EDPB : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

L'European Data Protection Board (EDPB), traduit en français par Comité européen de la protection des données (CEPD), constitue depuis l'entrée en application du RGPD le 25 mai 2018 l'instance de coordination des autorités de contrôle nationales en matière de protection des données.

L'European Data Protection Board (EDPB), traduit en français par Comité européen de la protection des données (CEPD), constitue depuis l'entrée en application du RGPD le 25 mai 2018 l'instance de coordination des autorités de contrôle nationales en matière de protection des données. L'article 68 du Règlement (UE) 2016/679 organise cette structure qui a remplacé le précédent Groupe de l'article 29 (G29) dans un format institutionnel renforcé.

L'enjeu pratique de l'action de l'EDPB est central pour l'harmonisation européenne du RGPD. Le règlement étant directement applicable dans l'ensemble des États membres mais interprété par vingt-sept autorités de contrôle nationales, l'EDPB constitue le mécanisme par lequel les divergences d'interprétation sont résorbées et la cohérence européenne assurée. Ses lignes directrices font autorité dans la pratique, ses décisions contraignantes s'imposent aux autorités nationales en cas de désaccord, et ses avis orientent l'action de la Commission européenne et du législateur.

L'EDPB siège à Bruxelles et est composé du chef de chaque autorité de contrôle nationale d'un État membre, ainsi que du Contrôleur européen de la protection des données (CEPD/EDPS). Il est présidé par un président élu pour un mandat de cinq ans renouvelable. Anu Talus, présidente de l'autorité finlandaise de protection des données, exerce cette fonction depuis mai 2023.

Vous souhaitez intégrer la doctrine EDPB dans votre conformité ? Le Cabinet Aurore Bonavia accompagne les organisations dans l'analyse des lignes directrices EDPB et leur application opérationnelle. → Voir l'accompagnement en droit du numérique

Les missions de l'EDPB

L'article 70 du RGPD énumère les missions de l'EDPB, qui couvrent une large gamme d'activités :

  • veiller à l'application cohérente du RGPD dans l'ensemble des États membres ;
  • conseiller la Commission européenne sur toute question relative à la protection des données personnelles ;
  • publier des lignes directrices, recommandations et bonnes pratiques sur l'interprétation du règlement ;
  • examiner toute question relative à l'application du RGPD à la demande d'un de ses membres, de la Commission ou de sa propre initiative ;
  • encourager la coopération entre autorités de contrôle, notamment par des opérations conjointes ;
  • rendre des avis sur les codes de conduite, certifications et autres mécanismes prévus par le règlement ;
  • rendre des décisions contraignantes dans les cas prévus à l'article 65 du RGPD (différends entre autorités, application uniforme).

Cette pluralité de missions structure l'EDPB comme l'organe central du système européen de protection des données, articulé entre les vingt-sept autorités nationales et la Commission européenne.

Les lignes directrices et leur portée

L'EDPB publie régulièrement des lignes directrices sur les sujets transversaux du RGPD. Depuis 2018, plusieurs dizaines de lignes directrices ont été adoptées, couvrant des thèmes aussi variés que :

  • la transparence et l'information des personnes concernées (Lignes directrices WP260) ;
  • le consentement (Lignes directrices 5/2020) ;
  • la portabilité des données (Lignes directrices 8/2020) ;
  • les violations de données (Lignes directrices 9/2022) ;
  • les transferts internationaux post-Schrems II (Recommandations 01/2020) ;
  • les décisions automatisées et le profilage (Lignes directrices WP251) ;
  • le calcul des amendes administratives (Lignes directrices 04/2022).

Ces lignes directrices ne sont pas juridiquement contraignantes au sens strict, mais elles bénéficient d'une forte autorité interprétative. Les autorités nationales tiennent compte des positions EDPB dans leurs propres décisions, et la jurisprudence de la CJUE s'y réfère fréquemment. Pour les responsables de traitement, le respect des lignes directrices constitue un indice de bonne foi qui peut être valorisé en cas de contrôle.

Le mécanisme de cohérence et les décisions contraignantes

L'article 65 du RGPD organise le mécanisme de règlement des différends entre autorités de contrôle nationales. Lorsque l'autorité chef de file prépare une décision dans le cadre du guichet unique et qu'une autorité concernée formule des objections pertinentes et motivées auxquelles l'autorité chef de file ne donne pas suite, l'EDPB est saisi pour adopter une décision contraignante :

« Afin d'assurer la bonne application et la cohérence du présent règlement dans les cas individuels, le Comité adopte une décision contraignante dans les cas suivants : a) lorsque, dans le cas visé à l'article 60, paragraphe 4, une autorité de contrôle concernée a soulevé une objection pertinente et motivée à l'égard d'un projet de décision de l'autorité chef de file et que l'autorité chef de file n'a pas donné suite à cette objection [...] »

Plusieurs décisions contraignantes ont été adoptées par l'EDPB, qui ont marqué la pratique européenne :

  • la décision contraignante 1/2020 du 9 novembre 2020 dans l'affaire Twitter (sur la qualification d'une violation de données) ;
  • la décision contraignante 1/2021 du 28 juillet 2021 dans l'affaire WhatsApp Ireland (sur la transparence et la communication des informations) ;
  • la décision contraignante 4/2022 du 5 décembre 2022 dans l'affaire Meta Platforms Ireland (sur les bases légales de la publicité comportementale) ;
  • la décision contraignante 1/2023 du 27 octobre 2023 dans l'affaire TikTok (sur le traitement des données des mineurs).

Ces décisions ont conduit à des sanctions records prononcées par les autorités chef de file concernées (Data Protection Commission irlandaise principalement) sur la base des positions imposées par l'EDPB, parfois pour des montants supérieurs à 1,2 milliard d'euros (Meta, mai 2023).

Le rôle dans les nouveaux cadres réglementaires

L'EDPB est appelé à jouer un rôle central dans l'articulation du RGPD avec les nouveaux cadres réglementaires européens en matière numérique :

  • le Digital Services Act (DSA, Règlement (UE) 2022/2065) qui régule les plateformes numériques et impose des obligations renforcées de transparence algorithmique ;
  • le Digital Markets Act (DMA, Règlement (UE) 2022/1925) qui régule les gatekeepers numériques et impose des obligations renforcées d'interopérabilité et de portabilité ;
  • l'AI Act (Règlement (UE) 2024/1689) qui régule les systèmes d'intelligence artificielle, avec des obligations renforcées pour les systèmes à haut risque traitant des données personnelles ;
  • le Data Act (Règlement (UE) 2023/2854) qui organise l'accès aux données générées par les objets connectés et la portabilité des données entre fournisseurs de cloud ;
  • le Data Governance Act (Règlement (UE) 2022/868) qui encadre les plateformes de partage de données et les altruismes de données.

L'EDPB et l'EDPS (Contrôleur européen de la protection des données) ont publié plusieurs avis conjoints sur ces nouveaux cadres, en soulignant les points d'articulation et les risques de conflit d'interprétation. Cette coordination institutionnelle structure progressivement un corpus juridique cohérent au niveau européen.

Spécificité juridique sur le rôle dans les transferts internationaux

Les transferts internationaux constituent l'un des champs d'action principaux de l'EDPB depuis l'arrêt Schrems II. L'EDPB a publié plusieurs documents structurants :

  • les Recommandations 01/2020 sur les mesures supplémentaires que les responsables de traitement peuvent envisager pour compléter les outils de transferts ;
  • les Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance, qui définissent le standard minimal contre lequel les législations des pays tiers sont évaluées ;
  • les avis sur les nouveaux cadres d'adéquation (notamment sur le projet d'EU-US Data Privacy Framework adopté le 10 juillet 2023) ;
  • les lignes directrices sur les clauses contractuelles types adoptées par la Commission le 4 juin 2021.

Le Avis 5/2023 publié le 28 février 2023 sur le projet de décision d'adéquation EU-US Data Privacy Framework a notamment souligné les améliorations apportées par l'Executive Order 14086 par rapport au Privacy Shield, tout en exprimant des réserves sur l'effectivité de la nouvelle voie de recours via la Data Protection Review Court. Cette position critique de l'EDPB structure le débat juridique sur la stabilité du nouveau cadre, dont la validité fait l'objet d'un recours devant la CJUE (Schrems III).

Le cabinet Aurore Bonavia se charge de vos enjeux en matière d'EDPB

  • l'analyse des lignes directrices EDPB et leur application opérationnelle à votre organisation ;
  • la veille sur les nouvelles lignes directrices et leur impact sur vos dispositifs de conformité ;
  • l'analyse des décisions contraignantes EDPB et leur portée pour les opérateurs concernés ;
  • l'articulation des obligations RGPD avec les nouveaux cadres européens (DSA, DMA, AI Act, Data Act) ;
  • la rédaction des analyses de conformité tenant compte des positions EDPB sur les sujets sensibles ;
  • la défense face aux contrôles CNIL fondés sur les positions EDPB ;
  • l'accompagnement des organisations soumises à des contrôles transfrontaliers sous le mécanisme du guichet unique ;
  • la formation des équipes juridiques aux enjeux européens de la protection des données ;
  • la rédaction des observations dans les consultations publiques EDPB sur les projets de lignes directrices.

Sources : Règlement (UE) 2016/679 (RGPD) art. 68 à 76, art. 60 à 65, lignes directrices et recommandations EDPB (edpb.europa.eu), décisions contraignantes EDPB depuis 2018, jurisprudence CJUE 16 juillet 2020 (Schrems II C-311/18), 15 juin 2021 (Facebook Ireland C-645/19), Règlement (UE) 2022/2065 (DSA), Règlement (UE) 2022/1925 (DMA), Règlement (UE) 2024/1689 (AI Act). Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.