Europrivacy : le CEPD approuve la version révisée des critères du premier label européen de protection des données
Le Comité européen de la protection des données a adopté, le 15 avril 2026, l’avis 14/2026 approuvant la version 82 des critères de certification Europrivacy en tant que label européen de protection des données au sens de l’article 42, § 5, du RGPD.
Cette nouvelle version élargit le champ du mécanisme aux entités soumises au RGPD au titre de son article 3, § 2, à savoir celles situées en dehors de l’Union européenne, mais qui offrent des biens et des services à des personnes situées dans l’EEE ou qui suivent leur comportement. Cette version renforce également plusieurs exigences substantielles et instaure un régime transitoire s’étendant jusqu’à fin 2029.
Un label européen désormais élargi aux acteurs extra-européens
La certification, longtemps perçue comme un mécanisme prometteur, mais peu opérationnel, poursuit sa lente institutionnalisation. Dans son avis 14/2026 du 15 avril 2026, le Comité européen de la protection des données (CEPD) approuve la version 82 des critères Europrivacy comme « European Data Protection Seal », sur le fondement de l’article 42, § 5, du règlement (UE) 2016/679 du 27 avril 2016 sur la protection des données (RGPD).
Europrivacy est un schéma de certification général, élaboré par le Centre européen de certification et de vie privée (European Center for Certification and Privacy), qui vise à permettre aux responsables de traitement et sous-traitants, tous secteurs d’activité confondus, de démontrer la conformité de leurs opérations de traitement au RGPD.
Concrètement, le mécanisme repose sur un ensemble de critères structurés autour d’un périmètre de traitement défini, la « cible d’évaluation » (Target of Evaluation, ToE), et évalués par des organismes de certification accrédités. L’article 42, § 5, du RGPD prévoit que les critères d’un mécanisme de certification nationale sont approuvés par l’autorité de contrôle compétente, tandis que ceux d’un label européen le sont par le CEPD. C’est l’autorité de contrôle luxembourgeoise (CNPD) qui a soumis la version révisée au CEPD le 29 janvier 2026.
L’enjeu est notable : Europrivacy avait déjà été approuvé une première fois le 10 octobre 2022 (CEPD, avis 28/2022), mais la nouvelle version ne se borne pas à corriger des critères existants. Elle étend le mécanisme à des organismes établis hors de l’Espace économique européen (EEE) lorsqu’ils sont directement soumis au RGPD, soit parce qu’ils offrent des biens ou services à des personnes situées dans l’EEE, soit parce qu’ils suivent leur comportement (RGPD, art. 3, § 2). Ce mouvement est cohérent avec la logique extraterritoriale du règlement. Il l’est aussi avec la popularisation des outils de preuve de conformité : registres, analyses d’impact, politiques de sécurité, clauses contractuelles, audits et, désormais, certifications. Le CEPD rappelle toutefois la limite cardinale du dispositif : la certification est un outil volontaire d’accountability, non une immunité. Elle ne réduit pas la responsabilité du responsable de traitement ou du sous-traitant, pas plus qu’elle ne limite les pouvoirs des autorités de contrôle.
Renforcement des critères substantiels
L’extension de ce mécanisme de certification à des entités situées en dehors de l’EEE suppose d’inclure une première vérification. L’un des nouveaux critères impose à l’organisme de certification de s’assurer, dès la phase de candidature, que le droit et les pratiques du pays tiers ne font pas obstacle au respect des exigences de certification. À défaut, le processus est interrompu.
Le candidat doit produire un rapport d’expert juridique évaluant que le droit national du pays tiers n’impose pas de restrictions aux droits en matière de protection des données excédant ce qui est nécessaire et proportionné dans une société démocratique, au regard des objectifs de l’article 23, § 1, du RGPD. Néanmoins, en cas de bénéfice d’une décision d’adéquation, un rapport simplifié peut suffire.
La version 82 affine également plusieurs exigences de fond. Un critère dédié impose que les données ne soient pas traitées ultérieurement de manière incompatible avec les finalités initiales et qu’une analyse de compatibilité soit documentée. Lorsque des catégories particulières de données sont en jeu, le candidat doit disposer de garanties supplémentaires adaptées à la nature des données et aux risques. En matière de consentement, celui-ci doit couvrir chaque finalité et son retrait ne saurait entraîner de préjudice pour la personne concernée.
Les droits des personnes font l’objet d’améliorations significatives. L’information doit être fournie par écrit ou par d’autres moyens, dans la langue officielle du candidat et dans celle des personnes ciblées. Le candidat doit disposer d’une procédure de confirmation de réception des demandes et tenir un registre avec leur date.
Les critères ont également été renforcés en matière de violation de données. Ils détaillent les informations qui doivent être documentées en cas de survenance de cet évènement : catégories de données affectées, nombre approximatif de personnes concernées, enregistrements touchés et conséquences probables. Le candidat doit également évaluer, au moyen d’une méthodologie reproductible, les risques pour les droits et libertés des personnes physiques.
Les obligations spécifiques des entités extra-EEE
Les critères imposent au candidat soumis à l’article 3, § 2, de désigner un représentant dans l’EEE conformément à l’article 27 du RGPD et de faire figurer ses coordonnées sur son site internet. Tous les candidats doivent par ailleurs désigner un délégué à la protection des données, y compris lorsque l’article 37 ne l’exige pas, et les candidats extra-EEE doivent coopérer avec les autorités compétentes de l’EEE et mettre à leur disposition le registre des activités de traitement sur demande.
Instrument clé du schéma, le NOCAR (National Obligations Compliance Assessment Report) permet de prendre en compte les législations nationales des États membres. Il s’agit d’un rapport que le candidat à la certification Europrivacy doit produire pour démontrer qu’il respecte non seulement le RGPD lui-même, mais aussi les législations nationales complémentaires en matière de protection des données applicables dans les États membres de l’EEE.
C’est un outil nécessaire puisque le RGPD, bien qu’il soit un règlement directement applicable, laisse des marges de manœuvre aux États membres sur de nombreux points (âge du consentement des mineurs, traitement de données de santé, droit du travail, etc.). Un label européen de certification ne peut donc pas se contenter de vérifier la conformité au RGPD « générique » : il doit aussi s’assurer que le candidat respecte les règles nationales propres aux pays où il opère.
Un régime transitoire structuré
Le passage de la version 60 à la version 82 n’est pas sans conséquences pour les opérateurs déjà engagés dans le processus de certification. Le CEPD souligne que la modification des critères affecte à la fois les certifications déjà délivrées et les processus en cours. Le calendrier retenu est le suivant : tous les processus de certification engagés sur la base de la version 60 devront être finalisés avant la fin de l’année 2026. Passé ce terme, la version 60 ne pourra plus servir de fondement à la délivrance de nouveaux certificats. Les certificats déjà émis, quant à eux, demeurent valides jusqu’au terme de leur période de validité de trois ans, mais devront être renouvelés conformément aux critères de la version 82. En conséquence, après la fin de l’année 2029, la version 60 sera intégralement supplantée par la version 82. Le propriétaire du schéma s’est engagé à rendre publiques les informations relatives à ce plan de transition, ce qui participe de l’exigence de transparence attendue d’un mécanisme de certification européen. Le CEPD relève également que des ajustements pourront être nécessaires dans l’accréditation des organismes de certification, sans toutefois se prononcer sur ce point, qui relève de la compétence des organismes nationaux d’accréditation et non du Comité lui-même.
Vers une consolidation de l’écosystème de certification
L’approbation de la version 82 confirme la maturation progressive d’Europrivacy et, plus largement, de l’écosystème européen de certification en matière de protection des données.
Au-delà du cas Europrivacy, cet avis illustre la volonté du CEPD de faire de la certification un levier opérationnel de conformité au RGPD, et non plus seulement une promesse institutionnelle. En élargissant le mécanisme aux entités extra-européennes soumises à l’article 3, § 2, le Comité prend acte de la réalité des traitements des données qui ne connaissent pas les frontières de l’EEE. En exigeant un contrôle préalable du droit du pays tiers, il s’inscrit dans la continuité de la jurisprudence Schrems II (CJUE 16 juill. 2020, aff. C-311/18, Dalloz actualité, 22 juill. 2020, obs. C. Crichton) et de la logique de vérification au cas par cas qui irrigue désormais l’ensemble des instruments de transfert et de conformité.
Les opérateurs économiques, européens comme extra-européens, disposent ainsi d’un outil volontaire, mais structurant pour démontrer, de manière auditable et reconnue dans l’ensemble de l’EEE, la conformité de leurs traitements au RGPD.
L’adoption concomitante de l’avis 15/2026 sur l’extension du schéma aux transferts, témoigne enfin d’une spécialisation croissante des instruments de certification, appelée à se renforcer à mesure que d’autres schémas viendront enrichir le registre du CEPD.
par Éléonore Favero Agostini, Avocate associée
CEPD, avis 14/2026 du 15 avr. 2026 (en anglais)
© Lefebvre Dalloz