Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Article 92 RGPD : l'exercice de la délégation

Article 92 RGPD : la Commission peut adopter des actes délégués, mais les deux délégations prévues (icônes, certification) n'ont jamais servi.

L’article 92 du RGPD est de ceux qu’on ne lit jamais : un article de pure mécanique institutionnelle, qui n’impose aucune obligation aux entreprises. Et pourtant, c’est lui qui explique pourquoi, huit ans après l’application du règlement, les fameuses « icônes normalisées » censées résumer une politique de confidentialité d’un coup d’œil n’existent toujours pas — et pourquoi la certification RGPD repose sur des lignes directrices du CEPD plutôt que sur un texte de la Commission. Décryptage d’un rouage discret mais révélateur.

Ce que dit l’article 92 du RGPD

L’Art. 92 RGPD s’intitule « Exercice de la délégation » et figure au chapitre X, consacré aux actes délégués et actes d’exécution. Il fixe les conditions dans lesquelles la Commission européenne peut adopter des actes délégués, c’est-à-dire des actes qui complètent ou modifient certains éléments non essentiels du règlement (au sens de l’article 290 du TFUE).

Le texte tient en six paragraphes :

« 1. Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

  1. La délégation de pouvoir visée à l’article 12, paragraphe 8, et à l’article 43, paragraphe 8, est conférée à la Commission pour une durée indéterminée à compter du 24 mai 2016.

  2. La délégation de pouvoir […] peut être révoquée à tout moment par le Parlement européen ou le Conseil. […]

  3. Aussitôt qu’elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

  4. [un acte délégué] n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de trois mois […]. »

Autrement dit, l’article 92 ne crée aucune règle de fond : il encadre un pouvoir. Il répond à une seule question — qui contrôle la Commission lorsqu’elle légifère par délégation, et comment.

Pourquoi un mécanisme de délégation dans le RGPD ?

Le RGPD est un règlement long et détaillé, mais ses rédacteurs savaient que certains aspects techniques évolueraient plus vite que le texte lui-même. Plutôt que de tout figer, ils ont prévu deux soupapes :

  • les actes délégués (Art. 290 TFUE), qui permettent à la Commission de compléter le règlement sur des points précis, sous le contrôle a posteriori du Parlement et du Conseil ;
  • les actes d’exécution (Art. 291 TFUE), qui servent à uniformiser la mise en œuvre et passent par un comité d’États membres — c’est l’objet de l’article 93 du RGPD (procédure de comitologie au sens du règlement (UE) n° 182/2011).

L’article 92 ne concerne que la première catégorie. Et c’est là que se trouve la subtilité : le RGPD n’habilite la Commission à adopter des actes délégués que dans deux cas limitativement énumérés, tous deux rappelés au paragraphe 2.

Les deux seules délégations prévues

Première délégation, l’article 12, paragraphe 8 : la Commission peut préciser les informations à présenter sous forme d’icônes normalisées, ainsi que les procédures régissant leur fourniture. L’idée, posée à l’article 12 du RGPD et reprise au considérant 60, était séduisante : permettre à une personne de saisir d’un coup d’œil, grâce à des pictogrammes harmonisés à l’échelle européenne, ce qu’un responsable de traitement fait de ses données — en complément des mentions des articles 13 et 14 du RGPD.

Seconde délégation, l’article 43, paragraphe 8 : la Commission peut préciser les exigences à prendre en considération pour les mécanismes de certification, dont le cadre général figure aux articles 42 et 43 du RGPD.

Dans les deux cas, la délégation est conférée « pour une durée indéterminée à compter du 24 mai 2016 » — soit la date d’entrée en vigueur du règlement, deux ans avant son application (voir l’article 99 du RGPD).

Le point clé : deux délégations jamais exercées

Voici l’enseignement le plus utile de l’article 92 pour un praticien : à ce jour, la Commission n’a adopté aucun acte délégué sur le fondement de l’article 12(8) ni de l’article 43(8). Les deux habilitations existent depuis 2016 ; elles n’ont jamais été utilisées.

Les conséquences sont très concrètes.

Côté icônes, il n’existe aucun jeu de pictogrammes officiel, harmonisé et opposable au niveau européen. L’article 12(7) autorise toujours un responsable de traitement à accompagner ses mentions d’information d’icônes, mais à titre purement volontaire et sans valeur normalisée. C’est pourquoi, dans mon expérience de conseil, je recommande de ne jamais présenter de pictogrammes maison comme s’ils répondaient à un « standard RGPD » : ce standard n’existe pas, et le faire croire serait trompeur.

Côté certification, l’absence d’acte délégué n’a pas bloqué le dispositif — il s’est simplement construit autrement. Le Comité européen de la protection des données (CEPD) a publié ses lignes directrices 1/2018 sur la certification et les critères d’agrément, et les mécanismes opérationnels reposent aujourd’hui sur des critères de certification approuvés par les autorités ou le CEPD, à l’image du label européen Europrivacy (European Data Protection Seal). La doctrine souple a comblé le vide laissé par l’inaction réglementaire.

Ce contraste illustre une réalité du droit de l’Union : une habilitation n’est qu’une faculté. Quand la Commission ne s’en saisit pas, ce sont les autorités de contrôle et le CEPD qui occupent le terrain par leurs recommandations.

Le contrôle du Parlement et du Conseil

Si la Commission décidait demain d’exercer l’une de ces délégations, l’article 92 organiserait un double garde-fou démocratique.

D’abord, un droit de révocation (Art. 92(3)) : le Parlement européen ou le Conseil peut, à tout moment, mettre fin à la délégation. La révocation prend effet le lendemain de sa publication au Journal officiel et ne remet pas en cause les actes délégués déjà en vigueur.

Ensuite, un droit d’objection (Art. 92(5)) : une fois l’acte adopté et notifié simultanément aux deux colégislateurs (Art. 92(4)), il n’entre en vigueur que si ni le Parlement ni le Conseil ne s’y opposent dans un délai de trois mois — délai prolongeable de trois mois supplémentaires. Aucun acte délégué ne peut donc s’imposer sans laisser aux institutions élues le temps d’y faire obstacle.

Cette architecture distingue nettement l’acte délégué de l’acte d’exécution : le premier est contrôlé en aval par le Parlement et le Conseil ; le second est encadré en amont par un comité d’États membres, selon l’article 93. C’est aussi par voie d’actes d’exécution — et non d’actes délégués — que la Commission adopte les décisions structurantes en matière de transferts internationaux, qu’il s’agisse des décisions d’adéquation de l’article 45 ou des clauses contractuelles types évoquées à l’article 46 du RGPD.

Ce qu’il faut retenir

  • L’article 92 RGPD est un article de procédure : il encadre le pouvoir de la Commission d’adopter des actes délégués, sans créer d’obligation pour les entreprises.
  • Le RGPD ne prévoit que deux délégations : les icônes normalisées (Art. 12(8)) et les exigences de certification (Art. 43(8)), conférées pour une durée indéterminée depuis le 24 mai 2016.
  • Aucune de ces deux délégations n’a été exercée : il n’existe pas d’icônes RGPD officielles, et la certification s’est développée via les lignes directrices du CEPD et des critères approuvés (ex. Europrivacy).
  • En pratique, ne présentez jamais des pictogrammes maison comme un standard européen : ce standard n’a jamais été adopté.
  • L’article 92 (actes délégués, contrôlés par le Parlement et le Conseil) se distingue de l’article 93 (actes d’exécution, encadrés par un comité d’États membres).

FAQ

Qu’est-ce qu’un acte délégué dans le RGPD ?

Un acte délégué est un acte adopté par la Commission européenne pour compléter ou modifier des éléments non essentiels du règlement, sur le fondement d’une habilitation expresse (Art. 290 TFUE). Dans le RGPD, seules deux dispositions prévoient une telle habilitation : l’article 12(8) sur les icônes et l’article 43(8) sur la certification.

La Commission a-t-elle déjà adopté des actes délégués au titre du RGPD ?

Non. À ce jour, la Commission n’a adopté aucun acte délégué sur le fondement de l’article 12(8) ou de l’article 43(8). Les deux délégations existent depuis le 24 mai 2016 mais n’ont jamais été utilisées.

Pourquoi les icônes normalisées du RGPD n’existent-elles pas ?

Parce que l’acte délégué censé les définir, prévu par l’article 12(8), n’a jamais été adopté. L’article 12(7) autorise l’usage volontaire d’icônes, mais aucun jeu de pictogrammes officiel et harmonisé n’a été créé au niveau européen.

Quelle différence entre l’article 92 et l’article 93 du RGPD ?

L’article 92 encadre les actes délégués, contrôlés a posteriori par le Parlement et le Conseil (droits de révocation et d’objection). L’article 93 encadre les actes d’exécution, soumis en amont à un comité d’États membres selon la procédure de comitologie du règlement (UE) n° 182/2011.


Vous suivez l’actualité du RGPD et des régulations numériques européennes ? Recevez nos analyses de conformité chaque semaine : décryptages d’articles, décisions de la CNIL et veille réglementaire, rédigés par un docteur en droit.