Article 58 RGPD : les pouvoirs de la CNIL décryptés

L’article 58 du RGPD est l’épine dorsale de toute la mécanique d’exécution du règlement. C’est le texte qui donne à la CNIL — et à ses homologues européennes — leurs pouvoirs d’enquête, leurs pouvoirs correcteurs et leurs pouvoirs d’autorisation. Quand on lit une délibération de la formation restreinte, qu’on reçoit un courrier de demande d’informations ou qu’on subit un contrôle sur place, c’est toujours une disposition de l’article 58 qui est mobilisée. En vingt ans de pratique, je n’ai jamais vu une procédure CNIL où ce texte n’était pas, à un moment ou à un autre, cité dans le contradictoire. Voici son analyse paragraphe par paragraphe, et la manière dont je l’utilise pour préparer mes clients aux différents stades d’une procédure.

Ce que dit l’article 58 du RGPD

L’Art. 58, intitulé « Pouvoirs », articule six paragraphes qui dressent la cartographie complète des prérogatives d’une autorité de contrôle. Il faut le lire en miroir de l’article 57 RGPD sur les missions (l’article 57 dit ce que fait l’autorité, l’article 58 dit avec quels pouvoirs elle le fait), de l’article 83 RGPD sur les amendes administratives, et de l’article 31 RGPD sur l’obligation symétrique de coopération qui pèse sur le responsable de traitement et le sous-traitant.

La logique du texte est tripartite : pouvoirs d’enquête (Art. 58(1)), pouvoirs d’adoption de mesures correctrices (Art. 58(2)), pouvoirs d’autorisation et de conseil (Art. 58(3)). À cela s’ajoutent les garanties procédurales (Art. 58(4)), l’accès au juge (Art. 58(5)) et la faculté pour les États membres d’octroyer des pouvoirs supplémentaires (Art. 58(6)). En France, c’est le titre III de la loi Informatique et Libertés du 6 janvier 1978 modifiée (articles 19 à 22) qui transpose et précise ce dispositif, complété par le décret n° 2019-536 du 29 mai 2019.

Art. 58(1) : les six pouvoirs d’enquête de la CNIL

Le premier paragraphe énumère six pouvoirs d’enquête, présentés comme un socle minimum dont chaque autorité doit disposer. En France, ils sont intégralement transposés et même renforcés par les articles 19 et 20 LIL.

Art. 58(1)(a) — Ordonner la production d’informations. La CNIL peut adresser des demandes d’informations écrites au responsable de traitement, au sous-traitant et à toute personne physique ou morale qui détient des informations utiles. C’est l’instrument le plus utilisé en première phase d’une procédure : avant tout contrôle sur place, la CNIL envoie quasi systématiquement un courrier listant entre quinze et soixante questions, assorties d’un délai de réponse de quinze jours à un mois. Ne pas répondre, ou répondre de manière incomplète, expose au défaut de coopération de l’article 31 RGPD et aux sanctions de l’article 83(4)(a), sans préjudice de l’astreinte (CNIL Kourou, 200 €/jour). La CNIL a fait usage de cette mécanique de manière retentissante dans la procédure SAN-2024-001 Hubside.Store où le défaut de coopération a alourdi l’amende de 525 000 €.

Art. 58(1)(b) — Mener des enquêtes sous la forme d’audits de protection des données. Ce pouvoir d’audit est exercé en France à travers les quatre formes de contrôle prévues à l’article 19 LIL : contrôle sur place, contrôle sur convocation, contrôle sur pièces et contrôle en ligne. Le contrôle sur place est mené par les agents de la CNIL habilités, qui peuvent se rendre dans tout local servant à la mise en œuvre du traitement entre 6 heures et 21 heures (sauf parties privatives d’habitation, qui requièrent l’autorisation du juge des libertés et de la détention). En 2025, la CNIL a réalisé environ 340 contrôles, dont 50 % en ligne, 30 % sur pièces, 15 % sur place et 5 % sur convocation.

Art. 58(1)© — Procéder à un examen des certifications. Ce pouvoir trouve sa pleine actualité depuis l’adoption du référentiel CNIL de certification du DPO (délibération n° 2018-318 du 20 septembre 2018), du référentiel de certification de la maturité de la conformité d’un traitement (délibération n° 2022-101 du 13 octobre 2022) et des schémas européens en cours sous l’égide du CEPD au titre de l’article 42 RGPD. La CNIL peut vérifier qu’une certification délivrée par un organisme accrédité au titre de l’article 43 RGPD repose sur des éléments factuels et conformes au référentiel — et la retirer dans le cas contraire.

Art. 58(1)(d) — Notifier les manquements. Avant la phase contradictoire formelle, la CNIL peut signaler à un responsable de traitement les manquements présumés et lui demander de s’expliquer. C’est le rôle joué en pratique par les courriers de la direction de la conformité avant la saisine du président pour mise en demeure ou de la formation restreinte pour sanction.

Art. 58(1)(e) — Obtenir l’accès aux données et à toutes les informations nécessaires. Ce pouvoir d’accès large couvre les bases de données, les fichiers journaux, les contrats, les correspondances internes, les politiques de sécurité. L’article 19 LIL précise que cet accès s’étend aux locaux, équipements et programmes informatiques. Le refus de communication est passible des sanctions pénales de l’article 226-22-2 du Code pénal (1 an de prison et 15 000 € d’amende pour entrave), distinctes des sanctions administratives de l’article 83.

Art. 58(1)(f) — Obtenir l’accès aux locaux. Le contrôle sur place est conditionné, en France, à la présentation d’une lettre de mission signée par le président de la CNIL et à la délivrance d’une décision du juge des libertés et de la détention en cas d’opposition ou pour les locaux d’habitation (article 19, II LIL). La résistance à la visite est elle aussi un délit d’entrave.

En pratique, la phase d’instruction d’une procédure CNIL combine systématiquement Art. 58(1)(a) pour la demande d’informations initiale, Art. 58(1)(b) pour le contrôle sur place ou en ligne, et Art. 58(1)(e) pour l’accès aux preuves techniques.

Art. 58(2) : les dix pouvoirs correcteurs de la CNIL

C’est le paragraphe qui structure toute la pratique des sanctions et des mises en demeure. L’Art. 58(2) liste dix mesures correctrices, présentées dans un ordre de gravité croissant. La formation restreinte de la CNIL choisit, parmi cette palette, la ou les mesures les plus adaptées au manquement constaté, en application du principe de proportionnalité posé par l’article 83(1) RGPD.

Art. 58(2)(a) — Avertissement. Mesure la plus légère, qui consiste à signaler au responsable de traitement qu’une opération de traitement envisagée est susceptible de violer le RGPD. C’est un outil préventif, par exemple sur des projets de traitement à risque que la CNIL souhaite alerter avant déploiement.

Art. 58(2)(b) — Rappel à l’ordre. Constate un manquement avéré mais clôture l’affaire sans sanction pécuniaire ni mise en conformité formelle. La CNIL en a prononcé 90 en 2024, sur des manquements de faible gravité ou rapidement corrigés.

Art. 58(2)© — Injonction d’accéder aux demandes d’exercice des droits. Spécifique au contentieux des droits des personnes (Art. 12-22 RGPD), elle ordonne au responsable de traiter dans un délai donné la demande d’accès, de rectification ou d’effacement qui a fait l’objet d’une réclamation. Cf. CNIL SAN-2022-022 Free Mobile, 300 000 €, pour défaut de réponse à des demandes d’accès et de rectification (article 16 RGPD).

Art. 58(2)(d) — Injonction de mise en conformité. Pouvoir central : la CNIL ordonne la mise en conformité du traitement avec le RGPD, dans un délai donné, sous astreinte le cas échéant. C’est l’instrument privilégié des « mises en demeure publiques » de la présidente, qui combinent l’injonction de mise en conformité, un délai (souvent trois mois) et la publication de la mise en demeure. La non-exécution déclenche la saisine de la formation restreinte pour sanction.

Art. 58(2)(e) — Injonction d’informer les personnes concernées d’une violation. Spécifique à l’article 34 RGPD sur la communication des violations aux personnes concernées : si le responsable refuse d’informer alors que la CNIL estime que la violation présente un risque élevé, elle peut ordonner cette communication.

Art. 58(2)(f) — Limitation temporaire ou définitive du traitement, y compris l’interdiction. Mesure radicale, prononcée par la CNIL contre Clearview AI (SAN-2022-019, 20 M€ et interdiction de collecte et de traitement) ou Cityscoot (SAN-2023-009, 100 000 €) avec interdiction d’utiliser la géolocalisation au mètre près. La limitation peut viser une catégorie de données, une finalité, ou l’ensemble du traitement.

Art. 58(2)(g) — Ordonner la rectification, l’effacement ou la limitation des données. Pouvoir distinct du précédent : il vise la base de données elle-même, pas l’opération de traitement.

Art. 58(2)(h) — Retrait d’une certification ou injonction de retrait à l’organisme de certification. Complète le pouvoir de l’article 43 RGPD sur les organismes de certification.

Art. 58(2)(i) — Amende administrative au titre de l’article 83. Le pouvoir le plus visible. Pour la France, c’est la formation restreinte de la CNIL (composée de cinq membres distincts du collège plénier) qui prononce les amendes après procédure contradictoire. Plafonds 10 M€ / 2 % CA mondial ou 20 M€ / 4 % CA selon la catégorie de manquement (article 83 RGPD).

Art. 58(2)(j) — Suspension des flux de données vers un pays tiers. Pouvoir directement issu de la jurisprudence Schrems II (CJUE C-311/18, 16 juillet 2020). La CNIL l’a mobilisé via la mise en demeure du 10 février 2022 contre l’utilisation de Google Analytics. Articulation directe avec l’article 44 RGPD et l’article 46 RGPD.

Une procédure CNIL aboutit fréquemment au prononcé cumulé de plusieurs mesures correctrices : par exemple, une mise en conformité (Art. 58(2)(d)) + une amende (Art. 58(2)(i)) + une publication, comme dans SAN-2024-001 Hubside.Store. Ce cumul est expressément permis par l’article 83(2) qui prévoit qu’une amende peut être prononcée « en complément » d’une ou plusieurs autres mesures.

Art. 58(3) : les neuf pouvoirs d’autorisation et consultatifs

Le troisième paragraphe regroupe les pouvoirs administratifs préventifs et consultatifs. Ils sont moins visibles médiatiquement mais structurent l’activité quotidienne de la CNIL.

Art. 58(3)(a) — donner des conseils au responsable de traitement, notamment dans le cadre de la consultation préalable de l’article 36 RGPD.

Art. 58(3)(b) — émettre des avis à destination du Parlement, du gouvernement, etc., sur toute question liée à la protection des données. C’est sur ce fondement que la CNIL rend les avis publiés au JO sur les projets de loi et de décret comportant des traitements de données (article 8-I-3° et 4° LIL).

Art. 58(3)© — autoriser le traitement visé à l’article 36(5), c’est-à-dire les traitements soumis à autorisation par le droit national. En France : fichiers de police au sens de l’article 31 LIL, traitements de recherche en santé hors méthodologies de référence au sens de l’article 65 LIL.

Art. 58(3)(d) — émettre un avis sur les projets de codes de conduite et les approuver au titre de l’article 40 RGPD.

Art. 58(3)(e) — accréditer les organismes de certification au titre de l’article 43 RGPD — étape technique souvent déléguée au COFRAC en France.

Art. 58(3)(f) — délivrer les certifications et approuver les critères de certification au titre de l’article 42 RGPD.

Art. 58(3)(g) — adopter les clauses contractuelles types pour les transferts hors UE (article 46 RGPD) — pouvoir aujourd’hui largement absorbé par la Commission européenne (décision 2021/914 du 4 juin 2021).

Art. 58(3)(h) — approuver les clauses contractuelles ad hoc et les arrangements administratifs entre autorités publiques au titre de l’article 46(3).

Art. 58(3)(i) — autoriser les règles d’entreprise contraignantes (BCR) au titre de l’article 47 RGPD.

Art. 58(4) : les garanties procédurales

L’Art. 58(4) impose que l’exercice de ces pouvoirs s’exerce « sous réserve des garanties appropriées, y compris un recours juridictionnel effectif et une procédure régulière, prévues par le droit de l’Union et le droit des États membres conformément à la Charte ».

Concrètement, en France, ces garanties prennent plusieurs formes :

• Procédure contradictoire devant la formation restreinte : notification des griefs, accès au dossier, observations écrites, audition (articles 22 LIL et 76 du décret n° 2019-536).
• Représentation par un avocat possible mais non obligatoire devant la formation restreinte.
• Voies de recours : le recours pour excès de pouvoir, voire le recours en plein contentieux, est porté devant le Conseil d’État au titre de l’article 78 RGPD, dans le délai dérogatoire de quatre mois prévu à l’article 21 LIL pour les sanctions de la formation restreinte (et deux mois pour les autres décisions, article R. 421-1 CJA).
• Pour les contrôles sur place avec opposition ou dans des locaux d’habitation, autorisation préalable du juge des libertés et de la détention (article 19, II LIL).
• Pour les traitements de l’État relevant de la sûreté nationale, régime spécifique des articles 87 à 90 LIL.

La CJUE a précisé l’étendue du contrôle juridictionnel dans l’arrêt C-26/22 UF c/ Land Hessen du 7 décembre 2023 : le rejet d’une réclamation par une autorité de contrôle au titre de l’article 77 RGPD doit pouvoir faire l’objet d’un contrôle juridictionnel complet, y compris sur l’appréciation factuelle du manquement.

Art. 58(5) : la capacité d’agir en justice

L’Art. 58(5) prévoit que « chaque État membre prévoit, par la loi, que son autorité de contrôle est habilitée à porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, à ester en justice ».

En France, ce pouvoir prend deux formes principales. D’abord, la dénonciation au procureur de la République au titre de l’article 40 du Code de procédure pénale : la CNIL transmet régulièrement aux parquets les dossiers révélant des infractions pénales (articles 226-16 à 226-24 du Code pénal, sanctions de l’article 84 RGPD). Ensuite, la possibilité pour la CNIL d’intervenir devant les juridictions civiles et administratives lorsqu’un litige soulève une question d’application du RGPD — pouvoir exercé sur le fondement de l’article 8-I-6° LIL.

Art. 58(6) : pouvoirs nationaux supplémentaires

L’Art. 58(6) ouvre la porte à des pouvoirs supplémentaires octroyés par le droit national. La France a fait usage de cette faculté pour, notamment :

• Le pouvoir d’astreinte : la formation restreinte peut prononcer une astreinte journalière, plafonnée à 100 000 € par jour, distincte de l’amende principale (article 20-III LIL). Utilisée par exemple dans la procédure Kourou pour défaut de coopération.
• Le pouvoir de publication des sanctions et mises en demeure : la CNIL peut, à titre de sanction complémentaire ou de simple mesure publicitaire d’une mise en demeure, publier sa décision (article 20-III LIL).
• Le pouvoir de prononcer une amende selon la procédure simplifiée pour les manquements clairs et de faible enjeu, plafonnée à 20 000 € (article 22-1 LIL, créé par la loi du 19 juillet 2024) — procédure inaugurée fin 2024.

Ce qu’il faut retenir

• L’article 58 RGPD structure trois catégories de pouvoirs : enquête (six pouvoirs, Art. 58(1)), correcteurs (dix mesures, Art. 58(2)), autorisation et conseil (neuf prérogatives, Art. 58(3)).
• En France, ces pouvoirs sont transposés et précisés par les articles 19 à 22 de la loi Informatique et Libertés et le décret n° 2019-536 du 29 mai 2019.
• Le contradictoire devant la formation restreinte est encadré par l’Art. 58(4) et donne lieu à un recours de pleine juridiction devant le Conseil d’État dans le délai dérogatoire de quatre mois.
• Le défaut de coopération avec l’exercice de ces pouvoirs est sanctionné cumulativement au titre de l’article 31 RGPD, de l’article 83(4)(a) (amende plafond bas) et de l’article 226-22-2 du Code pénal (entrave).
• En pratique, anticipez un courrier de demande d’informations Art. 58(1)(a) en première phase : la qualité de cette réponse conditionne souvent l’orientation de la procédure vers une simple clôture, une mise en demeure ou une saisine de la formation restreinte.

FAQ

La CNIL peut-elle entrer dans mes locaux sans prévenir ?

Oui, dans le cadre du pouvoir de contrôle sur place de l’article 58(1)(f), transposé à l’article 19 LIL. Les agents habilités peuvent se présenter dans tout local servant à la mise en œuvre du traitement, entre 6 heures et 21 heures, sans préavis. Une opposition à la visite ou les locaux d’habitation requièrent l’autorisation préalable du juge des libertés et de la détention. La résistance à la visite constitue un délit d’entrave passible d’un an d’emprisonnement et 15 000 € d’amende (article 226-22-2 du Code pénal).

Quelle est la différence entre une mise en demeure et une sanction de la CNIL ?

La mise en demeure relève du pouvoir d’injonction de mise en conformité de l’article 58(2)(d) : elle ordonne au responsable de se conformer dans un délai donné, sans prononcer d’amende. Elle peut être publique ou non. La sanction relève de l’article 58(2)(i) et est prononcée par la formation restreinte au terme d’une procédure contradictoire ; elle peut comporter une amende au titre de l’article 83 RGPD, une injonction sous astreinte et une publication. En pratique, la sanction intervient soit après échec d’une mise en demeure préalable, soit directement quand la gravité du manquement le justifie.

Puis-je contester une décision de la CNIL ?

Oui. Les décisions de la formation restreinte (sanctions, injonctions) sont susceptibles d’un recours de pleine juridiction devant le Conseil d’État, statuant en premier et dernier ressort, dans un délai dérogatoire de quatre mois à compter de la notification (article 21 LIL). Les autres décisions (mises en demeure, refus d’autorisation, rejets de réclamation) suivent le régime ordinaire du recours pour excès de pouvoir devant le Conseil d’État, dans le délai de droit commun de deux mois (article R. 421-1 CJA). Cf. l’analyse complète de l’article 78 RGPD sur le recours juridictionnel contre les décisions de la CNIL.

La CNIL peut-elle suspendre les transferts de données vers les États-Unis ?

Oui, au titre de l’article 58(2)(j). C’est ce pouvoir qu’elle a mobilisé dans la mise en demeure du 10 février 2022 contre l’utilisation de Google Analytics, après l’arrêt CJUE C-311/18 Schrems II. Depuis l’adoption du Data Privacy Framework (décision d’adéquation 2023/1795 du 10 juillet 2023), les transferts vers les opérateurs américains certifiés DPF sont à nouveau couverts par une décision d’adéquation au titre de l’article 45 RGPD — mais la fragilité du dispositif (recours pendant devant la CJUE, dit « Schrems III ») impose de maintenir des mécanismes de repli (CCT, BCR).

Combien de temps dure une procédure CNIL ?

De l’ouverture de l’enquête à la décision finale, comptez en général entre 12 et 24 mois pour une procédure de sanction. Le contrôle initial (Art. 58(1)) prend quelques semaines à quelques mois. La phase d’instruction par le rapporteur dure de 6 à 12 mois. La phase contradictoire devant la formation restreinte ajoute 3 à 6 mois jusqu’à la séance. Le délibéré est rendu dans les semaines qui suivent. À cela s’ajoute, en cas de recours, l’examen par le Conseil d’État qui prend de 12 à 24 mois supplémentaires.

---

Vous souhaitez recevoir nos analyses détaillées du RGPD et de la pratique CNIL chaque semaine ? Inscrivez-vous à notre newsletter — 8 000 professionnels reçoivent déjà notre veille conformité.