPD et le Contrôleur européen le disent d’ailleurs explicitement : renforcer le rôle du CEPD permettrait de mieux préserver l’indépendance du processus et de respecter plus étroitement le principe de subsidiarité.
En pratique, cela signifie que le niveau réel d’exigence du RGPD dépendra de plus en plus :
de l’orientation retenue par le CEPD dans ses propositions ;
mais aussi de la ligne politique de la Commission européenne au moment de l’adoption des actes d’exécution.
L’harmonisation pourra alors se faire par le haut ou par le bas. Selon les choix opérés, les standards européens pourront soit renforcer le niveau de protection, soit au contraire accompagner une logique de simplification plus favorable aux acteurs économiques les plus structurés.
Ainsi, si le Digital Omnibus devait être adopté, une attention particulière devrait être portée non seulement au texte lui-même, mais surtout aux actes d’exécution de la Commission européenne, qui deviendraient un lieu décisif de définition concrète de la régulation.
L’un des mouvements les plus structurants du Digital Omnibus réside dans la centralisation et l’harmonisation qu’il organise autour du Comité européen de la protection des données (CEPD / EDPB) et de la Commission européenne.
Jusqu’à présent, les autorités nationales de contrôle conservaient une marge d’autonomie sur plusieurs aspects de la mise en œuvre du RGPD, sous réserve des mécanismes de cohérence prévus par le règlement. Le projet de Digital Omnibus modifie sensiblement cet équilibre.
Il consacre en effet un modèle dans lequel le CEPD devient le principal acteur de la préparation technique et conceptuelle de plusieurs outils structurants, tandis que la Commission européenne se voit reconnaître un rôle central dans leur adoption formelle, par voie d’actes d’exécution.
Cette centralisation apparaît particulièrement à travers la réforme des articles 33 et 35 du RGPD, combinée aux modifications des articles 57, 64 et 70, qui déplacent progressivement la production des standards depuis les autorités nationales vers le couple CEPD / Commission européenne. Le CEPD serait ainsi chargé de proposer :
une liste commune des violations de données susceptibles d’engendrer un haut risque ;
un modèle commun de notification des violations ;
une liste européenne des traitements nécessitant une AIPD ;
une liste européenne des traitements n’en nécessitant pas ;
ainsi qu’une méthodologie commune de réalisation des AIPD.
Autrement dit, la véritable régulation ne se jouera pas uniquement dans les modifications d’articles opérées par le texte lui-même, mais également, et peut-être surtout, dans les standards futurs qui seront élaborés par le CEPD puis adoptés par la Commission.
Or, c’est précisément sur ce point que l’avis conjoint du CEPD et du Contrôleur européen exprime une réserve institutionnelle majeure. Les deux autorités soutiennent l’objectif d’harmonisation au niveau de l’Union, tant pour les violations de données que pour les AIPD. Elles considèrent même que cette harmonisation peut améliorer la cohérence et alléger la charge de conformité, y compris pour les PME.
En revanche, elles critiquent le fait que la Commission puisse ensuite revoir et modifier unilatéralement les documents préparés par le CEPD lors de leur adoption par acte d’exécution. Elles estiment que la formule proposée par la Commission laisse trop de discrétion à cette dernière, sans garantir une reconsultation du CEPD sur les éventuelles modifications introduites.
Pour cette raison, elles recommandent que le CEPD soit non seulement chargé de préparer ces instruments, mais également de les approuver, afin que le processus demeure confié à un organe indépendant, composé des autorités nationales de contrôle.
Cette critique est loin d’être purement technique. Elle révèle une tension institutionnelle plus profonde : derrière l’objectif affiché d’harmonisation, le Digital Omnibus tend à déplacer une partie du pouvoir normatif du RGPD vers la Commission européenne, au risque de soumettre davantage certains standards essentiels aux arbitrages politiques du moment.
Le CEPD et le Contrôleur européen le disent d’ailleurs explicitement : renforcer le rôle du CEPD permettrait de mieux préserver l’indépendance du processus et de respecter plus étroitement le principe de subsidiarité.
En pratique, cela signifie que le niveau réel d’exigence du RGPD dépendra de plus en plus :
de l’orientation retenue par le CEPD dans ses propositions ;
mais aussi de la ligne politique de la Commission européenne au moment de l’adoption des actes d’exécution.
L’harmonisation pourra alors se faire par le haut ou par le bas. Selon les choix opérés, les standards européens pourront soit renforcer le niveau de protection, soit au contraire accompagner une logique de simplification plus favorable aux acteurs économiques les plus structurés.
Ainsi, si le Digital Omnibus devait être adopté, une attention particulière devrait être portée non seulement au texte lui-même, mais surtout aux actes d’exécution de la Commission européenne, qui deviendraient un lieu décisif de définition concrète de la régulation.