Article 94 RGPD : abrogation de la directive 95/46/CE
Article 94 RGPD : la directive 95/46/CE est abrogée depuis le 25 mai 2018. Continuité des références, succession du G29 par le CEPD, sort du consentement.
Vous relisez un contrat de sous-traitance signé en 2017, une politique de confidentialité jamais revue, ou une clause type héritée d’un ancien prestataire, et vous tombez sur une référence à « la directive 95/46/CE ». Faut-il tout réécrire en urgence ? La réponse se trouve dans un article que personne ne lit jamais et qui règle pourtant le passage de témoin entre l’ancien droit et le RGPD : l’article 94. Il abroge la directive de 1995, mais organise surtout une continuité juridique qui évite que vingt ans de droit, de jurisprudence et de pratique ne s’effondrent du jour au lendemain. Voici ce qu’il faut comprendre, et les conséquences très concrètes pour vos documents.
Ce que dit l’article 94 du RGPD
L’Art. 94 RGPD s’intitule « Abrogation de la directive 95/46/CE » et tient en deux paragraphes :
« 1. La directive 95/46/CE est abrogée avec effet au 25 mai 2018.
- Les références faites à la directive abrogée s’entendent comme faites au présent règlement. Les références faites au groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué par l’article 29 de la directive 95/46/CE s’entendent comme faites au comité européen de la protection des données institué par le présent règlement. »
Deux idées, donc. L’Art. 94(1) fixe la date de la rupture : le 25 mai 2018, jour où le RGPD est devenu applicable en vertu de l’Art. 99(2), l’ancienne directive cesse de produire ses effets. L’Art. 94(2) organise la continuité : toute référence à l’ancien texte se lit désormais comme une référence au RGPD, et le « groupe de l’article 29 » (le G29) devient juridiquement le Comité européen de la protection des données (CEPD).
C’est une clause de transition classique en droit de l’Union, mais ici elle a des effets pratiques que beaucoup de DPO sous-estiment.
La directive 95/46/CE, brièvement
Adoptée le 24 octobre 1995, la directive 95/46/CE a été le premier socle harmonisé de protection des données en Europe. Comme toute directive, elle devait être transposée par chaque État membre : en France, c’est la loi Informatique et Libertés du 6 janvier 1978, profondément remaniée en 2004, qui en a assuré la transposition.
Ce mécanisme expliquait l’éclatement du droit européen : vingt-huit transpositions nationales, vingt-huit lectures parfois divergentes. Le choix d’un règlement directement applicable en 2016 visait précisément à mettre fin à cette fragmentation. Pour replacer l’article 94 dans son contexte, je renvoie à notre histoire du RGPD, qui retrace ce basculement de la directive vers le règlement.
La clause de continuité : pourquoi vos vieux documents restent valables
C’est l’apport décisif de l’Art. 94(2). Une référence à la directive 95/46/CE dans un contrat, une clause, une mention d’information ou une délibération ancienne n’est pas devenue caduque : elle se lit, par l’effet de la loi, comme une référence au RGPD.
Concrètement :
Un contrat de sous-traitance qui visait « l’article 17 de la directive 95/46/CE » (sécurité des traitements) reste opposable, cette référence devant se comprendre comme renvoyant désormais à l’Art. 32 RGPD. Vous n’avez pas l’obligation de réécrire l’instrument du jour au lendemain, même s’il est évidemment recommandé de mettre les références à jour à la première révision utile — un contrat qui cite encore une directive abrogée envoie un mauvais signal en cas de contrôle.
De même, les avis et lignes directrices adoptés par le G29 ne sont pas effacés. Le 25 mai 2018, le CEPD a formellement endossé un grand nombre de documents du G29 (endorsement 1/2018), qui demeurent une source d’interprétation pertinente tant qu’ils n’ont pas été remplacés par des lignes directrices propres au comité. Lorsqu’une autorité ou un juge s’appuie sur un avis du G29 confirmé par le CEPD, l’Art. 94(2) en fournit la base : le G29 « s’entend comme » le CEPD. Sur le rôle de ce comité, voir notre analyse de l’Art. 68 RGPD.
Le sort des traitements et du consentement antérieurs
L’article 94 doit se lire avec le considérant 171, qui traite des traitements déjà en cours au 25 mai 2018. L’idée directrice : ces traitements devaient être mis en conformité avec le RGPD, mais sans table rase systématique.
Le point le plus utile en pratique concerne le consentement. Le considérant 171 précise que, lorsqu’un traitement était fondé sur un consentement recueilli sous l’empire de la directive, il n’est pas nécessaire de demander à nouveau ce consentement si la manière dont il avait été obtenu satisfait déjà aux conditions du RGPD. Autrement dit, un consentement libre, spécifique, éclairé et univoque recueilli avant mai 2018 reste valable ; un consentement obtenu par cases pré-cochées ou consentement implicite, lui, ne l’est pas et devait être recueilli à nouveau. Pour les critères applicables, voir consentement RGPD valable et, plus largement, les bases légales du RGPD.
Ce mécanisme évite de rejouer toute la collecte historique des consentements, à condition d’avoir d’abord audité leur qualité au regard des standards du règlement.
Ce que l’article 94 n’abroge pas
C’est l’erreur la plus fréquente : croire que le RGPD a tout balayé. L’Art. 94 abroge la seule directive 95/46/CE — pas l’ensemble du droit des données.
D’abord, les directives sectorielles survivent. La directive « ePrivacy » 2002/58/CE, qui régit les cookies et la prospection électronique, reste pleinement applicable ; c’est l’Art. 95 RGPD qui organise sa coexistence avec le règlement, et non son abrogation.
Ensuite, la directive (UE) 2016/680, dite « police-justice », adoptée le même jour que le RGPD, constitue un régime distinct pour les traitements des autorités pénales : elle n’est pas concernée par l’article 94.
Enfin, l’abrogation de la directive 95/46 n’efface pas la jurisprudence rendue sous son empire. Les grands arrêts de la CJUE — Google Spain (C-131/12) sur le déréférencement, par exemple — conservent leur autorité interprétative chaque fois que le RGPD a repris les mêmes notions, comme la définition de la donnée personnelle ou celle de responsable de traitement. La continuité organisée par l’Art. 94(2) joue ici aussi : le droit antérieur n’est pas annulé, il est absorbé.
En France, l’adaptation s’est faite par la loi n° 2018-493 du 20 juin 2018 puis l’ordonnance n° 2018-1125 du 12 décembre 2018, qui ont réécrit la loi Informatique et Libertés pour la mettre en cohérence avec le règlement. La sanction du non-respect relève désormais des montants du RGPD : voir notre guide des sanctions RGPD.
Ce qu’il faut retenir
- L’Art. 94(1) RGPD abroge la directive 95/46/CE avec effet au 25 mai 2018, date d’application du règlement (Art. 99(2)).
- L’Art. 94(2) organise une continuité : toute référence à la directive abrogée se lit comme une référence au RGPD, et le G29 (groupe institué par l’article 29 de la directive) devient juridiquement le CEPD.
- Vos contrats, clauses et mentions citant encore la directive 95/46 ne sont pas caducs ; il est néanmoins recommandé de les actualiser à la première révision.
- Le considérant 171 dispense de recueillir à nouveau un consentement antérieur à mai 2018, à condition qu’il satisfasse déjà aux exigences du RGPD.
- L’article 94 n’abroge ni la directive ePrivacy (Art. 95 RGPD), ni la directive police-justice 2016/680, ni la jurisprudence de la CJUE rendue sous la directive lorsque les notions sont reprises à l’identique.
FAQ
La directive 95/46/CE est-elle encore en vigueur ?
Non. Elle est abrogée depuis le 25 mai 2018 en vertu de l’Art. 94(1) du RGPD. Toute référence qui y est encore faite dans un document doit aujourd’hui se comprendre comme renvoyant au RGPD, par l’effet de l’Art. 94(2).
Dois-je réécrire les contrats qui mentionnent encore la directive 95/46 ?
Ce n’est pas une obligation : la clause de continuité de l’Art. 94(2) rend ces références automatiquement valables comme renvois au RGPD. Il est toutefois recommandé de mettre les références à jour à la prochaine révision, car un document citant une directive abrogée fragilise votre image de conformité lors d’un contrôle.
Faut-il recueillir à nouveau les consentements obtenus avant le 25 mai 2018 ?
Pas systématiquement. Le considérant 171 précise qu’un consentement antérieur reste valable s’il a été recueilli dans des conditions déjà conformes au RGPD (libre, spécifique, éclairé et univoque). À l’inverse, un consentement obtenu par case pré-cochée ou de façon implicite devait être recollecté.
Quelle différence entre le G29 et le CEPD ?
Le G29 (groupe de l’article 29) était l’organe consultatif réunissant les autorités de contrôle sous la directive 95/46/CE. Depuis le 25 mai 2018, l’Art. 94(2) prévoit que ses références s’entendent comme visant le Comité européen de la protection des données (CEPD), qui lui succède avec des pouvoirs renforcés au titre de l’Art. 68 et suivants du RGPD.