Article 60 du RGPD : Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées
Sommaire
Introduction
L’article 60 instaure un cadre de coopération entre l’autorité de contrôle désignée comme chef de file et les autres autorités concernées, notamment dans les traitements transfrontaliers de données personnelles. Cette coopération est fondamentale pour garantir une application harmonisée du RGPD à travers l’Union européenne.
Explication de l’article
L’article 60 du RGPD encadre la coopération entre l’autorité de contrôle chef de file et les autres autorités européennes dans les cas de traitement transfrontalier.
L’autorité chef de file doit collaborer étroitement avec ses homologues. Elle doit partager toutes les informations utiles et rechercher un consensus sur les décisions à adopter. Elle peut aussi demander l’aide d’autres autorités pour mener des enquêtes ou contrôles conjoints.
Avant toute décision, elle transmet un projet aux autres autorités concernées. Celles-ci disposent de 4 semaines pour formuler une objection pertinente et motivée. En cas de désaccord, un second projet peut être soumis, avec un délai réduit à 2 semaines pour recueillir les éventuelles remarques.
Si un consensus ne peut être trouvé, le litige est tranché via le mécanisme de contrôle de cohérence prévu à l’article 63.
En l’absence d’objection, le projet est réputé approuvé. La décision est alors adoptée par l’autorité chef de file, notifiée à l’organisme concerné, et communiquée à toutes les autorités impliquées. L’auteur de la réclamation en est également informé, même si la décision est un rejet.
Si plusieurs points de la réclamation font l’objet d’un traitement différencié, des décisions séparées sont rendues : l’autorité chef de file statue sur les mesures à l’égard du responsable de traitement ou du sous-traitant, tandis que l’autorité ayant reçu la réclamation adopte les décisions de rejet.
Une fois la décision reçue, le responsable de traitement ou le sous-traitant doit prendre les mesures correctrices nécessaires et en informer l’autorité chef de file.
Les échanges entre autorités s’effectuent par voie électronique via un formulaire type.
sans contrainte pour vous.
Texte original du RGPD
1. L’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s’efforçant de parvenir à un consensus. L’autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.
2. L’autorité de contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter mutuellement assistance en application de l’article 61 et peut mener des opérations conjointes en application de l’article 62, en particulier pour effectuer des enquêtes ou contrôler l’application d’une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.
3. L’autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et tient dûment compte de leur point de vue.
4. Lorsqu’une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection pertinente et motivée à l’égard du projet de décision, l’autorité de contrôle chef de file, si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que celle-ci n’est pas pertinente et motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l’article 63.
5. Lorsque l’autorité de contrôle chef de file entend suivre l’objection pertinente et motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d’obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines.
6. Lorsqu’aucune des autres autorités de contrôle concernées n’a formulé d’objection à l’égard du projet de décision soumis par l’autorité de contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l’autorité de contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui.
7. L’autorité de contrôle chef de file adopte la décision, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L’autorité de contrôle auprès de laquelle une réclamation a été introduite informe de la décision l’auteur de la réclamation.
8. Par dérogation au paragraphe 7, lorsqu’une réclamation est refusée ou rejetée, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la notifie à l’auteur de la réclamation et en informe le responsable du traitement.
9. Lorsque l’autorité de contrôle chef de file et les autorités de contrôle concernées sont d’accord pour refuser ou rejeter certaines parties d’une réclamation et donner suite à d’autres parties de cette réclamation, une décision distincte est adoptée pour chacune des parties. L’autorité de contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant sur le territoire de l’État membre dont elle relève et en informe l’auteur de la réclamation, tandis que l’autorité de contrôle de l’auteur de la réclamation adopte la décision pour la partie concernant le refus ou le rejet de cette réclamation, la notifie à cette personne et en informe le responsable du traitement ou le sous-traitant.
10. Après avoir été informé de la décision de l’autorité de contrôle chef de file en application des paragraphes 7 et 9, le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de cette décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l’Union. Le responsable du traitement ou le sous-traitant notifie les mesures prises pour assurer le respect de la décision à l’autorité de contrôle chef de file, qui informe les autres autorités de contrôle concernées.
11. Lorsque, dans des circonstances exceptionnelles, une autorité de contrôle concernée a des raisons de considérer qu’il est urgent d’intervenir pour protéger les intérêts des personnes concernées, la procédure d’urgence visée à l’article 66 s’applique.
12. L’autorité de contrôle chef de file et les autres autorités de contrôle concernées communiquent par voie électronique et au moyen d’un formulaire type, les informations requises en vertu du présent article.
Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Article 28
6.
(…)
Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.
Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)
Article 24
Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018
Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du 27 avril 2016, la Commission nationale de l’informatique et des libertés met en œuvre des procédures de coopération et d’assistance mutuelle avec les autorités de contrôle des autres Etats membres de l’Union européenne et réalise avec ces autorités des opérations conjointes.
La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.
La commission peut charger le bureau :
1° D’exercer ses prérogatives en tant qu’autorité concernée, au sens de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016, et en particulier d’émettre une objection pertinente et motivée au projet de décision d’une autre autorité de contrôle ;
2° Lorsque la commission adopte un projet de décision en tant qu’autorité chef de file ou autorité concernée, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par le règlement (UE) 2016/679 du 27 avril 2016 et d’arrêter la décision au nom de la commission.
Article 27
Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018
Lorsque la commission agit en tant qu’autorité de contrôle chef de file au sens de l’article 56 du règlement (UE) 2016/679 du 27 avril 2016 s’agissant d’un traitement transfrontalier au sein de l’Union européenne, elle communique sans tarder aux autres autorités de contrôle concernées le rapport du rapporteur mentionné au premier alinéa de l’article 22 ainsi que l’ensemble des informations utiles de la procédure ayant permis d’établir le rapport, avant l’éventuelle audition du responsable de traitement ou de son sous-traitant. Les autorités concernées sont mises en mesure d’assister, par tout moyen de retransmission approprié, à l’audition par la formation restreinte du responsable de traitement ou de son sous-traitant, ou de prendre connaissance d’un procès-verbal dressé à la suite de l’audition.
Après en avoir délibéré, la formation restreinte soumet son projet de décision aux autres autorités de contrôle concernées conformément à la procédure définie à l’article 60 du règlement (UE) 2016/679 du 27 avril 2016. A ce titre, elle se prononce sur la prise en compte des objections pertinentes et motivées émises par ces autorités et saisit, si elle décide d’écarter l’une des objections, le comité européen de la protection des données conformément à l’article 65 du même règlement.
Les conditions d’application du présent article sont définies par décret en Conseil d’Etat, après avis de la Commission nationale de l’informatique et des libertés.
Article 28
Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018
Lorsque la commission agit en tant qu’autorité de contrôle concernée, au sens de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016, le président de la commission est saisi des projets de mesures correctrices soumis à la commission par une autorité de contrôle chef de file.
Lorsque ces mesures sont d’objet équivalent à celles définies aux I et II de l’article 20 de la présente loi, le président décide, le cas échéant, d’émettre une objection pertinente et motivée, selon les modalités prévues à l’article 60 du même règlement.
Lorsque ces mesures sont d’objet équivalent à celles définies au III de l’article 20 de la présente loi, le président saisit la formation restreinte. Le président de la formation restreinte ou le membre de la formation restreinte qu’il désigne peut, le cas échéant, émettre une objection pertinente et motivée selon les mêmes modalités.
Analyse des 3 textes qui précèdent
L’article 60 du RGPD impose à l’autorité de contrôle chef de file de collaborer étroitement avec les autres autorités concernées pour parvenir à un consensus. Cet échange doit se faire en partageant toute information utile afin d’assurer une application cohérente du règlement à l’échelle européenne. La procédure prévoit l’échange d’informations, la soumission de projets de décision, leur consultation et la prise en compte des objections. En cas de désaccord durable, le mécanisme de contrôle de la cohérence, prévu à l’article 63, intervient pour trancher le litige de manière contraignante.
La directive 95/46/CE, en son article 28 (6), mentionnait simplement que les autorités de contrôle coopéraient dans la mesure nécessaire à leur mission, notamment en échangeant des informations utiles. Aucune procédure précise de coopération structurée n’était définie, ce qui pouvait limiter la coordination lors d’activités transfrontalières. Le RGPD introduit donc une démarche beaucoup plus structurée, comportant des mécanismes précis de collaboration, de consultation, de gestion des désaccords, et de décisions contraignantes via le mécanisme de cohérence, garantissant une application cohérente et efficace des règles dans l’ensemble des États membres.
La loi Informatique et Libertés, notamment dans sa version modifiée par l’ordonnance de 2018, prévoit dans ses articles 24 et suivants un cadre de coopération entre la CNIL et ses homologues européens. Elle mentionne l’organisation d’opérations conjointes et de procédures d’assistance mutuelle, mais sans préciser formellement un processus aussi détaillé que celui prévu par le RGPD. La loi s’aligne sur le principe général, en laissant toutefois plus d’espace à la coopération ad hoc plutôt qu’à une procédure formalisée comparable à celle instaurée par le RGPD.
En synthèse :
La nouveauté majeure qu’apporte le RGPD dans l’article 60 est la formalisation du mécanisme de coopération, notamment avec la procédure de consensus, le partage d’informations structurées, et la gestion des désaccords via le mécanisme de cohérence. La directive 95/46/CE se limitait à une coopération volontaire, souvent limitée à l’échange d’informations. La loi française, quant à elle, a intégré ces principes en les traduisant en procédures concrètes pour la CNIL, mais sans le niveau de détail et de formalisation qu’offre désormais le RGPD.
Ainsi, cette évolution témoigne d’une volonté claire d’instaurer une gouvernance européenne plus coordonnée, transparente et efficace dans le domaine de la protection des données personnelles.
Jurisprudences
Européennes
C-230/14 (1 octobre 2015) – Weltimmo
Cette affaire porte sur la détermination de la compétence territoriale d’une autorité de contrôle selon la directive 95/46/CE, qui demeure pertinente pour la compréhension de la compétence sous le RGPD. La CJUE y a jugé qu’une autorité de contrôle d’un État membre peut appliquer sa législation en matière de protection des données si le responsable du traitement exerce une activité réelle dans cet État, même s’il n’y est pas établi formellement. Cela confirme le principe selon lequel la compétence peut reposer sur l’établissement effectif du responsable du traitement.
Cette décision est à la base de la logique de l’article 60 du RGPD, où l’« autorité de contrôle chef de file » correspond à l’État membre de l’établissement principal du responsable du traitement, qui pilote la coopération avec les autres autorités concernées. L’affaire souligne ainsi la nécessité d’une coordination claire entre autorités lorsqu’il y a plusieurs autorités compétentes en cause, ce que l’article 60 organise précisément via le mécanisme de coopération, de consultation et d’objections pertinentes et motivées.
C-645/19 (15 juin 2021) – Facebook Ireland Ltd e.a. c. Gegevensbeschermingsautoriteit
ans cette affaire plus récente, la CJUE a interprété la portée des compétences des autorités de contrôle dans un contexte transfrontalier sous le RGPD, en particulier sur la capacité d’une autorité, autre que celle de l’établissement principal, à agir dans certaines conditions. La Cour a jugé que même si une autorité n’est pas l’autorité chef de file définie à l’article 56 RGPD, elle peut exercer des pouvoirs conformément à la législation nationale en respectant le mécanisme de coopération prévu notamment à l’article 60.
Cette décision illustre l’application concrète de l’article 60 : la nécessité pour les autorités de contrôle nationales de coopérer, d’échanger des informations et de trouver un consensus, en respectant le régime du guichet unique. L’affaire montre également que les autorités doivent respecter les procédures de coopération renforcée avant de prendre des mesures, renforçant la cohérence dans l’application du RGPD au niveau européen.
Recommandations
CEPD
Lignes directrices relatives à l’application de l’article 60 du RGPD – 02/2022 (14 mars 2022)
Ne restez pas seul face à vos obligations RGPD. Trouvez un DPO externe de confiance avec Mon Expert RGPD.