Article 36 RGPD : la consultation préalable de la CNIL

L’article 36 du RGPD est la disposition qui ferme la boucle de l’analyse d’impact : quand l’AIPD révèle un risque résiduel élevé que les mesures envisagées ne permettent pas d’atténuer, le responsable de traitement doit consulter la CNIL avant de déployer le traitement. En neuf ans d’application du règlement, cette consultation reste rarissime — la CNIL en publie quelques-unes par an seulement — et c’est précisément ce qui en fait une zone à risque pour les organisations qui déploient des systèmes innovants. Voici son analyse paragraphe par paragraphe, avec la lecture qu’en fait la CNIL et la manière dont je la pratique en mission de conseil.

Ce que dit l’article 36 du RGPD

L’Art. 36 s’intitule « Consultation préalable ». Il compte cinq paragraphes qui organisent, dans l’ordre :

• l’obligation de consulter l’autorité de contrôle lorsque l’AIPD révèle un risque résiduel élevé (Art. 36(1)) ;
• les délais et pouvoirs de l’autorité de contrôle — huit semaines, prorogeables de six, et renvoi à l’Art. 58 (Art. 36(2)) ;
• le contenu du dossier de consultation (Art. 36(3)) ;
• l’obligation de consultation préalable des États membres lors de l’élaboration de mesures législatives ou réglementaires (Art. 36(4)) ;
• la possibilité pour les droits nationaux d’imposer une consultation et une autorisation préalable pour les traitements de mission d’intérêt public (Art. 36(5)).

Le non-respect de l’Art. 36 relève du plafond haut de l’Art. 83(4)(a) — jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. La CNIL sanctionne très rarement l’absence de consultation préalable seule, mais l’invoque comme circonstance aggravante quand un traitement déployé sans consultation a généré une violation. Pour le cadre méthodologique de l’AIPD qui précède la consultation, je renvoie à mon analyse de l’article 35 RGPD et au guide pratique de l’AIPD — l’analyse qui suit reste centrée sur le mécanisme de consultation lui-même.

Art. 36(1) : le déclencheur du « risque résiduel élevé »

Le paragraphe 1 pose la règle générale : « Le responsable du traitement consulte l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ».

Trois éléments structurent ce déclencheur, et chacun est piégé.

D’abord, le caractère subsidiaire de la consultation. L’Art. 36(1) ne s’applique pas à tout risque élevé identifié au stade de l’AIPD — sinon les autorités de contrôle européennes seraient submergées. Il s’applique au risque résiduel : ce qui demeure après que le responsable de traitement a appliqué l’ensemble des mesures de mitigation envisageables. Les Lignes directrices WP248 rev.01 de l’EDPB le précisent expressément : « la consultation préalable est requise si, en dépit des mesures envisagées par le responsable du traitement pour atténuer le risque, l’AIPD indique que le traitement présenterait toujours un risque élevé ». La distinction est centrale en pratique : un traitement déclenchant une AIPD ne déclenche pas mécaniquement une consultation préalable de la CNIL.

Ensuite, le standard du « risque élevé », qui est le même standard qu’à l’Art. 35(1). Les neuf critères de l’EDPB (évaluation/notation, décision automatisée avec effet juridique, surveillance systématique, données sensibles, traitement à grande échelle, croisement de données, personnes vulnérables, usage innovant de technologies, traitement empêchant l’exercice d’un droit) servent de grille d’appréciation. L’arbitrage en pratique : si après mesures, deux ou trois critères demeurent activés sans dispositif compensatoire crédible, la consultation préalable s’impose.

Enfin, le caractère préalable — « préalablement au traitement ». L’Art. 36(1) interdit le déploiement avant l’avis de la CNIL. C’est une obligation de stand-still : le responsable de traitement qui aurait commencé à traiter sans attendre l’avis perd le bénéfice de la consultation. Dans mon expérience de conseil, cette dimension est sous-estimée : les équipes projet voient la consultation comme une formalité parallèle à la mise en production, alors qu’elle est un préalable bloquant. Pour articuler cette logique avec la conception protectrice, voir mon analyse de l’article 25 RGPD et du privacy by design.

Art. 36(2) : les délais et les pouvoirs de la CNIL

L’Art. 36(2) organise la procédure. Quand l’autorité de contrôle estime que le traitement envisagé violerait le RGPD, elle dispose d’un délai maximal de huit semaines à compter de la réception de la demande pour rendre un avis écrit. Ce délai est prorogeable de six semaines « en fonction de la complexité du traitement envisagé », à condition que l’autorité informe le responsable de cette prorogation et de ses motifs dans le mois suivant la réception de la demande.

Trois précisions importantes.

D’abord, le point de départ du délai : c’est la réception du dossier complet, et non l’envoi par le responsable de traitement. Si la CNIL demande des informations complémentaires, le délai est suspendu jusqu’à ce qu’elle les ait reçues. Concrètement, une consultation peut s’étirer sur plusieurs mois si le dossier initial est lacunaire — c’est la première raison pour laquelle je recommande une AIPD « robuste avant transmission » plutôt qu’un dossier minimaliste qui déclencherait des allers-retours.

Ensuite, la portée des pouvoirs de la CNIL. Au-delà de l’avis, l’Art. 36(2) renvoie à l’Art. 58 RGPD qui énumère les pouvoirs de l’autorité de contrôle : pouvoirs d’enquête (Art. 58(1)), pouvoirs correcteurs (Art. 58(2)), pouvoirs d’autorisation et consultatifs (Art. 58(3)). Cela signifie que la CNIL peut, à l’issue de la consultation, prononcer une mise en demeure, ordonner la suspension du traitement, voire imposer des mesures correctrices. La consultation n’est donc pas un simple échange technique : c’est un acte qui peut basculer en mesure correctrice si l’autorité juge le traitement non conforme.

Enfin, la portée de l’avis. L’avis de la CNIL ne « valide » pas formellement le traitement : il identifie les insuffisances et recommande des mesures. Mais en pratique, un avis sans réserve sécurise considérablement le responsable de traitement — il devient très difficile pour la CNIL de sanctionner ensuite un manquement qu’elle n’avait pas identifié au stade de la consultation. Inversement, ignorer les recommandations d’un avis défavorable expose à une sanction aggravée.

Art. 36(3) : le contenu du dossier de consultation

L’Art. 36(3) liste les six éléments à communiquer obligatoirement à l’autorité de contrôle :

• (a) les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants — particulièrement important dans les architectures groupe, voir mon analyse de la co-responsabilité (Art. 26 RGPD) et de l’Art. 28 RGPD sur le contrat de sous-traitance ;
• (b) les finalités et les moyens du traitement envisagé — description suffisamment précise pour que la CNIL puisse apprécier la proportionnalité ;
• © les mesures et garanties prévues pour protéger les droits et libertés — partie centrale du dossier, qui doit montrer une vraie ingénierie de mitigation et non une déclaration d’intention ;
• (d) les coordonnées du DPO s’il en existe un — ce qui suppose que l’avis du DPO sur l’AIPD soit également joint, conformément à l’Art. 35(2) et aux missions du DPO (Art. 39 RGPD) ;
• (e) l’AIPD prévue à l’Art. 35 — pièce maîtresse du dossier, qui doit respecter le contenu minimum de l’Art. 35(7) (description, nécessité/proportionnalité, risques, mesures) ;
• (f) toute autre information demandée par l’autorité de contrôle — clause d’élargissement qui justifie le mécanisme de suspension du délai.

En pratique, le dossier de consultation préalable est le pendant administratif d’une AIPD aboutie. Si l’AIPD est solide, le dossier de consultation s’en déduit en quelques pages de synthèse explicitant pourquoi le risque résiduel demeure élevé et quelles mesures complémentaires sont envisagées. Si l’AIPD est faible, la consultation préalable n’est pas le bon moment pour la rattraper : la CNIL renverra le dossier ou suspendra le délai jusqu’à reformulation.

J’ajoute systématiquement deux pièces non listées par l’Art. 36(3) mais que la CNIL apprécie : un résumé exécutif d’une page (le projet, le risque, la mesure principale, la question posée à la CNIL) et un calendrier de déploiement précisant la fenêtre de stand-still acceptée par le responsable de traitement.

Art. 36(4) : la consultation des États membres

L’Art. 36(4) impose aux États membres de consulter l’autorité de contrôle « dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire qui est fondée sur une telle mesure législative, qui se rapporte au traitement ».

Cette obligation explique pourquoi la CNIL est saisie chaque année de centaines de projets de loi et de décret comportant des dispositions « données personnelles » — fichiers de police, traitements de santé, dispositifs sociaux, vidéoprotection, etc. Les avis rendus à ce titre sont publiés au Journal Officiel et consultables sur le site de la CNIL. Pour les responsables de traitement privés, ces avis constituent une source d’interprétation précieuse : ils anticipent souvent la position de la CNIL sur des cas analogues.

Le considérant 96 du RGPD précise que cette consultation porte sur « toute mesure législative ou réglementaire qui prévoit le traitement de données à caractère personnel », ce qui couvre largement l’action publique en matière numérique — y compris les décrets pris pour la transposition d’autres règlements européens (DSA, AI Act, NIS2, DORA).

Art. 36(5) : la consultation préalable obligatoire en droit national

L’Art. 36(5) ouvre une faculté aux États membres : exiger que les responsables de traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable pour les traitements effectués dans le cadre d’une mission d’intérêt public, notamment en matière de sécurité sociale et de santé publique.

La France a fait usage de cette faculté à plusieurs niveaux dans la loi Informatique et Libertés modifiée. L’article 31 de la loi du 6 janvier 1978 organise un régime d’autorisation préalable pour les traitements mis en œuvre pour le compte de l’État qui portent sur les données mentionnées à l’Art. 6 LIL (données pénales) ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales — autorisation par décret en Conseil d’État après avis motivé et publié de la CNIL.

L’article 65 de la LIL organise quant à lui le régime des traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé : autorisation préalable de la CNIL après avis du CESREES (Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé) lorsque le traitement n’entre pas dans une méthodologie de référence (MR-001, MR-003, MR-004, etc.). C’est ce régime spécifique que les acteurs du secteur santé doivent maîtriser, en plus du régime général de l’Art. 36 RGPD.

Pour le secteur santé en particulier, voir mes analyses de l’article 9 RGPD sur les données sensibles et de la conformité RGPD du cabinet médical.

Procédure pratique : comment saisir la CNIL au titre de l’Art. 36

La CNIL met à disposition sur son site un formulaire dédié à la consultation préalable. La procédure suit, dans la pratique que j’observe, six étapes.

Étape 1 — finalisation de l’AIPD. Avant tout dépôt, l’AIPD doit être complète et signée par le responsable de traitement, avec l’avis du DPO joint. Une AIPD encore en cours d’analyse interne ne se transmet pas.

Étape 2 — note de saisine. Une note de cinq à dix pages explicite le contexte du projet, les finalités poursuivies, les mesures déjà prises, le risque résiduel identifié, la question juridique précise sur laquelle l’avis de la CNIL est sollicité.

Étape 3 — dossier complet. L’ensemble est assemblé conformément à l’Art. 36(3) : note de saisine, AIPD signée, avis du DPO, projet de politique de protection des données, projets de mentions d’information aux personnes concernées (Art. 13/14), projet de contrat de sous-traitance (Art. 28) le cas échéant.

Étape 4 — accusé de réception et démarrage du délai. La CNIL accuse réception et confirme le démarrage du délai de huit semaines. C’est à cette étape qu’il faut anticiper la possibilité d’une demande de complément, qui suspendrait le délai.

Étape 5 — instruction. La CNIL peut solliciter des informations complémentaires, organiser une réunion technique, demander une démonstration du système. Sur les projets innovants — biométrie, IA, analyse comportementale — l’instruction prend généralement la totalité du délai initial et déclenche une prorogation.

Étape 6 — avis écrit. L’avis identifie les points de conformité, les insuffisances, et les conditions de déploiement. Il peut être assorti d’un calendrier de mise en conformité et de demandes de compte-rendu post-déploiement.

L’Art. 36 et l’AI Act : un point d’articulation à structurer

Avec l’entrée en application du règlement européen sur l’intelligence artificielle, l’articulation entre la consultation préalable de l’Art. 36 RGPD et les obligations de transparence des systèmes d’IA à haut risque devient un sujet opérationnel.

Pour un système d’IA à haut risque qui traite des données personnelles, l’AIPD de l’Art. 35 RGPD et la FRIA (Fundamental Rights Impact Assessment) de l’Art. 27 de l’AI Act peuvent être conduites dans un document intégré. Si le risque résiduel post-mitigation reste élevé au sens du RGPD, la consultation préalable de la CNIL au titre de l’Art. 36 demeure obligatoire — et porte alors sur l’ensemble du dispositif, y compris la dimension IA. Pour le cadre français, voir mes analyses sur IA et CNIL : recommandations 2025-2026 et sur l’IA en banque et assurance.

Dans mon expérience récente, les premiers projets de saisine au titre de l’Art. 36 sur des systèmes d’IA portent surtout sur trois familles : la biométrie comportementale en milieu professionnel, les outils d’aide à la décision médicale, et les dispositifs d’analyse vidéo en espace public. Sur ce dernier point, voir IA et vidéosurveillance : cadre RGPD et AI Act.

Sanctions et contrôles CNIL

L’absence de consultation préalable au titre de l’Art. 36 est rarement sanctionnée seule. Mais la CNIL la retient comme circonstance aggravante quand un traitement à risque résiduel élevé déployé sans consultation a ensuite généré un manquement.

Dans la délibération SAN-2023-009 (Cityscoot, 100 000 €), la CNIL relève l’absence d’AIPD pour la géolocalisation à haute fréquence et, par ricochet, l’absence de consultation préalable qu’aurait dû déclencher cette analyse. La logique de l’autorité : si l’AIPD avait été conduite, elle aurait identifié un risque résiduel élevé, et la consultation préalable aurait dû être enclenchée — l’absence de cette procédure double prive le responsable de traitement de tout argument de bonne foi.

Plus largement, le pouvoir d’injonction de l’Art. 58(2) — auquel renvoie l’Art. 36(2) — permet à la CNIL d’ordonner la suspension d’un traitement déployé sans consultation préalable obligatoire. La sanction financière n’est qu’un des leviers : la suspension d’un service en production, qu’elle soit ordonnée par la CNIL ou décidée préventivement par le responsable de traitement après mise en demeure, peut être économiquement bien plus lourde.

Voir aussi mon analyse des sanctions CNIL 2026 et de l’article 33 RGPD sur la notification de violation — qui s’articule en cascade quand une violation survient sur un traitement déployé sans consultation préalable.

Ce qu’il faut retenir

• L’Art. 36 RGPD impose une consultation préalable de la CNIL uniquement lorsque l’AIPD révèle un risque résiduel élevé après application de toutes les mesures de mitigation envisagées — pas tout risque élevé identifié au stade initial de l’AIPD.
• La CNIL dispose de huit semaines pour rendre son avis, prorogeables de six semaines, à compter de la réception du dossier complet ; le délai est suspendu en cas de demande d’informations complémentaires.
• Le dossier de consultation (Art. 36(3)) comporte six éléments obligatoires, dont l’AIPD signée et l’avis du DPO ; un dossier lacunaire allonge mécaniquement le délai.
• La consultation est bloquante : déployer le traitement avant l’avis de la CNIL constitue un manquement à l’Art. 36 et prive le responsable de traitement de l’argument de bonne foi en cas de sanction ultérieure.
• Le droit français impose des régimes d’autorisation préalable spécifiques au titre de l’Art. 36(5) — Art. 31 LIL pour les fichiers de police, Art. 65 LIL pour les recherches en santé.
• L’absence de consultation préalable relève du plafond de l’Art. 83(4)(a) — 10 millions d’euros ou 2 % du chiffre d’affaires mondial — et constitue une circonstance aggravante systématique.

Recevez nos analyses conformité chaque semaine. Notre newsletter décrypte la jurisprudence CNIL, les lignes directrices EDPB et les obligations RGPD avec un angle pratique. Inscription gratuite, désinscription en un clic.

FAQ

Quand la consultation préalable de l’Art. 36 RGPD est-elle obligatoire ?

La consultation est obligatoire lorsque l’AIPD réalisée au titre de l’Art. 35 RGPD indique que le traitement présenterait un risque élevé pour les droits et libertés des personnes même après application des mesures de mitigation envisagées par le responsable de traitement. Il s’agit donc d’un risque résiduel élevé, et non du risque initial identifié au démarrage de l’AIPD. Si les mesures envisagées permettent de ramener le risque à un niveau acceptable, la consultation préalable n’est pas requise.

Quel est le délai de réponse de la CNIL au titre de l’Art. 36 ?

L’Art. 36(2) RGPD prévoit un délai maximal de huit semaines à compter de la réception du dossier complet, prorogeable de six semaines en fonction de la complexité du traitement envisagé. La CNIL doit informer le responsable de traitement de la prorogation et de ses motifs dans le mois suivant la réception de la demande. Le délai est suspendu lorsque la CNIL demande des informations complémentaires, ce qui peut considérablement étendre la durée totale de la procédure.

Peut-on déployer le traitement avant la réponse de la CNIL ?

Non. L’Art. 36(1) RGPD impose une consultation « préalable au traitement », ce qui interdit le déploiement avant la réception de l’avis de la CNIL. Un traitement déployé sans attendre l’avis constitue un manquement à l’Art. 36 et prive le responsable de traitement de l’argument de bonne foi en cas de sanction ultérieure. Cette obligation de stand-still doit être anticipée dans le calendrier projet.

Quels documents transmettre à la CNIL au titre de l’Art. 36(3) ?

Le dossier doit comporter six éléments : la description des responsabilités respectives du responsable de traitement, des éventuels co-responsables et des sous-traitants ; les finalités et moyens du traitement envisagé ; les mesures et garanties prévues pour protéger les droits et libertés des personnes ; les coordonnées du DPO ; l’AIPD réalisée au titre de l’Art. 35 RGPD ; toute autre information demandée par la CNIL. En pratique, j’ajoute systématiquement une note de saisine d’une page et un calendrier de déploiement.

Quelle différence entre l’Art. 36 RGPD et l’autorisation préalable de la loi française ?

L’Art. 36 RGPD organise une consultation européenne harmonisée déclenchée par le risque résiduel élevé identifié dans l’AIPD. La loi Informatique et Libertés française organise des régimes d’autorisation préalable spécifiques sur le fondement de l’Art. 36(5) RGPD : Art. 31 LIL pour les traitements pour le compte de l’État portant sur des données pénales ou de prévention/répression des infractions ; Art. 65 LIL pour les traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé hors méthodologies de référence. Ces régimes nationaux se cumulent avec l’Art. 36 RGPD et imposent une autorisation expresse, et non un simple avis.