Article 64 RGPD : l'avis du CEPD décrypté

Entre la procédure de coopération de l’article 60 et la décision contraignante de l’article 65, le RGPD ménage une étape intermédiaire que l’on oublie souvent : l’avis du Comité européen de la protection des données (CEPD), prévu à l’article 64. C’est par cet avis que le CEPD a façonné, depuis 2018, la jurisprudence européenne sur les listes nationales d’AIPD, les clauses contractuelles types, les BCR, les codes de conduite transfrontaliers et les certifications. Plus de 80 avis Art. 64 ont été adoptés en huit ans — soit dix fois plus que les sept décisions contraignantes Art. 65. Loin d’être une formalité, l’avis Art. 64 contraint en pratique les autorités de contrôle nationales : la CNIL, comme ses homologues, « tient le plus grand compte » de la position du CEPD, ce qui en fait l’instrument central d’harmonisation européenne de la protection des données.

Ce que dit l’article 64 du RGPD

L’article 64 est intitulé « Avis du comité ». Il appartient à la section 2 du chapitre VII (« Cohérence »), prolongement direct de l’article 63 qui pose le principe du mécanisme de cohérence, et préfiguration de l’article 65 qui organise la décision contraignante. Le texte s’articule en huit paragraphes : six cas d’avis obligatoire (Art. 64(1)(a)–(f)), un cas d’avis facultatif sur demande (Art. 64(2)), les modalités d’adoption (Art. 64(3)), le délai et la majorité (Art. 64(4)), l’échange d’informations (Art. 64(5)), la portée juridique de l’avis (Art. 64(6)), la transparence (Art. 64(7)) et l’articulation avec l’autorité chef de file (Art. 64(8)).

La distinction avec Art. 65 est essentielle. Un avis Art. 64 est juridiquement consultatif : l’autorité de contrôle nationale « tient le plus grand compte » de la position du CEPD mais conserve, en droit, la faculté de s’en écarter en motivant. Une décision Art. 65 est, elle, contraignante au sens littéral — l’autorité chef de file doit la reproduire dans sa décision finale, sans pouvoir s’en écarter. En pratique, cette distinction s’estompe : une autorité qui s’écarterait d’un avis Art. 64 sans motivation solide s’exposerait à un recours juridictionnel pour erreur manifeste d’appréciation et, plus structurellement, à la bascule vers une procédure Art. 65 sur le fondement de l’article 65(1)©. L’avis Art. 64 est donc, en pratique, quasi-contraignant.

Article 64(1)(a) : la liste des traitements soumis à AIPD

L’article 64(1)(a) impose à l’autorité de contrôle compétente de communiquer pour avis au CEPD tout « projet de liste des opérations de traitement qui doivent faire l’objet d’une analyse d’impact relative à la protection des données » au sens de l’article 35(4) ou 35(5). Concrètement, chaque autorité nationale — CNIL, BfDI allemand, AP néerlandais, etc. — doit soumettre au CEPD ses deux listes nationales : la liste positive (traitements obligatoirement soumis à AIPD) et la liste négative (traitements dispensés).

Le CEPD a rendu, dès 2018-2019, une vingtaine d’avis Art. 64(1)(a) sur les listes nationales. Ces avis ont été le levier d’harmonisation par lequel le CEPD a imposé une lecture cohérente de l’article 35 — refusant par exemple aux autorités nationales d’exempter certains traitements de masse ou d’inclure des seuils trop bas. La CNIL a dû modifier sa propre liste après l’Avis 7/2018 du 25 septembre 2018 rendu par le CEPD pour intégrer plusieurs traitements omis (entrepôts de données de santé, traitements biométriques étendus). Ce mécanisme est aujourd’hui consolidé : toute modification ultérieure d’une liste nationale doit, elle aussi, passer par le filtre Art. 64.

Article 64(1)(b) : les codes de conduite transfrontaliers

L’article 64(1)(b) impose la consultation du CEPD pour tout projet de code de conduite « ayant pour objet d’apporter des précisions sur l’application du présent règlement en vertu de l’article 40, paragraphe 7 », c’est-à-dire les codes transnationaux dont la portée dépasse un seul État membre. C’est sur ce fondement que le CEPD a validé, par avis successifs, les principaux codes européens : EU Cloud Code of Conduct (Avis 17/2021), CISPE Code of Conduct for Cloud Infrastructure Providers (Avis 17/2021), code EFPIA pour la recherche clinique pharmaceutique, et plus récemment des codes sectoriels pour l’adtech et l’assurance.

L’avis du CEPD n’est pas une simple validation formelle : il porte sur le fond — pertinence des engagements, suffisance des garanties, modalités du monitoring body Art. 41, articulation avec le RGPD. Plusieurs codes ont été initialement renvoyés à leurs porteurs après un avis Art. 64 critique, pour révision substantielle. Le code est ensuite formellement adopté par l’autorité de contrôle compétente, qui transcrit l’avis Art. 64 dans sa décision d’approbation.

Article 64(1)© : la certification européenne

L’article 64(1)© impose la consultation du CEPD pour toute approbation des « critères de certification visés à l’article 42, paragraphe 5 ». L’enjeu est l’harmonisation des schémas de certification au sein de l’Union, en complément des certifications nationales agréées par les autorités de contrôle.

L’Avis 28/2022 du 10 octobre 2022 est ici la décision charnière : c’est l’avis Art. 64 par lequel le CEPD a validé le référentiel Europrivacy, premier — et à ce jour seul — sceau européen de protection des données au sens de l’article 42(5). Le mécanisme prévu par l’article 64(1)© garantit qu’aucune autorité de contrôle nationale ne peut, seule, créer un schéma de certification susceptible d’être brandi comme européen sans avoir passé le filtre d’harmonisation du CEPD. Ce filtre vaut également pour les critères d’agrément des organismes de certification au sens de l’article 43(3).

Article 64(1)(d) : les clauses contractuelles types

L’article 64(1)(d) impose la consultation du CEPD pour tout projet d’« exigences applicables à l’accréditation d’un organisme de certification visées à l’article 43 », mais c’est dans la pratique le mécanisme par lequel le CEPD a validé les clauses contractuelles types (CCT) — au sens de l’article 46(2)(d) — adoptées par la Commission européenne. Les CCT 2021/914 du 4 juin 2021, qui ont remplacé les anciennes décisions 2001/497/CE et 2010/87/UE, ont été préparées sur la base de l’Avis conjoint 2/2021 du Comité européen de la protection des données et du Contrôleur européen de la protection des données du 14 janvier 2021, rendu sur le projet de la Commission.

L’avis a fortement influencé la version finale : structure modulaire à quatre modules (RT-RT, RT-ST, ST-ST, ST-RT), intégration de l’obligation de Transfer Impact Assessment post-CJUE C-311/18 Schrems II du 16 juillet 2020, clauses spécifiques sur l’accès des autorités publiques de pays tiers (clauses 14 et 15), articulation avec l’article 28. L’autorité de contrôle nationale qui voudrait adopter ses propres clauses au sens de l’article 46(2)(d) — la France ne l’a pas fait à ce jour, contrairement à l’autorité danoise ou allemande pour certains secteurs — devrait, elle aussi, passer par le filtre Art. 64.

Article 64(1)(e) : les règles d’entreprise contraignantes (BCR)

L’article 64(1)(e) impose la consultation du CEPD pour toute approbation par une autorité de contrôle de règles d’entreprise contraignantes (BCR — Binding Corporate Rules) au sens de l’article 47. C’est sans doute la branche la plus opérationnellement importante de l’article 64.

Tout projet de BCR-C (responsable de traitement) ou BCR-P (sous-traitant) instruit par une autorité de contrôle compétente — la CNIL pour les groupes français comme L’Oréal, Total, Sanofi, BNP Paribas — fait l’objet, en fin de procédure, d’un avis Art. 64(1)(e) du CEPD. Le CEPD vérifie la conformité du projet aux quatorze éléments obligatoires de l’article 47(2)(a)–(n), aux Lignes directrices CEPD 4/2021 du 7 juillet 2022 sur l’évaluation des BCR-P, et aux WP 256 rev.01 et WP 257 rev.01 du 6 février 2018 sur les BCR-C et BCR-P. Plus de soixante BCR ont été approuvées sur ce fondement, ce qui en fait le mécanisme Art. 64 le plus utilisé en volume.

L’autorité chef de file BCR (CNIL pour les groupes à siège français) suit l’avis et adopte la décision finale d’approbation. Un avis Art. 64 défavorable ou réservé conduit à une nouvelle instruction du dossier — d’où l’intérêt opérationnel, pour les groupes, d’anticiper la doctrine du CEPD avant le dépôt formel du dossier.

Article 64(1)(f) : les autorisations de transferts Art. 49(1)

L’article 64(1)(f) impose la consultation du CEPD pour toute autorisation par une autorité de contrôle de transferts au sens de l’article 49(1), troisième alinéa — c’est-à-dire la voie résiduelle dite « de dernier ressort », qui autorise des transferts non-répétitifs vers des pays tiers sans décision d’adéquation ni garantie appropriée, lorsque six conditions cumulatives strictes sont remplies. Cette branche est restée extrêmement marginale en pratique : à fin 2025, aucune autorité européenne n’avait notifié au CEPD une autorisation Art. 49(1) résiduelle.

Le mécanisme est néanmoins instructif : il révèle l’interprétation restrictive du CEPD sur les dérogations Art. 49, déjà consacrée par les Lignes directrices 2/2018 du 25 mai 2018. Toute autorité de contrôle qui s’aventurerait sur ce terrain s’exposerait à un avis Art. 64 défavorable, et — en cas de refus de suivre — à la procédure Art. 65(1)©.

Article 64(2) : l’avis sur demande

L’article 64(2) ouvre une voie supplémentaire : « Toute autorité de contrôle, le président du comité ou la Commission peuvent demander que toute question d’application générale ou produisant des effets dans plusieurs États membres soit examinée par le comité en vue d’obtenir un avis ». La saisine est donc à trois portes — autorité nationale, présidente du CEPD, Commission.

C’est sur ce fondement Art. 64(2) que le CEPD a adopté ses avis les plus politiquement structurants : l’Avis 5/2019 sur l’interaction entre la directive ePrivacy et le RGPD, l’Avis 2/2020 sur l’articulation entre les législations sur la TVA et le RGPD, l’Avis 18/2021 sur la qualification des opérateurs de plateformes adtech, et plus récemment l’Avis 28/2024 sur les modèles « pay or okay » pour le consentement aux cookies de tracking. Ces avis n’ont pas, en eux-mêmes, force normative — mais ils déterminent en pratique la doctrine de toutes les autorités de contrôle nationales sur les sujets visés.

Article 64(3) : les modalités d’adoption

L’article 64(3) précise que « Dans les cas visés au paragraphe 1, l’avis est adopté dans un délai de huit semaines à compter de la transmission. Ce délai peut être prolongé de six semaines, en fonction de la complexité de la question. En ce qui concerne le projet de décision visé au paragraphe 1, communiqué aux membres du comité conformément au paragraphe 5, un membre qui n’a soulevé aucune objection avant l’expiration d’un délai indiqué par le président est réputé approuver le projet de décision ».

Trois règles structurent ce paragraphe. Premièrement, le délai de huit semaines, prolongeable de six semaines — soit jusqu’à quatorze semaines au maximum. En pratique, le CEPD adopte ses avis dans un délai moyen de dix à douze semaines, les prorogations étant régulières. Deuxièmement, la procédure d’« objection » : un membre du CEPD qui ne s’oppose pas dans le délai imparti est réputé accepter — une règle d’efficience administrative qui évite les blocages procéduraux par défaut d’expression. Troisièmement, la procédure se déroule essentiellement par échange écrit, préparée par les Expert Subgroups internes du CEPD (subgroup Enforcement, subgroup Borders Travel & Law Enforcement, subgroup International Transfers, subgroup IT Users, subgroup Compliance e-Government and Health, subgroup Strategic Advisory, etc.).

Article 64(4) : la transmission d’informations

L’article 64(4) impose à toute autorité de contrôle qui sollicite l’avis du CEPD au sens de Art. 64(1) ou 64(2) de communiquer « toutes les informations utiles, y compris, selon le cas, un résumé des faits, le projet de décision, les motifs pour lesquels il est nécessaire de prendre une telle mesure et le point de vue d’autres autorités de contrôle concernées ». Cette obligation de dossier complet est lourde — un projet d’avis BCR-C peut représenter plusieurs centaines de pages — et conditionne la qualité de l’avis du CEPD.

En cas de dossier incomplet, le CEPD peut suspendre le délai d’instruction et demander des éléments complémentaires. La pratique enseigne que la qualité du dossier transmis détermine très largement la qualité de l’avis final : un dossier soigneusement préparé (avec analyse comparée, justifications motivées, articulation avec la jurisprudence existante) reçoit en général un avis favorable circonstancié ; un dossier sommaire reçoit un avis prudent assorti de réserves.

Article 64(5) : la mise à disposition électronique

L’article 64(5) précise que « le président du comité informe sans retard injustifié de manière électronique : a) les membres du comité et la Commission de toute information utile qui lui est communiquée, dans une langue déterminée par les règles du comité. Le secrétariat du comité fournit, en tant que de besoin, les traductions des informations utiles ; b) l’autorité de contrôle qui, selon le cas, a notifié le projet de décision, du résultat de la procédure ». La règle pratique est celle de l’anglais comme langue de travail du CEPD, avec traductions disponibles à la demande pour les dossiers les plus structurants.

Article 64(6) : le « tient le plus grand compte »

L’article 64(6) est le paragraphe central pour comprendre la portée juridique de l’avis : « L’autorité de contrôle visée aux paragraphes 1 et 2 ne peut adopter son projet de décision visé au paragraphe 1 que dans un délai de deux semaines après avoir reçu l’avis ». Combiné avec l’article 64(7), qui dispose que l’autorité « tient le plus grand compte » de l’avis, ce mécanisme aboutit à la situation suivante : l’avis Art. 64 n’est pas contraignant stricto sensu, mais l’autorité qui s’en écarte doit le faire de manière motivée et s’expose à la procédure Art. 65(1)©.

La CJUE n’a pas encore tranché frontalement la question de la portée juridique de l’écart entre une autorité nationale et un avis Art. 64. Mais la doctrine constante du CEPD et la pratique des autorités convergent : aucune autorité européenne n’a, à ce jour, ouvertement contredit un avis Art. 64 sans s’exposer à la bascule Art. 65. L’avis Art. 64 est donc, en pratique, un instrument quasi-contraignant, dont la portée juridique se rapproche progressivement de celle de la décision Art. 65.

Article 64(7) et (8) : motivation et articulation chef de file

L’article 64(7) impose à l’autorité de contrôle qui ne suit pas l’avis du CEPD de communiquer « son projet de décision modifié au comité dans un délai de deux semaines, en motivant les modifications proposées ». Cette motivation détaillée est elle-même soumise au filtre Art. 65. L’article 64(8) précise que « si, dans le délai visé au paragraphe 7, le comité, à la majorité des deux tiers de ses membres, conteste le projet de décision modifié de l’autorité de contrôle, ce projet est soumis à la procédure visée à l’article 65 ». Le pont entre l’avis consultatif Art. 64 et la décision contraignante Art. 65 est ici juridiquement explicite : l’écart suffisamment caractérisé déclenche automatiquement la procédure de règlement des litiges.

Plan opérationnel : utiliser et anticiper l’avis Art. 64

Pour un opérateur — groupe européen, fournisseur de cloud, plateforme adtech, organisme certificateur — l’avis Art. 64 est à la fois un instrument à mobiliser activement et un facteur de risque à anticiper. Six chantiers structurent cette gestion.

1. Veille structurée des avis Art. 64 publiés. Le CEPD publie tous ses avis sur edpb.europa.eu rubrique « Opinions ». Une veille hebdomadaire est indispensable pour les responsables conformité multi-juridictionnels — un avis Art. 64 modifie en quelques semaines la doctrine de l’ensemble des autorités européennes.

2. Cartographie des autorités chef de file. Identifier au sens de l’article 56 l’autorité chef de file pour chaque traitement transfrontalier — y compris BCR. Cette cartographie conditionne le canal de saisine et la stratégie procédurale en cas d’instruction.

3. Préparation des dossiers Art. 64. Pour tout projet BCR, code de conduite ou demande d’autorisation Art. 49, anticiper la doctrine du CEPD avant le dépôt formel : analyse comparée avec les lignes directrices applicables (Lignes directrices 4/2021 BCR-P, Lignes directrices 4/2018 v3.0 sur Art. 43, Lignes directrices 2/2018 sur Art. 49), réponse anticipée aux objections probables, dossier en anglais soigneusement structuré.

4. Anticipation des avis Art. 64(2) sur questions générales. Les avis sur saisine présidence ou Commission (« pay or okay », adtech, ePrivacy) impactent l’ensemble des opérateurs concernés. Toute publication d’agenda de plénière du CEPD doit être surveillée, et la position de l’opérateur préparée — soit via contribution écrite via l’autorité de contrôle nationale, soit via les associations sectorielles européennes (CCIA, BusinessEurope, IAB Europe, Eurocommerce).

5. Articulation Art. 64 / Art. 65. Une autorité de contrôle qui s’écarte d’un avis Art. 64 ouvre la voie à la procédure contraignante Art. 65(1)©. Pour l’entreprise concernée, c’est à la fois un risque (réformation potentielle de la décision favorable rendue) et une opportunité (porter le sujet devant le CEPD si l’autorité chef de file a été trop sévère).

6. Documentation accountability. Toute documentation Art. 30, Art. 28, Art. 32, Art. 35 doit être instantanément alignable sur la doctrine CEPD la plus récente — toute incohérence sera relevée lors d’une instruction nationale ou européenne. La traçabilité documentaire est l’unique défense face à la pluralité d’autorités décisionnaires que mobilise une procédure Art. 64.

Ce qu’il faut retenir

• L’article 64 RGPD organise l’avis du Comité européen de la protection des données dans six cas obligatoires (listes AIPD, codes transnationaux, certification, exigences accréditation, BCR, autorisations Art. 49) et sur demande (Art. 64(2)).
• L’avis Art. 64 est juridiquement consultatif — l’autorité « tient le plus grand compte » — mais quasi-contraignant en pratique : tout écart non motivé expose à la procédure Art. 65(1)©.
• Le délai d’adoption est de huit semaines prolongeable de six semaines, soit jusqu’à quatorze semaines, avec procédure d’objection par défaut.
• Plus de 80 avis Art. 64 ont été adoptés depuis 2018, principalement sur les BCR (Art. 47), les listes AIPD nationales (Art. 35) et les codes de conduite (Art. 40), ainsi que l’Avis 28/2022 ayant validé Europrivacy comme premier sceau européen de certification.
• L’avis Art. 64 du CEPD est le levier d’harmonisation européenne le plus utilisé en volume, complémentaire de la décision contraignante Art. 65 (sept décisions en huit ans).

FAQ

Quelle différence entre un avis Art. 64 et une décision contraignante Art. 65 du CEPD ?

L’avis Art. 64 est juridiquement consultatif : l’autorité de contrôle nationale « tient le plus grand compte » mais conserve la faculté de s’en écarter en motivant. La décision Art. 65 est contraignante au sens littéral — l’autorité chef de file doit la reproduire dans sa décision finale. En pratique, l’écart à un avis Art. 64 déclenche la procédure Art. 65(1)© — ce qui fait de l’avis un instrument quasi-contraignant. Les voies de recours diffèrent également : seule la décision Art. 65 est directement attaquable devant le Tribunal de l’UE au titre de l’article 263 TFUE.

Quels sont les six cas où l’avis Art. 64 est obligatoire ?

L’article 64(1)(a)–(f) liste six cas obligatoires : listes nationales de traitements soumis à AIPD (Art. 35(4) et (5)), codes de conduite transnationaux (Art. 40(7)), critères de certification (Art. 42(5)), exigences d’accréditation des organismes de certification (Art. 43(3)), règles d’entreprise contraignantes ou BCR (Art. 47), et autorisations de transferts au sens de Art. 49(1) troisième alinéa.

L’avis Art. 64 peut-il être attaqué devant la CJUE ?

L’avis Art. 64 n’est pas un acte décisionnel destiné à produire des effets juridiques contraignants au sens de l’article 263 TFUE — il n’est donc pas directement attaquable devant le Tribunal de l’UE. La voie de remise en cause est indirecte : contester la décision nationale qui se fonde sur l’avis devant le juge national au titre de l’article 78, avec éventuel renvoi préjudiciel à la CJUE au titre de l’article 267 TFUE pour interroger la légalité de la doctrine du CEPD.

Combien de temps prend une procédure Art. 64 du début à la fin ?

Le délai légal d’adoption est de huit semaines à compter de la transmission, prolongeable de six semaines en fonction de la complexité (Art. 64(3)). En pratique, le CEPD adopte la majorité de ses avis dans un délai de dix à douze semaines. Pour les BCR, le dossier est typiquement instruit par l’autorité chef de file (CNIL pour la France) pendant douze à dix-huit mois avant la phase Art. 64 — la consultation du CEPD étant l’avant-dernière étape de la procédure.

Que se passe-t-il si une autorité nationale ne suit pas l’avis du CEPD ?

L’article 64(7) impose à l’autorité de communiquer son projet de décision modifié au CEPD dans un délai de deux semaines, en motivant les modifications. Si le CEPD, à la majorité des deux tiers, conteste ce projet modifié, la procédure bascule vers l’article 65 (décision contraignante). Aucune autorité européenne n’a, à ce jour, ouvertement contredit un avis Art. 64 sans s’exposer à cette bascule — ce qui fait de l’avis un instrument quasi-contraignant en pratique.

---

Ce billet fait partie de notre série commentaire article par article du RGPD : article 56 (autorité chef de file), article 58 (pouvoirs de la CNIL), article 60 (coopération chef de file / concernées), article 65 (décision contraignante CEPD), article 77 (réclamation), article 78 (recours contre l’autorité), article 83 (sanctions administratives). Pour une vue d’ensemble du dispositif répressif européen, voir notre analyse sanctions CNIL 2026 et transferts hors UE.

Recevez chaque semaine notre analyse de la conformité RGPD, des décisions CNIL et de l’enforcement européen. S’abonner à la newsletter.