Article 61 du RGPD : Assistance mutuelle

Texte original du RGPD

1. Les autorités de contrôle se communiquent les informations utiles et se prêtent mutuellement assistance en vue de mettre en oeuvre et d’appliquer le présent règlement de façon cohérente, et mettent en place des mesures pour coopérer efficacement. L’assistance mutuelle concerne notamment les demandes d’informations et les mesures de contrôle, telles que les demandes d’autorisation et de consultation préalables, les inspections et les enquêtes.

2. Chaque autorité de contrôle prend toutes les mesures appropriées requises pour répondre à une demande d’une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande. De telles mesures peuvent comprendre, notamment, la transmission d’informations utiles sur la conduite d’une enquête.

3. Les demandes d’assistances contiennent toutes les informations nécessaires, notamment la finalité et les motifs de la demande. Les informations échangées ne sont utilisées qu’aux fins pour lesquelles elles ont été demandées.

4. Une autorité de contrôle requise ne peut refuser de satisfaire à une demande d’assistance, sauf si:

a) elle n’est pas compétente pour traiter l’objet de la demande ou pour prendre les mesures qu’elle est requise d’exécuter; ou

b) satisfaire à la demande constituerait une violation du présent règlement ou du droit de l’Union ou du droit de l’État membre auquel l’autorité de contrôle qui a reçu la demande est soumise.

5. L’autorité de contrôle requise informe l’autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l’avancement des mesures prises pour donner suite à la demande. L’autorité de contrôle requise explique les raisons de tout refus de satisfaire à une demande en application du paragraphe 4.

6. En règle générale, les autorités de contrôle requises communiquent par voie électronique et au moyen d’un formulaire type, les informations demandées par d’autres autorités de contrôle.

7. Les autorités de contrôle requises ne perçoivent pas de frais pour toute action qu’elles prennent à la suite d’une demande d’assistance mutuelle. Les autorités de contrôle peuvent convenir de règles concernant l’octroi de dédommagements entre elles pour des dépenses spécifiques résultant de la fourniture d’une assistance mutuelle dans des circonstances exceptionnelles.

8. Lorsqu’une autorité de contrôle ne fournit pas les informations visées au paragraphe 5 dans un délai d’un mois à compter de la réception de la demande formulée par une autre autorité de contrôle, l’autorité de contrôle requérante peut adopter une mesure provisoire sur le territoire de l’État membre dont elle relève conformément à l’article 55, paragraphe 1. Dans ce cas, les circonstances permettant de considérer qu’il est urgent d’intervenir conformément à l’article 66, paragraphe 1, sont réputées réunies et nécessitent une décision contraignante d’urgence du comité en application de l’article 66, paragraphe 2.

9. La Commission peut, par voie d’actes d’exécution, préciser la forme et les procédures de l’assistance mutuelle visée au présent article, ainsi que les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle et entre les autorités de contrôle et le comité, notamment en ce qui concerne le formulaire type visé au paragraphe 6 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Article 28

6.

(….).

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.

(….).

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 24

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du 27 avril 2016, la Commission nationale de l’informatique et des libertés met en œuvre des procédures de coopération et d’assistance mutuelle avec les autorités de contrôle des autres Etats membres de l’Union européenne et réalise avec ces autorités des opérations conjointes.

La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.

La commission peut charger le bureau :

1° D’exercer ses prérogatives en tant qu’autorité concernée, au sens de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016, et en particulier d’émettre une objection pertinente et motivée au projet de décision d’une autre autorité de contrôle ;

2° Lorsque la commission adopte un projet de décision en tant qu’autorité chef de file ou autorité concernée, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par le règlement (UE) 2016/679 du 27 avril 2016 et d’arrêter la décision au nom de la commission.

Article 26

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

1- Les traitements relevant du titre III font l’objet d’une coopération entre la Commission nationale de l’informatique et des libertés et les autorités de contrôle des autres Etats membres de l’Union européenne dans les conditions prévues au présent article.

2- La commission communique aux autorités de contrôle des autres Etats membres les informations utiles et leur prête assistance en mettant notamment en œuvre, à leur demande, des mesures de contrôle telles que des mesures de consultation, d’inspection et d’enquête.

La commission répond à une demande d’assistance mutuelle formulée par une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande contenant toutes les informations nécessaires, notamment sa finalité et ses motifs. Elle ne peut refuser de satisfaire à cette demande que si elle n’est pas compétente pour traiter l’objet de la demande ou les mesures qu’elle est invitée à exécuter, ou si une disposition du droit de l’Union européenne ou du droit français y fait obstacle.

La commission informe l’autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l’avancement du dossier ou des mesures prises pour donner suite à la demande.

La commission peut, pour l’exercice de ses missions, solliciter l’assistance d’une autorité de contrôle d’un autre Etat membre de l’Union européenne.

La commission donne les motifs de tout refus de satisfaire à une demande lorsqu’elle estime ne pas être compétente ou lorsqu’elle considère que satisfaire à la demande constituerait une violation du droit de l’Union européenne ou du droit français.

Analyse des 3 textes qui précèdent 

L’article 61 du RGPD établit des règles explicites et uniformes d’assistance mutuelle : chaque autorité de contrôle doit répondre aux demandes d’autres autorités dans un délai maximal d’un mois, sauf en cas d’incompétence ou si elle estime que la demande violerait le droit européen ou national. Les informations échangées doivent être utilisées uniquement aux fins prévues. Ce cadre prévoit également que les échanges se font majoritairement par voie électronique via un formulaire type, que ces actions sont en principe gratuites, et prévoit la possibilité d’indemnisations en cas de dépenses exceptionnelles. En cas de non-réponse ou refus injustifié, l’autorité requérante est habilitée à adopter des mesures provisoires sur son propre territoire, avec un mécanisme d’urgence impliquant le comité européen de protection des données.​

Sous la directive 95/46/CE, les États membres étaient déjà encouragés à coopérer et à s’assister mutuellement, notamment en partageant des informations. Cependant, ces obligations restaient très générales et ne fournissaient pas de cadre détaillé réglementant les procédures, les délais, ni les recours en cas de refus de coopération. L’article 61 du RGPD constitue ainsi un perfectionnement important vers un système harmonisé et contraignant d’assistance mutuelle.

La loi Informatique et Libertés intègre cette obligation à travers des articles dédiés, décrivant notamment le rôle de la CNIL dans la mise en œuvre des procédures de coopération européenne. La CNIL est habilitée à répondre aux demandes des autres autorités, à coopérer via des opérations conjointes, et à refuser une assistance uniquement dans des cas stricts relatifs à sa compétence ou à la législation applicable. Elle doit informer l’autorité requérante du résultat de ses mesures, assurant ainsi une communication transparente et conforme au RGPD.​

Ainsi l’article 61 du RGPD marque une avancée significative en établissant un cadre clair, précis et contraignant de coopération et d’assistance mutuelle entre autorités de contrôle. Alors que la directive 95/46/CE restait vague sur les modalités pratiques, le RGPD, en intégrant ce dispositif, facilite l’application cohérente des règles dans l’ensemble de l’Union européenne. La loi française s’aligne sur ces principes, en adaptant sa mise en œuvre par la CNIL. Cette évolution traduit une volonté d’efficacité renforcée dans le contrôle et la protection des données personnelles à l’échelle européenne.

Jurisprudences 

À ce jour, il n’existe aucune jurisprudence, ni au niveau européen, ni au niveau français, relative à ce sujet.

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).