This document is an excerpt from the EUR-Lex website
Document 32026Q00199
Decision 01/2026 of the European Data Protection Supervisor of 16 January 2026 adopting the rules on the application of the requirement of prior consent by the EDPS for the dismissal of Data Protection Officers [2026/199]
Décision 01/2026 du Contrôleur européen de la protection des données du 16 janvier 2026 portant adoption des règles relatives à l’application de l’exigence du consentement préalable du CEPD en vue du relèvement des délégués à la protection des données de leurs fonctions [2026/199]
Décision 01/2026 du Contrôleur européen de la protection des données du 16 janvier 2026 portant adoption des règles relatives à l’application de l’exigence du consentement préalable du CEPD en vue du relèvement des délégués à la protection des données de leurs fonctions [2026/199]
JO L, 2026/199, 29.1.2026, ELI: http://data.europa.eu/eli/proc_rules/2026/199/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Journal officiel |
FR Série L |
|
2026/199 |
29.1.2026 |
DÉCISION 01/2026 DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES
du 16 janvier 2026
portant adoption des règles relatives à l’application de l’exigence du consentement préalable du CEPD en vue du relèvement des délégués à la protection des données de leurs fonctions [2026/199]
LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1) (le «règlement» ou «RPDUE»), et notamment son article 44, paragraphe 8, et son article 58, paragraphe 1, point a),
vu le règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (2) (règlement Europol), et notamment son article 41 bis, paragraphe 8, son article 43, paragraphe 1, et son article 43, paragraphe 4, point a),
vu le règlement (UE) 2018/1727 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) et remplaçant et abrogeant la décision 2002/187/JAI du Conseil (3), et notamment son article 36, paragraphe 4, et son article 40, paragraphes 1 et 4,
vu le règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (le «Parquet européen») (4) (règlement relatif au Parquet européen), et notamment son article 48, paragraphe 1, son article 77, paragraphe 4, et son article 85, paragraphes 1 et 4,
considérant ce qui suit:
|
(1) |
Le traité sur le fonctionnement de l’Union européenne prévoit que le respect des règles relatives à la protection des données à caractère personnel traitées par les institutions, organes et organismes de l’Union (les «institutions et organes de l’Union») est soumis au contrôle d’une autorité indépendante. |
|
(2) |
Le règlement (UE) 2018/1725 a institué le Contrôleur européen de la protection des données (CEPD), qui est chargé de veiller à ce que les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données, soient respectés par les institutions et organes de l’Union. À cet effet, le CEPD contrôle et assure l’application dudit règlement par ces institutions et organes de l’Union. |
|
(3) |
Le règlement prévoit la désignation obligatoire d’un délégué à la protection des données (DPD) au sein de chaque institution, organe et organisme de l’Union. Cette désignation obligatoire est également prévue par les règlements (UE) 2016/794, (UE) 2018/1727 et (UE) 2017/1939. |
|
(4) |
Compte tenu du rôle essentiel que jouent les DPD en conseillant le responsable du traitement et en contrôlant l’application des règles régissant le traitement des données à caractère personnel, il est primordial qu’ils restent aptes à accomplir leurs tâches de manière efficace et indépendante, quelles que soient les circonstances. Il en va de même en ce qui concerne le traitement des données administratives à caractère personnel relatives au fonctionnement interne des institutions et organes de l’Union, ainsi qu’en ce qui concerne les données opérationnelles à caractère personnel traitées dans le cadre de l’exécution des missions des institutions et organes de l’Union, lorsqu’il s’agit d’activités qui relèvent de la troisième partie, titre V, chapitre 4 ou 5, du TFUE, afin de remplir les objectifs et tâches prévus dans les actes juridiques qui instituent ces organes ou organismes. La capacité du DPD à fournir des conseils impartiaux, à contrôler la conformité et à servir de point de contact aux personnes concernées et au CEPD doit par conséquent être adéquatement préservée et soutenue. |
|
(5) |
L’indépendance du DPD est une garantie structurelle essentielle pour assurer le respect des dispositions applicables en matière de protection des données et lui permettre d’exercer ses fonctions statutaires sans crainte de représailles. La protection de l’indépendance du DPD constitue une condition préalable à la mise en place d’un cadre de gouvernance efficace en matière de protection des données au sein des institutions et organes de l’Union et une garantie importante pour les droits fondamentaux des personnes au titre des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne. |
|
(6) |
À cette fin, le règlement prévoit qu’un DPD désigné ne peut être relevé de ses fonctions que s’il ne remplit plus les conditions requises pour exercer ses fonctions et uniquement avec le consentement préalable du CEPD. En outre, le règlement dispose qu’un DPD ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Des exigences équivalentes s’appliquent aux DPD d’Europol, d’Eurojust et du Parquet européen en vertu de leurs cadres juridiques respectifs. La Cour de justice a également précisé que l’interdiction faite au responsable du traitement ou au sous-traitant de relever un délégué à la protection des données de ses fonctions ou de le pénaliser signifie que ce délégué doit être protégé contre toute décision par laquelle il serait mis fin à ses fonctions, par laquelle il subirait un désavantage ou qui constituerait une sanction (5). |
|
(7) |
Toute intention de relever un DPD de ses fonctions doit dès lors être soumis à une procédure claire, prévisible et équitable permettant au CEPD de vérifier si les conditions légales sont remplies, et en particulier si le relèvement de fonctions envisagé est fondé sur des motifs objectifs qui ne portent pas atteinte à l’indépendance ou à l’exercice effectif des tâches du DPD. |
|
(8) |
À la lumière de l’expérience acquise par le CEPD en ce qui concerne l’application des dispositions relatives aux DPD, et en particulier afin de garantir l’application cohérente de l’exigence de consentement préalable du CEPD pour le relèvement des DPD de leurs fonctions dans l’ensemble des institutions et organes de l’Union, et d’éviter tout contournement de l’obligation de consentement préalable du CEPD, il convient de définir à l’avance, de manière claire et prévisible, pour l’ensemble des institutions et organes de l’Union, les informations à fournir pour permettre au CEPD d’accomplir sa mission. |
|
(9) |
Par souci de sécurité juridique, le CEPD doit également préciser comment le droit d’être entendu du DPD concerné et de l’institution ou de l’organe de l’Union doit être garanti et doit également préciser les conditions selon lesquelles il accordera ou refusera son consentement. |
|
(10) |
Il convient également de préciser comment le CEPD garantira une intervention rapide lorsque l’indépendance du DPD concerné est susceptible d’être exposée à un risque imminent, par exemple dans des situations caractérisées par d’éventuelles mesures de rétorsion, des menaces de relèvement de fonctions ou d’autres circonstances nécessitant une action immédiate du CEPD dans l’intérêt public et dans l’intérêt du DPD concerné. Le cas échéant, l’importance de faire en sorte que le consentement soit correctement demandé et de garantir ainsi la légalité du relèvement de fonctions justifie l’exercice rapide des pouvoirs du CEPD, sans préjudice de toute voie de recours juridique disponible. |
|
(11) |
Il convient par conséquent de définir, dans un instrument unique, les informations que les institutions, organes et organismes de l’UE doivent fournir au CEPD afin d’évaluer les demandes de consentement préalable au relèvement des DPD de leurs fonctions, ainsi que les règles régissant la présentation et l’examen de ces demandes, les délais applicables, les exigences en matière de transparence et de publication, et les mesures correctrices généralement appliquées en cas de non-respect, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Les règles relatives à l’application de l’exigence de consentement préalable du CEPD en vue du relèvement des délégués à la protection des données de leurs fonctions sont définies dans l’annexe de la présente décision.
Article 2
Ces règles s’appliquent à l’ensemble des institutions et organes de l’Union relevant de la compétence de contrôle dont est investi le CEPD.
Article 3
La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Bruxelles, le 16 janvier 2026.
Pour le CEPD
Wojciech Rafał WIEWIÓROWSKI
Contrôleur européen de la protection des données
(1) JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.
(2) JO L 135 du 24.5.2016, p. 53, ELI: http://data.europa.eu/eli/reg/2016/794/oj.
(3) JO L 295 du 21.11.2018, p. 138, ELI: http://data.europa.eu/eli/reg/2018/1727/oj.
(4) JO L 283 du 31.10.2017, p. 1, ELI: http://data.europa.eu/eli/reg/2017/1939/oj.
(5) Arrêt de la Cour du 22 juin 2022, C-534/20, Leistritz AG, ECLI:EU:C:2022:495, point 21.
ANNEXE
Règles relatives à l’application de l’exigence de consentement préalable du CEPD en vue du relèvement des délégués à la protection des données de leurs fonctions
1. Objet et champ d’application
|
1.1. |
La présente procédure régit les modalités selon lesquelles une institution, un organe ou un organisme de l’Union (l’«institution ou organe de l’UE») peut obtenir le consentement préalable du Contrôleur européen de la protection des données (le «CEPD») avant de relever de ses fonctions son délégué à la protection des données désigné (le «DPD concerné»), conformément à l’article 44, paragraphe 8, du règlement (UE) 2018/1725 (le «RPDUE»). |
|
1.2. |
La présente procédure s’applique également:
|
|
1.3. |
Le terme «relèvement de fonctions» fait référence à une décision administrative officielle prise par l’institution ou l’organe de l’UE visant à mettre fin au mandat du DPD avant son échéance normale, telle que prévue dans la décision de désignation du DPD, prise à l’initiative de l’institution ou de l’organe de l’UE et non du DPD. |
|
1.4. |
La présente procédure s’applique à tout acte ou à toute décision d’une institution ou d’un organe de l’UE qui relève le DPD désigné de ses fonctions, que la relation de travail sous-jacente se poursuive ou non. |
2. Obligation de solliciter le consentement du CEPD
|
2.1. |
Lorsqu’une institution ou un organe de l’UE a l’intention de relever son DPD de ses fonctions, il ou elle sollicite sans délai le consentement préalable du CEPD en vue du relèvement de fonctions envisagé (la «demande»). L’institution ou l’organe de l’UE informe le DPD concerné de l’introduction de la demande. |
|
2.2. |
L’institution ou l’organe de l’UE soumet la demande au CEPD par courrier électronique chiffré (supervision@edps.europa.eu) ou par tout autre canal de communication sécurisé convenu avec le CEPD. |
|
2.3. |
La demande doit être complète et contenir toutes les informations nécessaires pour permettre au CEPD d’évaluer si les conditions requises pour l’octroi de son consentement sont remplies. La demande contient au minimum:
|
|
2.4. |
Le cas échéant, la demande contient également tout élément de preuve démontrant que le relèvement de fonctions envisagé ne constitue pas une pénalisation du DPD pour l’exercice de ses missions, conformément à l’article 44, paragraphe 3, du RPDUE. |
|
2.5. |
Si la demande ne satisfait pas à l’une des exigences énoncées aux points 2.2 et 2.3, le CEPD adresse une mise en demeure de se conformer à ces dispositions dans un délai déterminé. |
|
2.6. |
Si l’institution ou l’organe de l’UE ne procède pas à la régularisation de la demande dans le délai prévu au point 2.5, le CEPD considère la demande comme formellement irrecevable et refuse de donner son consentement. |
|
2.7. |
Dès lors qu’une demande complète a été déposée, le CEPD ne tient pas compte des soumissions ultérieures des institutions ou organes de l’UE concernés. |
|
2.8. |
Par dérogation au point 2.7, le CEPD peut tenir compte des soumissions postérieures à la demande présentée conformément au point 2.3 lorsque celles-ci contiennent:
|
3. Droit d’être entendu
|
3.1. |
Le CEPD peut solliciter des informations complémentaires auprès de l’institution ou de l’organe de l’UE et du DPD concernés et fixe un délai de réponse par écrit. L’institution ou l’organe de l’UE et le DPD concernés coopèrent pleinement et dans les délais fixés par le CEPD. |
|
3.2. |
Avant de se prononcer sur son consentement, le CEPD donne au DPD concerné la possibilité d’être entendu en lui communiquant la décision envisagée, ainsi qu’un résumé des motifs justifiant cette décision. |
|
3.3. |
Avant de se prononcer sur son consentement, le CEPD peut donner à l’institution ou à l’organe de l’UE concerné(e) la possibilité d’être entendu(e) sur demande motivée détaillant les raisons pour lesquelles les informations présentées au titre de la section 2 ne sont pas suffisantes pour présenter le point de vue de l’institution ou de l’organe de l’UE concerné(e). |
|
3.4. |
Le CEPD peut organiser une audition de sa propre initiative ou sur demande motivée de l’institution ou de l’organe de l’UE ou du DPD concerné(e), accompagnée d’observations écrites détaillées. |
|
3.5. |
Après avoir évalué l’exhaustivité des soumissions écrites et l’utilité d’une audition orale pour établir les faits pertinents, le CEPD peut refuser une audition lorsqu’il estime que l’institution ou l’organe de l’UE ou le DPD concerné(e) a déjà été en mesure de présenter tous les faits pertinents, ou lorsque leurs points de vue peuvent être ou ont été présentés efficacement par écrit. |
|
3.6. |
Lorsqu’une audition est organisée, la décision du CEPD du 27 septembre 2023 relative aux règles applicables aux auditions dans le cadre des enquêtes du CEPD (4) s’applique par analogie. |
4. Conditions à évaluer par le CEPD
|
4.1. |
Le CEPD évalue si, au moment de la demande, le DPD concerné ne remplit plus les conditions requises en vue de l’exercice de ses fonctions, notamment en ce qui concerne les éléments suivants:
|
|
4.2. |
Le cas échéant, le CEPD prend également en considération les motifs sans rapport avec l’exercice des fonctions du DPD que l’institution ou l’organe de l’UE peut invoquer pour justifier le relèvement de fonctions envisagé. |
5. Décision sur le consentement
|
5.1. |
Lorsque le CEPD constate que le DPD concerné ne remplit plus les conditions requises pour exercer ses fonctions, il accorde son consentement au relèvement de fonctions envisagé. Lorsque le CEPD constate que le DPD concerné continue de remplir les conditions requises pour exercer ses fonctions, il refuse de donner son consentement au relèvement de fonctions envisagé. |
|
5.2. |
Le CEPD donne également son consentement au relèvement de fonctions envisagé lorsqu’il est convaincu que l’institution ou l’organe de l’UE démontre des motifs objectifs et proportionnés, sans rapport avec l’exercice des fonctions de DPD, qui ne compromettent pas directement ou indirectement l’indépendance et l’exécution effective des tâches du DPD au sein de l’institution ou de l’organe de l’UE. |
|
5.3. |
Le CEPD n’accorde pas de consentement rétroactif; tout consentement octroyé s’applique ultérieurement. |
6. Calendrier et notification
|
6.1. |
Le CEPD notifie à l’institution ou à l’organe de l’UE et au DPD concernés sa décision, en règle générale dans un délai de six semaines à compter de la réception de la demande complète ou de l’expiration du délai visé au point 2.5. |
|
6.2. |
Si nécessaire, compte tenu de la complexité de la demande et du niveau de coopération de l’institution ou de l’organe de l’UE, le délai visé au point 6.1 peut être prolongé par le CEPD de deux périodes supplémentaires de huit semaines au maximum. |
7. Publication et rapport annuel
|
7.1. |
Le CEPD informe les DPD des institutions ou des organes de l’UE de ses décisions prises sur la base de l’article 44, paragraphe 8, du RPDUE, de l’article 41 bis, paragraphe 8, du règlement Europol, de l’article 36, paragraphe 4, du règlement Eurojust et de l’article 77, paragraphe 4, du règlement sur le Parquet européen, selon le cas. |
|
7.2. |
Le CEPD rend publique une version expurgée ou résumée de sa décision, en tenant compte de tout intérêt légitime, notamment en ce qui concerne la protection des données à caractère personnel, les droits et la liberté d’autrui, la confidentialité, le secret professionnel et des affaires ou la sécurité publique. |
|
7.3. |
Dans son rapport annuel, le CEPD rend compte de l’application des présentes règles, conformément à l’article 60 du RPDUE. |
8. Mesures correctrices
|
8.1. |
Lorsque le CEPD a des raisons suffisamment motivées de croire qu’une institution ou un organe de l’UE a l’intention de relever de ses fonctions son DPD désigné sans obtenir le consentement du CEPD au préalable, y compris sur la base d’informations fournies par le DPD concerné, le CEPD prend une décision immédiate pour saisir l’institution ou l’organe de l’UE, conformément à l’article 58, paragraphe 2, point c), du RPDUE, à l’article 43, paragraphe 3, point g), du règlement Europol, à l’article 40, paragraphe 3, point b), du règlement Eurojust ou à l’article 85, paragraphe 3, point d), du règlement sur le Parquet européen, selon le cas. Ce faisant, le CEPD indique que tout relèvement de son DPD désigné de ses fonctions par une institution ou un organe de l’UE sans avoir obtenu son consentement préalable constituerait une violation de l’article 44, paragraphe 8, du RPDUE, de l’article 41 bis, paragraphe 8, du règlement Europol, de l’article 36, paragraphe 4, du règlement Eurojust ou de l’article 77, paragraphe 4, du règlement sur le Parquet européen, selon le cas. |
|
8.2. |
Une décision immédiate est justifiée, en particulier lorsque:
|
|
8.3. |
Lorsque le CEPD constate qu’une institution ou un organe de l’UE a relevé son DPD désigné de ses fonctions sans avoir obtenu son consentement préalable, il:
|
|
8.4. |
Les dispositions de l’article 18, paragraphes 1 à 6 et 8, du règlement intérieur du CEPD ne s’appliquent pas au pouvoir d’adopter des mesures correctrices exercé, conformément aux points 8.1 et 8.3. |
|
8.5. |
Les dispositions de la présente section sont sans préjudice de l’exercice de tout autre pouvoir d’adopter des mesures correctrices du CEPD jugé approprié au vu des circonstances particulières du cas d’espèce. |
(1) JO L 135 du 24.5.2016, p. 53, ELI: http://data.europa.eu/eli/reg/2016/794/oj.
(2) JO L 295 du 21.11.2018, p. 138, ELI: http://data.europa.eu/eli/reg/2018/1727/oj.
(3) JO L 283 du 31.10.2017, p. 1, ELI: http://data.europa.eu/eli/reg/2017/1939/oj.
(4) Disponibles sur le site web du CEPD: https://www.edps.europa.eu/data-protection/our-work/publications/investigations/2023-09-27-rules-hearing-edps-investigations_en.
ELI: http://data.europa.eu/eli/proc_rules/2026/199/oj
ISSN 1977-0693 (electronic edition)