📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 62 du RGPD : Opérations conjointes des autorités de contrôle

Sommaire

Introduction 

L’article 62 du RGPD organise la possibilité pour plusieurs autorités de contrôle d’agir ensemble dans le cadre d’enquêtes ou de contrôles portant sur des traitements transfrontaliers. Il vise à renforcer la coopération entre autorités pour une action coordonnée et plus efficace.

Explication de l’article

L’article 62 du RGPD prévoit la possibilité pour les autorités de contrôle de mener des opérations conjointes. Il peut s’agir d’enquêtes ou de mesures répressives menées en collaboration.

Ce mécanisme est particulièrement utile lorsque le responsable de traitement ou le sous-traitant est établi dans plusieurs États membres, ou si un grand nombre de personnes concernées sont réparties dans différents pays de l’Union.

Toutes les autorités concernées peuvent être invitées à participer à l’opération conjointe. C’est l’autorité chef de file qui lance l’invitation et répond à toute demande de participation.

Si une autorité invitée ne répond pas dans un délai d’un mois, les autres autorités peuvent adopter des mesures provisoires sur le territoire concerné.

En accord avec l’autorité organisatrice, une autorité peut autoriser ses membres à exercer certains pouvoirs sur le territoire d’un autre État membre, conformément au droit national.

Lorsqu’une opération est menée sur le territoire d’un autre État membre, la responsabilité juridique de l’enquête incombe à l’autorité locale d’accueil. En cas de dommage, l’État membre d’origine rembourse les sommes avancées par l’État d’accueil.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données,
sans contrainte pour vous.
Échanger avec un expert RGPD

Texte original du RGPD

1. Les autorités de contrôle mènent, le cas échéant, des opérations conjointes, y compris en effectuant des enquêtes conjointes et en prenant des mesures répressives conjointes, auxquelles participent des membres ou des agents des autorités de contrôle d’autres États membres.

2. Lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ou si un nombre important de personnes concernées dans plusieurs États membres sont susceptibles d’être sensiblement affectées par des opérations de traitement, une autorité de contrôle de chacun de ces États membres a le droit de participer aux opérations conjointes. L’autorité de contrôle qui est compétente en vertu de l’article 56, paragraphe 1 ou 4, invite l’autorité de contrôle de chacun de ces États membres à prendre part aux opérations conjointes concernées et donne suite sans tarder à toute demande d’une autorité de contrôle souhaitant y participer.

3. Une autorité de contrôle peut, conformément au droit d’un État membre, et avec l’autorisation de l’autorité de contrôle d’origine, conférer des pouvoirs, notamment des pouvoirs d’enquête, aux membres ou aux agents de l’autorité de contrôle d’origine participant à des opérations conjointes ou accepter, pour autant que le droit de l’État membre dont relève l’autorité de contrôle d’accueil le permette, que les membres ou les agents de l’autorité de contrôle d’origine exercent leurs pouvoirs d’enquête conformément au droit de l’État membre dont relève l’autorité de contrôle d’origine. Ces pouvoirs d’enquête ne peuvent être exercés que sous l’autorité et en présence de membres ou d’agents de l’autorité de contrôle d’accueil. Les membres ou agents de l’autorité de contrôle d’origine sont soumis au droit de l’État membre de l’autorité de contrôle d’accueil.

4. Lorsque, conformément au paragraphe 1, les agents de l’autorité de contrôle d’origine opèrent dans un autre État membre, l’État membre dont relève l’autorité de contrôle d’accueil assume la responsabilité de leurs actions, y compris la responsabilité des dommages qu’ils causent au cours des opérations dont ils sont chargés, conformément au droit de l’État membre sur le territoire duquel ils opèrent.

5. L’État membre sur le territoire duquel les dommages ont été causés répare ces dommages selon les conditions applicables aux dommages causés par ses propres agents. L’État membre dont relève l’autorité de contrôle d’origine dont les agents ont causé des dommages à des personnes sur le territoire d’un autre État membre rembourse intégralement à cet autre État membre les sommes qu’il a versées aux ayants droit.

6. Sans préjudice de l’exercice de ses droits à l’égard des tiers et sous réserve du paragraphe 5, chaque État membre s’abstient, dans le cas prévu au paragraphe 1, de demander à un autre État membre le remboursement lié aux dommages visés au paragraphe 4.

7. Lorsqu’une opération conjointe est envisagée et qu’une autorité de contrôle ne se conforme pas, dans un délai d’un mois, à l’obligation fixée au paragraphe 2, deuxième phrase, du présent article, les autres autorités de contrôle peuvent adopter une mesure provisoire sur le territoire de son État membre conformément à l’article 55. Dans ce cas, les circonstances permettant de considérer qu’il est urgent d’intervenir conformément à l’article 66, paragraphe 1, sont présumées être réunies et nécessitent un avis ou une décision contraignante d’urgence du comité en application de l’article 66, paragraphe 2.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Article 28

(….).

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre..

(….).

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 24

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du 27 avril 2016, la Commission nationale de l’informatique et des libertés met en œuvre des procédures de coopération et d’assistance mutuelle avec les autorités de contrôle des autres Etats membres de l’Union européenne et réalise avec ces autorités des opérations conjointes.

La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.

La commission peut charger le bureau :

1° D’exercer ses prérogatives en tant qu’autorité concernée, au sens de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016, et en particulier d’émettre une objection pertinente et motivée au projet de décision d’une autre autorité de contrôle ;

2° Lorsque la commission adopte un projet de décision en tant qu’autorité chef de file ou autorité concernée, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par le règlement (UE) 2016/679 du 27 avril 2016 et d’arrêter la décision au nom de la commission.

Article  25

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

I- Pour l’application de l’article 62 du règlement (UE) 2016/679 du 27 avril 2016, la Commission nationale de l’informatique et des libertés coopère avec les autorités de contrôle des autres Etats membres de l’Union européenne, dans les conditions prévues au présent article.

II- Qu’elle agisse en tant qu’autorité de contrôle concernée ou en tant qu’autorité chef de file au sens des articles 4 et 56 du règlement (UE) 2016/679 du 27 avril 2016, la Commission nationale de l’informatique et des libertés est compétente pour traiter une réclamation ou une éventuelle violation des dispositions du même règlement affectant par ailleurs d’autres Etats membres. Le président de la commission invite les autres autorités de contrôle concernées à participer aux opérations de contrôle conjointes qu’il décide de conduire.

III– Lorsqu’une opération de contrôle conjointe se déroule sur le territoire français, des membres ou agents habilités de la commission, agissant en tant qu’autorité de contrôle d’accueil, sont présents aux côtés des membres et agents des autres autorités de contrôle participant, le cas échéant, à l’opération. A la demande de l’autorité de contrôle d’un Etat membre, le président de la commission peut habiliter, par décision particulière, ceux des membres ou agents de l’autorité de contrôle concernée qui présentent des garanties comparables à celles requises des agents de la commission, en application de l’article 10 de la présente loi, à exercer, sous son autorité, tout ou partie des pouvoirs de vérification et d’enquête dont disposent les membres et les agents de la commission

IV- Lorsque la commission est invitée à contribuer à une opération de contrôle conjointe décidée par l’autorité de contrôle d’un autre Etat membre, le président de la commission se prononce sur le principe et les conditions de la participation, désigne les membres et agents habilités et en informe l’autorité requérante dans les conditions prévues à l’article 62 du règlement (UE) 2016/679 du 27 avril 2016.

Analyse des 3 textes qui précèdent 

L’article 62 du RGPD concrétise un changement de paradigme : il transforme la coopération facultative et bilatérale prévue sous la directive 95/46/CE en un mécanisme structuré, obligatoire et encadré de coopération opérationnelle entre autorités européennes.
Cette disposition vise à assurer la cohérence des contrôles et mesures de sanction dans un contexte où les traitements de données sont transfrontaliers.

La directive 95/46 CE posait les premières bases de la coordination entre autorités, mais de façon minimale et non contraignante.

  • Chaque autorité restait compétente uniquement sur son territoire national.
  • Elle pouvait « être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre », sans obligation.
  • Aucune procédure commune, ni cadre d’intervention transfrontalier n’étaient prévus.

Conséquence pratique :
La coopération dépendait du bon vouloir des autorités, ce qui entraînait une hétérogénéité d’application des règles et des délais de réaction très différents selon les États membres.

L’article 62 du RGPD systématise et approfondit cette coopération à travers les opérations conjointes.
Son apport se décline en plusieurs niveaux de nouveauté. 

La France a intégré l’article 62 RGPD dans son dispositif national par les articles 24 et 25 de la loi Informatique et Libertés.
La loi Informatique et Libertés met en place un système clair de double rôle (autorité chef de file ou autorité concernée), en conformité avec les obligations d’assistance mutuelle du RGPD, tout en maintenant la souveraineté procédurale française : tout acte d’enquête exercé sur le territoire français reste placé sous l’autorité de la CNIL.

Jurisprudences 

Européennes 

C-230/14 (1 octobre 2015) – Weltimmo

Cet arrêt, relatif à la directive 95/46/CE, antérieure au RGPD, est fondamental pour comprendre la compétence des autorités de contrôle sur les traitements transfrontaliers, pierre angulaire de l’article 62 RGPD qui organise la coopération opérationnelle entre autorités.

  • La CJUE reconnaît que l’autorité de contrôle d’un État membre peut appliquer sa législation de protection des données même si le responsable du traitement n’est pas établi dans cet État, sous réserve qu’il exerce une activité effective et réelle sur son territoire (par une installation stable).
  • Cette installation stable peut être constituée par l’exploitation de sites Internet ciblant ce marché national.
  • L’autorité saisie peut exercer ses pouvoirs uniquement sur le territoire de son État membre. En cas d’atteintes relevant de la compétence d’un autre État membre, elle doit inviter l’autorité de cet autre État à intervenir.

Lien avec l’article 62 RGPD :
L’article 62 organise précisément la coopération opérationnelle sur ce modèle :

  • Il prévoit que plusieurs autorités de contrôle peuvent participer conjointement à des enquêtes ou autres mesures, notamment lorsque les traitements affectent plusieurs États membres.
  • Il encadre les conditions de délégation des pouvoirs d’enquête entre autorités nationales sur leurs territoires respectifs.

L’arrêt Weltimmo justifie ainsi le fondement jurisprudentiel de la coopération transfrontalière obligatoire et articulée entre autorités évoquée à l’article 62.

C-645/19 (15 juin 2021) – Facebook Ireland Ltd e.a. c. Gegevensbeschermingsautoriteit

Ce jugement intervient déjà dans le régime du RGPD et traite notamment des questions liées à l’exercice par une autorité nationale, différente de l’autorité chef de file, de ses prérogatives en matière de sanction dans un traitement transfrontalier.

  • La CJUE confirme qu’une autorité de contrôle d’un État membre, même si elle n’est pas « chef de file » au sens de l’article 56, peut dans certaines situations exercer ses pouvoirs, comme porter une violation devant une juridiction nationale, en respectant toutefois la coopération et la cohérence prévues au RGPD.
  • Le rôle-clé des procédures de coopération et de contrôle de cohérence, en particulier celles prévues aux articles 56 à 66 (dont l’article 62), est confirmé. Ces procédures organisent la participation active de multiples autorités dans un traitement concerné par plusieurs États et assurent une concertation étroite dans l’application des mesures correctives ou sanctions.

Cette décision souligne l’importance des opérations conjointes et des procédures de coopération intégrées par l’article 62 dans l’exercice effectif des pouvoirs des autorités nationales dans un contexte transfrontalier.

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.