Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Article 98 RGPD : réexamen des autres actes de l'Union

Article 98 RGPD : la clause qui a conduit au règlement 2018/1725 sur la protection des données dans les institutions de l'UE. Décryptage.

Le RGPD ne s’applique pas aux institutions européennes elles-mêmes. La Commission, le Parlement, la Cour de justice, Europol : aucun de ces organes n’est soumis au règlement (UE) 2016/679. Surprenant ? C’est pourtant logique, et l’article 98 du RGPD est précisément le texte qui a organisé la mise à niveau de leur propre régime de protection des données.

Ce que dit l’article 98 du RGPD

L’article 98 figure au chapitre XI, parmi les « dispositions finales » du règlement, juste après l’article 97 sur les rapports de la Commission et avant l’article 99 sur l’entrée en vigueur. Il tient en une seule phrase :

« La Commission présente, le cas échéant, des propositions législatives en vue de modifier d’autres actes juridiques de l’Union relatifs à la protection des données à caractère personnel, afin d’assurer une protection uniforme et cohérente des personnes physiques à l’égard du traitement. Cela concerne en particulier les règles relatives à la protection des personnes physiques à l’égard du traitement par les institutions, organes et organismes de l’Union et à la libre circulation de ces données. »

Deux idées s’y logent. D’abord un objectif : assurer une protection uniforme et cohérente dans tout l’ordre juridique de l’Union, et pas seulement dans le périmètre du RGPD. Ensuite une cible prioritaire désignée explicitement : les traitements opérés par les institutions, organes et organismes de l’Union — ce que le jargon bruxellois abrège en « IOOUE ».

C’est donc une disposition programmatique adressée à la Commission européenne, et à elle seule. Elle n’impose aucune obligation aux entreprises, aux DPO ou aux responsables de traitement. Il s’agit d’une feuille de route interne au législateur européen, pas d’une norme de conformité opposable aux acteurs privés.

Pourquoi le RGPD ne s’applique pas aux institutions de l’UE

Le point de départ se trouve à l’article 2(3) du RGPD, qui exclut de son champ d’application les traitements effectués par les institutions et organes de l’Union. Le considérant 17 l’explique : ces traitements relevaient à l’époque du règlement (CE) n° 45/2001, un texte distinct, antérieur, et calé sur l’ancienne directive 95/46/CE.

La raison est juridique autant que politique. En vertu du principe d’attribution des compétences, l’Union légifère pour les États membres mais ne s’applique pas spontanément à elle-même de la même manière. Soumettre les institutions à leurs propres règles suppose un acte spécifique. Le RGPD a donc laissé subsister, le temps de la transition, le règlement 45/2001 — tout en posant, via le considérant 17 et l’article 98, le principe que ce texte « devrait être adapté aux principes et aux règles » du nouveau régime.

Sans l’article 98, on aurait obtenu une asymétrie difficilement défendable : des standards exigeants pour une PME française, et un régime vieilli de quinze ans pour les institutions qui rédigent et appliquent ces standards. L’article 98 est la clause qui interdit ce décalage.

Le résultat concret : le règlement (UE) 2018/1725

L’article 98 n’est pas resté lettre morte. Il a directement nourri l’adoption du règlement (UE) 2018/1725 du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union.

Ce texte a abrogé le règlement (CE) n° 45/2001 ainsi que la décision n° 1247/2002/CE. Il est souvent surnommé « le RGPD des institutions européennes », et la formule est juste : il reprend la même architecture, les mêmes principes (licéité, minimisation, exactitude, sécurité), les mêmes droits des personnes et une logique de responsabilisation (accountability) directement calquée sur le règlement 2016/679. Une entité comme la Commission ou Europol tient ainsi un registre de ses traitements, réalise des analyses d’impact et notifie les violations de données, exactement selon la grammaire du RGPD.

Le règlement 2018/1725 confie la surveillance de ces traitements au Contrôleur européen de la protection des données (CEPD), autorité indépendante chargée de contrôler les institutions de l’Union. Attention au piège terminologique : ce « CEPD »-là, le Contrôleur, ne doit pas être confondu avec le comité européen de la protection des données institué par l’article 68 du RGPD, qui réunit les autorités nationales et que l’on abrège, lui aussi, parfois en « CEPD ». Le Contrôleur surveille les institutions ; le Comité coordonne les CNIL nationales. Deux organes distincts, une abréviation malheureusement commune.

Ce que l’article 98 n’est pas

Dans mon expérience de conseil, l’article 98 prête à trois confusions qu’il vaut la peine de dissiper.

Ce n’est pas la clause de révision du RGPD lui-même. Le réexamen périodique du règlement 2016/679 relève de l’article 97, qui organise les rapports quadriennaux de la Commission. L’article 98 regarde vers l’extérieur — les autres actes de l’Union — quand l’article 97 regarde vers l’intérieur, le RGPD lui-même.

Ce n’est pas une abrogation. L’article 94 abroge la directive 95/46/CE et l’article 95 règle l’articulation avec la directive ePrivacy. L’article 98, lui, n’abroge rien : il invite seulement la Commission à proposer des modifications, le cas échéant. C’est un mandat de proposition, pas une norme d’effet immédiat.

Ce n’est enfin pas une obligation de résultat. La formule « le cas échéant » (where appropriate) laisse à la Commission une marge d’appréciation. L’article 98 ne fixe ni délai ni liste limitative d’actes à réviser. Il dessine une direction — la cohérence de l’écosystème européen de protection des données — sans contraindre le calendrier.

L’article 98 a-t-il encore une portée en 2026 ?

Oui, et elle est même croissante. L’écosystème normatif européen s’est densifié bien au-delà du RGPD : règlement sur l’intelligence artificielle, Data Act, Data Governance Act, directive NIS2, règlement DORA. Chacun de ces textes touche, de près ou de loin, au traitement de données à caractère personnel. La logique de l’article 98 — garantir une protection « uniforme et cohérente » dans l’ensemble des actes de l’Union — devient le fil conducteur d’un chantier permanent d’articulation.

C’est dans cet esprit que la Commission a engagé, fin 2025, son paquet de simplification dit « Digital Omnibus », qui cherche notamment à réduire les frictions entre le RGPD et les réglementations sectorielles plus récentes. La cohérence inter-textes que vise l’article 98 n’est donc pas un objectif théorique : c’est l’un des sujets les plus actifs du droit européen du numérique. Pour les organisations, l’enjeu n’est pas l’article 98 en lui-même, mais la vigilance qu’il appelle : suivre l’évolution coordonnée de textes qui, autrefois isolés, forment désormais un système.

Ce qu’il faut retenir

  • L’article 98 s’adresse à la seule Commission européenne. Il l’invite à proposer, « le cas échéant », des modifications des autres actes de l’Union en matière de protection des données. Aucune obligation pour les entreprises.
  • Le RGPD ne s’applique pas aux institutions de l’UE (article 2(3) et considérant 17). L’article 98 a servi à aligner leur régime propre sur les standards du règlement.
  • Son résultat concret est le règlement (UE) 2018/1725 du 23 octobre 2018, le « RGPD des institutions européennes », qui a abrogé le règlement (CE) n° 45/2001 et confie la surveillance au Contrôleur européen de la protection des données.
  • Ne pas confondre : l’article 98 vise les autres actes de l’Union ; l’article 97 organise le réexamen du RGPD lui-même ; les articles 94 et 95 traitent de l’abrogation et de l’articulation avec d’autres textes.
  • Sa portée est croissante à l’heure de l’IA Act, du Data Act et du Digital Omnibus : la cohérence inter-réglementaire qu’il vise est devenue un chantier permanent.

FAQ

L’article 98 du RGPD crée-t-il une obligation pour les entreprises ?

Non. L’article 98 est une disposition programmatique adressée uniquement à la Commission européenne. Il l’invite à proposer des modifications d’autres actes de l’Union pour assurer la cohérence du droit de la protection des données. Aucune obligation de conformité n’en découle pour les responsables de traitement ou les sous-traitants privés.

Pourquoi le RGPD ne s’applique-t-il pas aux institutions européennes ?

Parce que l’article 2(3) du RGPD les exclut de son champ d’application. À l’époque de l’adoption du règlement, leurs traitements relevaient du règlement (CE) n° 45/2001. L’article 98 et le considérant 17 ont précisément servi à adapter ce régime distinct aux principes du RGPD.

Quel texte a découlé de l’article 98 du RGPD ?

Le règlement (UE) 2018/1725 du 23 octobre 2018, souvent appelé « RGPD des institutions européennes ». Il a abrogé le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE, et soumet les traitements des institutions de l’UE à des règles alignées sur le RGPD, sous le contrôle du Contrôleur européen de la protection des données.

Quelle différence entre l’article 97 et l’article 98 du RGPD ?

L’article 97 organise le réexamen périodique du RGPD lui-même, via les rapports quadriennaux de la Commission. L’article 98 regarde vers l’extérieur : il vise la mise en cohérence des autres actes juridiques de l’Union relatifs à la protection des données. L’un concerne le texte de 2016, l’autre son environnement normatif.


Vous suivez l’évolution du cadre européen de protection des données ? Recevez nos analyses de conformité chaque semaine : décryptages d’articles du RGPD, décisions de la CNIL et veille réglementaire, par un docteur en droit spécialisé.