RGPD : l'EDPB réclame une base légale pour le partage d'informations entre régulateurs
Réunis à Dublin les 16 et 17 juillet 2026, les membres de l'European Data Protection Board (EDPB) ont lancé un appel inhabituel à la Commission européenne : créer une base légale dédiée pour permettre aux régulateurs européens d'échanger entre eux, y compris des informations confidentielles. En creux, un aveu : la mécanique actuelle de coopération entre autorités de contrôle montre ses limites face à la complexité croissante des dossiers.
Ce qui s'est passé
Lors d'une réunion de haut niveau tenue en Irlande, l'EDPB a formellement demandé à la Commission européenne de proposer un cadre juridique permettant le partage d'informations entre régulateurs opérant dans des champs de compétence différents mais souvent liés : autorités de protection des données, mais aussi régulateurs de l'IA Act ou de NIS 2. Selon la présidente de l'EDPB, Anu Talus, l'expérience de terrain a montré que la coopération inter-régulateurs se heurte aujourd'hui à un manque de base légale claire, ce qui freine les enquêtes conjointes et nuit à la cohérence des décisions.
Le Board a également profité de cette réunion pour dresser un bilan des progrès réalisés en matière d'application transfrontalière du RGPD, en s'appuyant sur le second rapport de la Commission européenne sur le règlement. Il constate une hausse continue du nombre et de la complexité des plaintes, en partie liée à la diffusion de l'intelligence artificielle, qui met sous tension les moyens des autorités nationales de protection des données (DPA).
Pourquoi c'est important
Le RGPD organise déjà une procédure de coopération entre l'autorité chef de file et les autres autorités concernées ainsi qu'un mécanisme de contrôle de la cohérence destiné à harmoniser l'application du règlement dans toute l'Union. Mais ces outils ont été pensés pour un paysage réglementaire où chaque autorité restait cantonnée à son propre texte. Or les dossiers traités aujourd'hui croisent de plus en plus souvent RGPD, IA Act, NIS 2 ou lutte anti-blanchiment — une tendance déjà à l'œuvre dans le rapprochement en cours entre l'EDPB et l'autorité anti-blanchiment européenne (AMLA) sur le partage d'informations.
Sans texte dédié, chaque échange d'informations entre régulateurs doit aujourd'hui être rattaché, tant bien que mal, à une base légale existante — ce qui ralentit les enquêtes conjointes et fragilise juridiquement certaines coopérations informelles. La demande de l'EDPB vise justement à sécuriser ces échanges, en particulier dans la perspective du futur règlement procédural européen (Procedural Regulation), qui doit codifier les pratiques actuelles des DPA.
Ce que ça change pour les organisations
Pour les DPO et RSSI, ce signal doit être lu comme une annonce de contrôles croisés plus fréquents. Une organisation soumise à la fois au RGPD et à d'autres réglementations sectorielles (IA Act, NIS 2, DORA) doit s'attendre à ce que les autorités compétentes échangent plus facilement leurs constats — un manquement identifié par un régulateur pouvant ainsi nourrir l'analyse d'un autre. Concrètement, cela renforce l'intérêt de documenter une gouvernance des données cohérente sur l'ensemble de ces textes plutôt que des réponses cloisonnées, régulateur par régulateur. Pour mieux comprendre le rôle et les pouvoirs de l'autorité française dans ce dispositif, notre guide sur la CNIL détaille ses missions et ses moyens d'action.
Les organisations qui font l'objet d'une plainte ou d'un contrôle ont aussi intérêt à anticiper que la procédure pourrait, à terme, se dérouler de façon plus coordonnée entre plusieurs autorités simultanément, avec des délais et des échanges d'informations facilités entre elles.
Ce que Leto pense de cette décision
Cet appel de l'EDPB est un signe de maturité du système de contrôle européen : plutôt que de multiplier les textes sectoriels sans les articuler, le régulateur pousse pour une plomberie juridique commune. C'est une bonne nouvelle pour la prévisibilité du droit, mais aussi un avertissement pour les organisations qui pensent encore pouvoir gérer leurs obligations RGPD, IA Act et NIS 2 en silos séparés : demain, ces silos communiqueront entre eux plus facilement.
Sources : EDPB — EDPB calls for legal basis for cross-regulatory information sharing

