Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 3 juin 2026
Accueil/RGPD/Article 73 RGPD : la présidence du CEPD décryptée
RGPD

Article 73 RGPD : la présidence du CEPD décryptée

Article 73 RGPD : élection du président et des vice-présidents du CEPD à la majorité simple, mandat de cinq ans renouvelable une fois.

Par Thiebaut DevergrannePublie le 3 juin 2026Mis a jour le 3 juin 20267 min de lecture
Sommaire
  1. Ce que dit l’article 73 du RGPD
  2. Une élection à la majorité simple
  3. Un mandat de cinq ans, renouvelable une seule fois
  4. Le rôle du président : ce que l’article 73 n’explicite pas
  5. Pourquoi l’article 73 intéresse une entreprise
  6. Ce qu’il faut retenir
  7. FAQ

Quand une décision contraignante du Comité européen de la protection des données (CEPD) valide une amende de plusieurs centaines de millions d’euros, une signature figure au bas du texte : celle de son président. Qui élit cette personne ? Pour combien de temps ? Et quel poids réel attacher à cette fonction ? L’article 73 du RGPD répond en deux paragraphes très brefs, souvent survolés. Ils organisent pourtant la direction de l’institution qui structure toute la doctrine européenne en matière de données personnelles. Voici ce qu’il faut comprendre.

Ce que dit l’article 73 du RGPD

L’article 73 est l’une des dispositions les plus courtes du chapitre VII, mais elle installe la direction du comité.

L’article 73(1) pose la règle d’élection : « Le comité élit un président et deux vice-présidents en son sein à la majorité simple. » Trois fonctions sont donc créées — un président et deux vice-présidents —, et toutes trois sont pourvues par les membres du comité eux-mêmes, c’est-à-dire les responsables des autorités de contrôle nationales et le Contrôleur européen de la protection des données, selon la composition fixée par l’article 68.

L’article 73(2) fixe la durée du mandat : « Le mandat du président et des vice-présidents est de cinq ans et est renouvelable une fois. » Une présidence ne peut donc, au maximum, durer que dix ans. Au-delà, le renouvellement n’est plus possible, ce qui garantit une rotation à la tête de l’institution.

Une élection à la majorité simple

Le choix de la majorité simple pour élire le président mérite d’être souligné. Le RGPD réserve la majorité renforcée des deux tiers à certaines décisions lourdes — les décisions contraignantes de l’article 65 ou l’adoption du règlement intérieur prévue par l’article 72. L’élection de la présidence relève, elle, du régime de droit commun : la moitié des voix plus une suffit.

Ce seuil n’a rien d’anodin. En réunissant vingt-sept autorités nationales aux sensibilités parfois divergentes, l’élection à la majorité simple permet de dégager une direction sans imposer le blocage qu’aurait pu produire l’exigence d’un consensus très large. L’illustration la plus récente le montre bien : le 25 mai 2023, Anu Talus, alors médiatrice finlandaise à la protection des données, a été élue présidente du CEPD avec dix-neuf voix sur vingt-sept, à l’issue d’un second tour. Deux vice-présidentes et vice-présidents l’accompagnent — fonctions occupées depuis par Irene Loizidou Nikolaidou, de l’autorité chypriote, et Zdravko Vukić, de l’autorité croate.

L’élection se déroule selon les modalités précisées par le règlement intérieur du comité, que celui-ci a adopté sur le fondement de l’article 72(2). C’est ce texte interne qui détaille la procédure de candidature, le déroulement des tours de scrutin et les règles de départage.

Un mandat de cinq ans, renouvelable une seule fois

L’article 73(2) calque la durée du mandat de la présidence sur le rythme quinquennal qui structure l’ensemble du dispositif. Cinq ans, renouvelables une fois : la symétrie avec d’autres durées du RGPD n’est pas fortuite. Elle traduit un équilibre entre deux exigences contradictoires.

D’un côté, la stabilité. Diriger un organe qui produit des lignes directrices, rend des avis dans le cadre du mécanisme de cohérence et tranche des litiges entre autorités suppose une continuité dans l’action. Un mandat trop court fragiliserait la cohérence de la doctrine européenne que le comité a précisément pour mission de bâtir au titre de l’article 70.

De l’autre, le renouvellement. Plafonner à deux mandats consécutifs — soit dix ans au maximum — évite la concentration durable du pouvoir entre les mêmes mains et préserve la diversité des autorités appelées à diriger l’institution. Cette limite participe, à sa manière, de l’indépendance du comité : une présidence qui sait son mandat borné dans le temps exerce ses fonctions sans logique de pérennisation personnelle.

Le rôle du président : ce que l’article 73 n’explicite pas

L’article 73 crée la fonction de président mais n’en décrit pas les attributions. Celles-ci figurent à l’article 74, qui confie au président la convocation des réunions du comité, la préparation de l’ordre du jour, la notification des décisions du comité à l’autorité chef de file et aux autorités concernées, ainsi que la garantie de l’accomplissement des missions du comité dans les délais. Le président est, autrement dit, la cheville ouvrière du fonctionnement quotidien de l’institution.

Dans la pratique, c’est le président qui incarne le comité dans ses relations avec les institutions de l’Union, qui signe ses prises de position publiques et qui assure la liaison avec le secrétariat — assuré par le Contrôleur européen de la protection des données. C’est aussi sous l’autorité du président que sont rendus publics les avis, recommandations et lignes directrices, ainsi que le rapport annuel d’activité du comité.

Il faut toutefois se garder d’une lecture présidentialiste. Le CEPD reste un organe collégial : le président ne décide pas seul. Les décisions sont adoptées par les membres réunis en plénière, selon les règles de majorité de l’article 72. Le président oriente, prépare et exécute ; il ne se substitue pas au collège.

Pourquoi l’article 73 intéresse une entreprise

On pourrait croire ces règles d’élection réservées au fonctionnement interne des autorités. Dans mon expérience de conseil, elles éclairent pourtant la lecture de l’actualité réglementaire que toute organisation exposée au RGPD a intérêt à suivre.

D’abord, parce que la présidence donne une impulsion thématique. Les priorités affichées par le président en début de mandat — coopération renforcée dans les dossiers transfrontaliers, encadrement de l’intelligence artificielle, traitements à grande échelle — annoncent souvent les sujets sur lesquels le comité publiera des lignes directrices dans les mois qui suivent. Anticiper ces orientations, c’est se donner une longueur d’avance sur les futures attentes de mise en conformité.

Ensuite, parce que les prises de position signées par la présidence font autorité. Lorsqu’un texte du comité oriente l’interprétation d’une obligation — par exemple les modalités de coopération de l’article 60 ou les bases de légalité d’un traitement —, il devient une référence que les autorités nationales, dont la CNIL, appliquent dans leurs contrôles. Suivre qui dirige le comité et quelles orientations il porte fait partie d’une veille de conformité structurée — exactement le type de signal que des outils comme Legiscope permettent de relier automatiquement à ses propres traitements.

Ce qu’il faut retenir

  • L’article 73 RGPD organise la présidence du Comité européen de la protection des données (CEPD) : un président et deux vice-présidents, élus par les membres du comité (art. 73(1)).
  • L’élection se fait à la majorité simple, et non aux deux tiers exigés pour les décisions contraignantes ou le règlement intérieur (article 72).
  • Le mandat est de cinq ans, renouvelable une seule fois (art. 73(2)) : dix ans au maximum, ce qui garantit la rotation à la tête de l’institution.
  • L’actuelle présidente est Anu Talus, élue le 25 mai 2023 avec dix-neuf voix sur vingt-sept ; les attributions du président sont précisées à l’article 74.
  • Pour une entreprise, suivre la présidence du comité aide à anticiper les futures lignes directrices et à pondérer la portée des prises de position européennes.

FAQ

Qui élit le président du CEPD selon l’article 73 ?

Les membres du comité eux-mêmes, c’est-à-dire les responsables des autorités de contrôle nationales et le Contrôleur européen de la protection des données, selon la composition de l’article 68. L’élection se fait à la majorité simple et porte sur un président et deux vice-présidents.

Quelle est la durée du mandat du président du CEPD ?

Cinq ans, renouvelable une seule fois (art. 73(2)), soit dix ans au maximum. Cette limite assure la rotation à la tête du comité et préserve la diversité des autorités appelées à le diriger.

Qui préside actuellement le Comité européen de la protection des données ?

Anu Talus, ancienne médiatrice finlandaise à la protection des données, élue présidente le 25 mai 2023 avec dix-neuf voix sur vingt-sept. Elle est accompagnée de deux vice-présidents issus des autorités chypriote et croate.

L’article 73 décrit-il les pouvoirs du président du CEPD ?

Non. L’article 73 crée seulement la fonction et fixe les règles d’élection et de durée du mandat. Les attributions du président — convocation des réunions, ordre du jour, notification des décisions, respect des délais — figurent à l’article 74. Le CEPD demeure un organe collégial dont les décisions sont prises par les membres selon les règles de majorité de l’article 72.

Articles lies

RGPD

Article 72 RGPD : la procédure du CEPD décryptée

3 juin 2026 · 8 min
RGPD

Microsoft 365 Copilot et RGPD : guide DPO 2026

3 juin 2026 · 11 min
RGPD

Modèle de réponse à une demande de droit d'accès RGPD (2026)

3 juin 2026 · 13 min