Article 31 du RGPD : Coopération avec l’autorité de contrôle

Introduction

L’article 31 du RGPD traite de la coopération entre le responsable du traitement, le sous-traitant et l’autorité de contrôle. Il impose aux acteurs du traitement l’obligation de collaborer activement avec l’autorité compétente, sur demande, afin de garantir le respect effectif du Règlement. Cette disposition traduit l’esprit de responsabilité et de transparence qui traverse l’ensemble du RGPD : la conformité ne se limite pas à des mesures internes, elle implique aussi une disposition à dialoguer et à fournir tout élément nécessaire aux autorités pour exercer leur mission de contrôle.

Explication de l’article

L’article 31 du RGPD impose une obligation de coopération aux responsables de traitement et aux sous-traitants. Concrètement, ils doivent collaborer activement avec les autorités de contrôle, comme la CNIL, chaque fois que celle-ci leur adresse une demande.

Cette coopération peut prendre plusieurs formes : transmission d’informations, réponse à des enquêtes, fourniture de documentation sur les traitements ou encore accès aux systèmes. Le refus ou l’entrave à cette coopération constitue un manquement susceptible d’entraîner des sanctions.

Cette exigence s’inscrit dans une logique de transparence et de responsabilité renforcée, deux piliers du RGPD.

Ceci est une alerte Toute société ayant des bases de données se doit de respecter les règles du RGPD, quelle que soit la taille de l'entreprise.

Libérez-vous du RGPD

Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.

Je prends rendez-vous avec un expert

Texte original du RGPD

Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Pas de disposition correspondante

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Pas de disposition correspondante

Analyse des 3 textes qui précèdent

L’article 31 du Règlement institue un devoir spécifique des responsables de traitement et des sous-traitants ainsi que de leur représentant, le cas échéant- qui doivent coopérer à la demande des autorités de contrôle, dans l’exécution de leurs missions.

Ce devoir va un peu de soi. Il était présent dans la 1ère version du texte, disparu ensuite pour mieux revenir dans la dernière version. Sans doute un signe parmi beaucoup d’autres, d’une volonté politique forte de renforcer les pouvoirs des autorités de contrôle.

Il n’existait pas de disposition correspondante ni dans la Directive 95/46 CE, ni dans la Loi Informatique et Libertés.

Jurisprudences

Européennes

Affaire en Grèce (2025-07-11)

Sanction de 2,000 euros d’amende

Dans cette affaire, une association a été sanctionnée pour avoir transmis des données sensibles sans informer au préalable les personnes concernées ou obtenir leur consentement. La violation de l’article 31 réside dans le fait qu’en ne collaborant pas efficacement avec l’autorité de contrôle pour remédier à la situation ou fournir les informations demandées, l’association n’a pas respecté ses obligations de coopération.

Affaire en Autriche (2025-06-03)

Sanction de 16,000 euros d’amende

Dans cette affaire, une société de gestion de parkings a été sanctionnée d’une amende de 16 000 euros. L’affaire illustre également un manquement à l’obligation de coopération avec l’autorité de contrôle, en particulier lors d’une enquête concernant la conformité au RGPD. La décision met en avant que les autorités de contrôle disposent de pouvoirs discrétionnaires pour intervenir dans le respect de l’article 58 du RGPD, mais elles doivent également collaborer avec les responsables du traitement, ce qui implique de fournir les informations demandées et de coopérer sincèrement lors des enquêtes.

Françaises

Sanction de 6,900 euros d’amende

L’affaire concernant la municipalité de Korou en France, datée du 22 juillet 2024, est une illustration de l’application combinée des articles 31 et 37 du RGPD. La sanction, d’un montant de 6 900 euros, souligne à la fois l’obligation de coopération avec l’autorité de contrôle (article 31) et le devoir de désigner un délégué à la protection des données ou responsable de la protection des données (art. 37) lorsque cela est requis. Dans cette situation, la municipalité n’a pas correctement coopéré avec l’autorité de contrôle lors d’un contrôle ou d’une demande d’informations, ce qui constitue une infraction à l’article 31 du RGPD.

Sanction de 500 000 euros d’amende

Délibération SAN-2019-010 du 21 novembre 2019 – Légifrance

La CNIL a sanctionné Futura Internationale pour son absence de coopération : malgré de multiples relances, la société n’a pas transmis les éléments et documents demandés par l’autorité de contrôle.

Cette carence constitue une violation de l’article 31 du RGPD, relatif à l’obligation de coopération.

Sanction de 3 000 euros d’amende

Délibération SAN-2021-014 du 15 septembre 2021 – Légifrance

Dans une autre affaire, la CNIL a relevé que la SNAF avait fourni des réponses incomplètes à ses demandes, voire n’avait pas répondu du tout. Cette attitude a également été sanctionnée.

Recommandations

Il n’existe actuellement aucune recommandation spécifique relative à l’article 31 du RGPD.