Article 93 RGPD : le comité et les actes d'exécution
Article 93 RGPD : la procédure de comité (comitologie) d'où naissent les décisions d'adéquation et les clauses contractuelles types.
Les clauses contractuelles types que vous insérez dans vos contrats de transfert, la décision qui reconnaît le Royaume-Uni comme « adéquat », le cadre EU-US Data Privacy Framework : tous ces textes que vous utilisez au quotidien ont un point commun. Ils sont nés de l’article 93 du RGPD — un article de trois phrases que personne ne lit, mais qui décide qui contrôle la Commission lorsqu’elle adopte les actes les plus structurants du droit des données. Décryptage d’un rouage procédural plus important qu’il n’en a l’air.
Ce que dit l’article 93 du RGPD
L’Art. 93 RGPD s’intitule sobrement « Comité ». Il clôt le chapitre X du règlement, consacré aux actes délégués et aux actes d’exécution, et tient en trois paragraphes :
« 1. La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) n° 182/2011.
Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) n° 182/2011 s’applique.
Lorsqu’il est fait référence au présent paragraphe, l’article 8 du règlement (UE) n° 182/2011, en liaison avec l’article 5 de celui-ci, s’applique. »
À première lecture, c’est du droit institutionnel à l’état pur : aucune obligation pour les entreprises, aucune règle de fond. Mais cet article répond à une question décisive : lorsque la Commission adopte des actes d’exécution (au sens de l’article 291 du TFUE) pour uniformiser la mise en œuvre du RGPD, qui la surveille — et selon quelle procédure ?
La réponse tient en un mot : la comitologie. La Commission ne légifère pas seule. Elle est encadrée par un comité composé de représentants des vingt-sept États membres, dont elle assure la présidence sans droit de vote, selon les règles fixées par le règlement (UE) n° 182/2011 du 16 février 2011 — le texte général qui régit l’exercice des compétences d’exécution de la Commission dans toute l’Union.
Attention : ce comité n’est pas le CEPD
C’est la confusion la plus fréquente, et il faut l’évacuer d’emblée. Le « comité » de l’article 93 n’a rien à voir avec le Comité européen de la protection des données (CEPD), institué par l’article 68 du RGPD.
Deux organes, deux logiques opposées. Le CEPD réunit les autorités de contrôle indépendantes (la CNIL pour la France et ses homologues), il produit la doctrine interprétative et tranche les litiges entre régulateurs. Le comité de l’article 93, lui, réunit des représentants des gouvernements des États membres : c’est un organe politique de contrôle de la Commission, pas une instance de protection des données. L’un incarne l’indépendance des régulateurs ; l’autre, le droit de regard des États sur l’exécutif européen.
Retenir cette distinction évite bien des contresens lorsqu’on lit une décision d’exécution de la Commission : la mention « conformément à la procédure d’examen visée à l’article 93, paragraphe 2 » renvoie au comité des États membres, jamais au CEPD.
La procédure d’examen (Art. 93(2))
Le paragraphe 2 renvoie à l’article 5 du règlement 182/2011, c’est-à-dire à la procédure d’examen — la plus exigeante des deux procédures de comitologie, réservée aux actes de portée générale et aux mesures ayant des implications importantes. C’est elle qui s’applique à la quasi-totalité des actes d’exécution du RGPD.
Son mécanisme est le suivant. La Commission soumet un projet d’acte au comité, qui rend un avis à la majorité qualifiée (au sens des articles 16 du TUE et 238 du TFUE : 55 % des États représentant 65 % de la population de l’Union). Trois issues sont possibles :
- avis favorable : la Commission adopte l’acte ;
- avis défavorable : la Commission ne peut pas adopter l’acte en l’état. Elle peut soumettre une version modifiée, ou saisir un comité d’appel pour une nouvelle délibération ;
- absence d’avis : la Commission peut en principe adopter l’acte, sauf exceptions prévues par le règlement 182/2011.
Le Parlement européen et le Conseil conservent par ailleurs un droit de regard (article 11 du règlement 182/2011) : ils peuvent indiquer à tout moment qu’un projet d’acte excède les compétences d’exécution conférées à la Commission. Le contrôle démocratique n’est donc pas absent — il est simplement organisé en amont, par les États, là où l’article 92 du RGPD confiait le contrôle des actes délégués au Parlement et au Conseil en aval.
La procédure d’urgence (Art. 93(3))
Le paragraphe 3 renvoie à l’article 8 du règlement 182/2011 : c’est la procédure des actes d’exécution immédiatement applicables. Lorsque des raisons d’urgence impérieuses l’imposent, la Commission peut adopter un acte avant toute consultation du comité, l’acte produisant immédiatement ses effets. Le comité est alors consulté a posteriori, et l’acte ne peut rester en vigueur que pour une durée limitée (six mois au maximum).
Cette soupape n’est pas théorique. Elle est précisément l’instrument qui permettrait à la Commission de suspendre ou abroger en urgence une décision d’adéquation devenue intenable — un scénario tout sauf hypothétique depuis les arrêts Schrems I et Schrems II de la Cour de justice, qui ont invalidé successivement le Safe Harbor puis le Privacy Shield. L’article 45(5) du RGPD prévoit d’ailleurs que l’abrogation d’une décision d’adéquation passe, lorsque l’urgence le justifie, par cette procédure de l’article 93(3).
Quels actes passent réellement par l’article 93 ?
C’est ici que l’article 93 cesse d’être abstrait. Les textes qui structurent votre conformité au quotidien sont, pour beaucoup, des actes d’exécution adoptés selon la procédure d’examen de l’article 93(2). Parmi les plus importants :
- les décisions d’adéquation (Art. 45(3)) : ce sont des actes d’exécution. C’est le cas de la décision sur le Japon (2019), du Royaume-Uni (juin 2021), de la Corée du Sud (décembre 2021) et de la décision d’exécution (UE) 2023/1795 du 10 juillet 2023 instaurant le EU-US Data Privacy Framework ;
- les clauses contractuelles types : la décision d’exécution (UE) 2021/914 du 4 juin 2021 — celle qui régit aujourd’hui la plupart de vos transferts hors UE — a été adoptée par cette voie, de même que les clauses entre responsables et sous-traitants prévues à l’article 28 du RGPD (Art. 28(7)) ;
- les normes techniques de certification (article 43 du RGPD, § 9) ;
- les formats d’échange d’informations entre autorités de contrôle et avec le comité, prévus à l’article 67 du RGPD, à l’origine de l’extension du système IMI au RGPD (décision d’exécution (UE) 2018/743).
Autrement dit, lorsque vous fondez un transfert sur les clauses types évoquées à l’article 46 du RGPD ou sur une décision d’adéquation listée par l’article 45 du RGPD, vous appliquez un texte qui doit son existence — et sa validité juridique — au respect de la procédure de l’article 93.
Pourquoi cela intéresse un praticien
On pourrait croire qu’un article de comitologie ne concerne que les juristes de Bruxelles. Dans mon expérience de conseil, trois enseignements pratiques en découlent pourtant directement.
D’abord, la stabilité relative de ces textes : un acte d’exécution adopté à la majorité qualifiée des États membres ne se modifie pas du jour au lendemain. Les clauses contractuelles types de 2021 ou les décisions d’adéquation sont des points d’appui solides pour construire une stratégie de transfert.
Ensuite, leur fragilité côté adéquation : la procédure d’urgence de l’article 93(3) rappelle qu’une décision d’adéquation peut être suspendue rapidement. Une cartographie de transferts prudente prévoit toujours un mécanisme de repli (clauses types, garanties de l’article 46) au cas où une décision viendrait à tomber.
Enfin, la lecture correcte des sources : savoir qu’une décision de la Commission est un acte d’exécution validé par le comité des États membres — et non un texte du CEPD ni un acte délégué de l’article 92 du RGPD — permet de comprendre sa portée, sa hiérarchie normative et les conditions de sa remise en cause.
Ce qu’il faut retenir
- L’article 93 RGPD est un article de procédure : il institue le comité de comitologie qui encadre la Commission lorsqu’elle adopte des actes d’exécution (Art. 291 TFUE).
- Ce comité réunit des représentants des gouvernements des 27 États membres. Il ne faut pas le confondre avec le CEPD (Art. 68), qui réunit les autorités de contrôle indépendantes.
- L’article 93(2) renvoie à la procédure d’examen (avis du comité à la majorité qualifiée), l’article 93(3) à la procédure d’urgence (actes immédiatement applicables, durée limitée).
- Les décisions d’adéquation (Art. 45) et les clauses contractuelles types (décision 2021/914, Art. 28(7), Art. 46) sont des actes d’exécution adoptés par cette voie.
- Pour un praticien, l’article 93 explique la solidité de ces textes — mais aussi la possibilité de suspendre en urgence une décision d’adéquation.
FAQ
Quelle est la différence entre l’article 92 et l’article 93 du RGPD ?
L’article 92 encadre les actes délégués (Art. 290 TFUE), contrôlés a posteriori par le Parlement et le Conseil. L’article 93 encadre les actes d’exécution (Art. 291 TFUE), soumis en amont à un comité de représentants des États membres selon la procédure de comitologie du règlement (UE) n° 182/2011.
Le comité de l’article 93 est-il le CEPD ?
Non. Le comité de l’article 93 réunit des représentants des gouvernements des États membres pour contrôler la Commission. Le CEPD, institué par l’article 68, réunit les autorités de contrôle indépendantes (la CNIL et ses homologues) et produit la doctrine interprétative. Ce sont deux organes distincts aux fonctions opposées.
Les clauses contractuelles types relèvent-elles de l’article 93 ?
Oui. Les clauses contractuelles types adoptées par la décision d’exécution (UE) 2021/914 du 4 juin 2021, comme les décisions d’adéquation de l’article 45, sont des actes d’exécution adoptés conformément à la procédure d’examen visée à l’article 93, paragraphe 2.
Que permet la procédure d’urgence de l’article 93(3) ?
Elle autorise la Commission à adopter un acte d’exécution immédiatement applicable, avant consultation du comité, lorsque l’urgence l’impose. L’acte est ensuite réexaminé et ne reste en vigueur que pour une durée limitée. C’est notamment l’instrument permettant d’abroger en urgence une décision d’adéquation (Art. 45(5)).
Vous suivez l’actualité du RGPD et des régulations numériques européennes ? Recevez nos analyses de conformité chaque semaine : décryptages d’articles, décisions de la CNIL et veille réglementaire, rédigés par un docteur en droit.