Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 25 mai 2026
Accueil/RGPD/Article 60 RGPD : la procédure de coopération décryptée
RGPD

Article 60 RGPD : la procédure de coopération décryptée

Article 60 RGPD : procédure de coopération chef de file / autorités concernées. Délais, objections, projet de décision. Analyse paragraphe par paragraphe.

Par Thiebaut DevergrannePublie le 23 mai 2026Mis a jour le 23 mai 202622 min de lecture
Sommaire
  1. Ce que dit l’article 60 du RGPD
  2. Article 60(1) : l’obligation de coopération loyale
  3. Article 60(2) : l’assistance mutuelle et les mesures d’enquête
  4. Article 60(3) : le projet de décision et la transmission
  5. Article 60(4) : l’objection pertinente et motivée
  6. Article 60(5) : la bifurcation après objection
  7. Article 60(6) : l’adoption en l’absence d’objection
  8. Article 60(7) : l’adoption et la notification au responsable
  9. Article 60(8) et (9) : la notification au plaignant et le cas où le chef de file ne prend pas de décision
  10. Article 60(10) : la mise en œuvre par le responsable et le mécanisme d’urgence
  11. Article 60(11) : le maintien des mesures provisoires
  12. Article 60(12) : les moyens électroniques de coopération
  13. Jurisprudence structurante
  14. Lignes directrices du CEPD
  15. Le règlement procédural Art. 60 en cours d’adoption
  16. Articulation avec les autres articles
  17. Plan opérationnel pour une entreprise multi-établissements
  18. Sanctions encourues
  19. Ce qu’il faut retenir
  20. FAQ

L’article 56 du RGPD désigne l’autorité chef de file ; l’article 58 lui confère ses pouvoirs ; l’article 60 lui dit comment s’en servir quand un dossier est transfrontalier. C’est sur ce texte — douze paragraphes denses et techniques — que reposent les amendes records prononcées ces dernières années : 1,2 milliard d’euros à Meta pour les transferts vers les États-Unis (mai 2023), 390 millions à Instagram (janvier 2023), 345 millions à TikTok (septembre 2023), 225 millions à WhatsApp (juillet 2021). Toutes ont suivi exactement la même mécanique procédurale : projet de décision de la DPC irlandaise, objections « pertinentes et motivées » des autres autorités, escalade au CEPD, décision contraignante Art. 65, sanction finale. Comprendre l’article 60 RGPD, c’est comprendre comment se fabriquent, en pratique, les grandes décisions européennes de protection des données — et comment une entreprise française peut s’y défendre.

Ce que dit l’article 60 du RGPD

L’article 60 est intitulé « Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées ». Il s’inscrit dans la section 1 du chapitre VII (« Coopération et cohérence ») et constitue le pivot opérationnel du mécanisme de guichet unique. Là où l’article 56 répond à la question « qui est compétent ? », l’article 60 répond à « comment cette compétence s’exerce-t-elle ? ». La réponse tient en une mécanique en cinq temps : information mutuelle, projet de décision, fenêtre d’objection, adoption, notification. Aucune autre disposition du règlement n’organise aussi précisément la prise de décision d’une autorité administrative — pas même la directive 95/46 que le RGPD a remplacée, qui ignorait entièrement le caractère transfrontalier des traitements.

Le texte distingue trois acteurs : l’autorité chef de file au sens de l’article 56, les autorités de contrôle concernées au sens de l’article 4(22) (autorité de l’État où le responsable est établi, où la personne réside, ou auprès de laquelle la réclamation a été introduite), et le Comité européen de la protection des données (CEPD) qui n’intervient qu’en cas de désaccord persistant via les articles 63 à 65. La logique est celle d’un dialogue continu entre autorités, sous le contrôle d’arbitrage du CEPD, dont les sanctions sont ensuite prononcées par l’autorité chef de file mais souvent imposées par le mécanisme de cohérence.

Article 60(1) : l’obligation de coopération loyale

Le premier paragraphe pose le principe : l’autorité chef de file « coopère avec les autres autorités de contrôle concernées conformément au présent article afin de parvenir à un consensus ». La formulation est volontairement large. Elle n’impose pas un résultat — le consensus — mais une démarche : tout faire pour l’obtenir. L’expression « coopération loyale » que reprend la jurisprudence européenne s’enracine dans l’article 4, paragraphe 3, du Traité sur l’Union européenne. Elle implique l’échange « d’informations utiles » entre autorités. En pratique, cela couvre les notifications de violations Art. 33 reçues par les filiales locales, les réclamations Art. 77 introduites devant l’autorité concernée, les conclusions d’audits, les correspondances avec le responsable de traitement, les transmissions inter-autorités via le système IMI (Internal Market Information System).

Pour une entreprise française dont la maison-mère est en Irlande, en Allemagne ou au Luxembourg, ce paragraphe a une conséquence directe : la CNIL et l’autorité chef de file échangent en continu sur les dossiers transfrontaliers vous concernant. Aucune des deux ne « lâche » l’autre. Le silence de la CNIL ne signifie ni inaction, ni absence d’informations — il signifie simplement qu’elle n’est pas l’autorité chef de file pour le traitement examiné.

Article 60(2) : l’assistance mutuelle et les mesures d’enquête

Le paragraphe 2 institue un droit pour l’autorité chef de file de demander à tout moment aux autorités concernées de procéder à une « assistance mutuelle conformément à l’article 61 » (échange d’informations, consultations, contrôles, enquêtes) ou à des « opérations conjointes conformément à l’article 62 » (contrôles communs sur le territoire d’un autre État membre). Symétriquement, les autorités concernées peuvent solliciter le chef de file.

Cette mécanique a été utilisée dans la quasi-totalité des grands dossiers Meta : la DPC irlandaise (chef de file pour Meta) a demandé à de nombreuses reprises l’assistance d’autorités allemandes, françaises, italiennes. À l’inverse, dans le dossier Google Analytics, l’autorité autrichienne (DSB) a mené ses propres contrôles avant de transmettre ses conclusions à ses homologues européennes, qui ont rendu des décisions parallèles (CNIL, mise en demeure du 10 février 2022 ; Garante italien, décision du 23 juin 2022 ; Datatilsynet danois, décision du 21 septembre 2022). C’est l’un des points pratiques que tout DPO de groupe européen doit anticiper : un contrôle de la CNIL peut être déclenché à la demande d’une autorité chef de file située dans un autre État membre.

Article 60(3) : le projet de décision et la transmission

C’est le paragraphe central de l’article 60. L’autorité chef de file « soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et tient dûment compte de leur point de vue ». Trois temps :

  1. Élaboration du projet de décision par l’autorité chef de file (instruction, audition du responsable, qualification juridique, motivation, quantum de la sanction le cas échéant). Ce travail peut prendre plusieurs années — la DPC irlandaise a été régulièrement critiquée pour la lenteur de ses procédures, d’où le débat actuel sur le règlement procédural Art. 60 proposé par la Commission en juillet 2023 (COM(2023) 348 final).
  2. Transmission aux autorités concernées via le système IMI. Le projet comprend la qualification, les mesures correctrices envisagées (au sens de l’article 58(2)), l’amende administrative envisagée et son calcul.
  3. Fenêtre d’observation au cours de laquelle les autorités concernées peuvent formuler une objection au sens du paragraphe 4.

L’article 60(3) précise que le chef de file « tient dûment compte » des points de vue — formulation qui n’impose pas de les suivre, mais qui les rend opposables. Le considérant 124 du RGPD complète : l’autorité chef de file « devrait associer étroitement et coordonner les autorités de contrôle concernées dans le processus de prise de décision ». Toute défaillance procédurale à ce stade — transmission tardive, projet incomplet, motivation insuffisante — fragilise la décision finale et offre un argument de contentieux devant la juridiction nationale compétente.

Article 60(4) : l’objection pertinente et motivée

L’article 60(4) accorde aux autorités concernées un délai de « quatre semaines » pour formuler une « objection pertinente et motivée » au projet de décision. La notion d’« objection pertinente et motivée » est définie à l’article 4(24) du RGPD : « une objection à un projet de décision quant à savoir s’il y a ou non violation du présent règlement, ou si l’action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant est conforme au présent règlement, qui démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel dans l’Union ».

Le CEPD a précisé cette notion dans ses Lignes directrices 09/2020 sur l’objection pertinente et motivée, adoptées le 8 octobre 2020 puis révisées. Trois critères doivent être réunis : (i) l’objection doit être directement liée à la substance du projet de décision (pertinence), (ii) elle doit être motivée en droit et en fait (motivation), (iii) elle doit démontrer une importance suffisante en termes de risques pour les droits des personnes ou pour le libre flux des données (seuil de signification).

C’est typiquement sur ce paragraphe que se sont cristallisés les désaccords dans les grands dossiers Meta : la DPC irlandaise envisageait des amendes de quelques dizaines de millions d’euros, les autorités allemande, française, italienne, espagnole, néerlandaise ont systématiquement formulé des objections « pertinentes et motivées » sur l’insuffisance du quantum, conduisant à des décisions contraignantes du CEPD multipliant les sanctions par trois à dix.

Article 60(5) : la bifurcation après objection

L’article 60(5) organise la suite logique d’une objection : l’autorité chef de file dispose de deux options.

Soit elle suit l’objection et soumet un projet de décision révisé. Une nouvelle fenêtre d’objection de quatre semaines s’ouvre alors, sur le périmètre des éléments modifiés. C’est la voie « consensuelle ».

Soit elle ne suit pas l’objection et estime que celle-ci n’est pas pertinente ou motivée. Le dossier bascule alors dans le mécanisme de contrôle de la cohérence prévu à l’article 63 et débouche sur une décision contraignante du CEPD prévue à l’article 65 (« procédure de règlement des litiges »). Le délai de l’article 65(2) est d’un mois renouvelable une fois (« lorsque cela est dûment justifié »). À l’issue, le CEPD adopte une décision contraignante à la majorité des deux tiers, ou à défaut à la majorité simple, en deuxième tour.

Le CEPD a adopté à ce jour plus de dix décisions contraignantes Art. 65, toutes à la suite d’objections au sens de l’Art. 60(4). Citons les principales : 1/2021 WhatsApp Ireland (28 juillet 2021) → 225M€ ; 1/2022 Facebook Ireland (mars 2022) ; 3/2022 Instagram Meta (septembre 2022) → 405M€ ; 4/2022 Facebook Meta (septembre 2022) → 210M€ ; 5/2022 Instagram (décembre 2022) → 390M€ ; 1/2023 Meta US transfers (avril 2023) → 1,2 milliard d’euros ; 2/2023 TikTok (juillet 2023) → 345M€. La trajectoire montre que les objections produisent presque toujours un alourdissement des sanctions par rapport au projet initial du chef de file.

Article 60(6) : l’adoption en l’absence d’objection

Lorsque aucune autorité concernée n’a formulé d’objection dans le délai de quatre semaines de l’article 60(4), le paragraphe 6 prévoit que toutes les autorités sont réputées approuver le projet et sont liées par lui. La décision de l’autorité chef de file devient alors la décision européenne sur le dossier. Elle s’impose sur tout le territoire de l’Union pour le traitement examiné.

En pratique, ce cas de figure est fréquent pour les dossiers de faible complexité ou ceux où les autorités concernées n’ont pas de griefs particuliers. À l’inverse, dès qu’un dossier dépasse quelques millions d’euros ou concerne une plateforme de grande taille, l’objection est quasi systématique. Le mécanisme de l’article 60(6) reste donc l’exception statistique pour les dossiers à enjeux significatifs.

Article 60(7) : l’adoption et la notification au responsable

L’article 60(7) dispose que l’autorité chef de file « adopte la décision et la notifie au principal établissement ou à l’unique établissement du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents ».

Pour le responsable, c’est cette décision — et elle seule — qui constitue le titre exécutoire. Si la sanction comprend une amende, son recouvrement s’effectue auprès de l’autorité chef de file selon les règles nationales. Le recours est exercé devant la juridiction nationale compétente de l’État membre de l’autorité chef de file (Conseil d’État irlandais, Verwaltungsgericht allemand, Conseil d’État français selon le cas). C’est un point crucial pour la stratégie contentieuse : un groupe dont l’établissement principal est en Irlande devra contester devant les juridictions irlandaises, dans un délai et selon des règles de procédure irlandaises, même si la décision concerne des traitements visant majoritairement des personnes résidant en France.

Article 60(8) et (9) : la notification au plaignant et le cas où le chef de file ne prend pas de décision

L’article 60(8) règle la situation où une réclamation a été déposée auprès d’une autorité concernée et où le chef de file ne suit pas. Cette autorité concernée notifie elle-même au plaignant la décision qui le concerne directement. L’article 60(9) prévoit la situation où l’autorité chef de file décide de ne pas traiter la plainte : l’autorité concernée auprès de laquelle la plainte a été introduite la traite alors selon ses propres règles, conformément aux articles 61 et 62.

Ces deux paragraphes sont essentiels pour comprendre la voie d’accès des particuliers au mécanisme. Un salarié français qui adresse une réclamation à la CNIL sur le traitement de ses données par Meta peut, in fine, recevoir la décision finale soit du chef de file irlandais (avec relais éventuel par la CNIL), soit de la CNIL elle-même si l’Irlande ne se saisit pas. C’est cette articulation que la CJUE a précisée dans l’arrêt C-645/19 Facebook Ireland du 15 juin 2021, en reconnaissant un pouvoir résiduel d’action des autorités nationales en dehors du mécanisme de l’article 60 dans certaines hypothèses exceptionnelles (mesures provisoires, urgence, défaillance du chef de file).

Article 60(10) : la mise en œuvre par le responsable et le mécanisme d’urgence

Le paragraphe 10 prévoit que, lorsque le chef de file et les autorités concernées sont en désaccord sur la nécessité même d’agir (autrement dit, lorsque le chef de file estime qu’il n’y a pas lieu de prendre une décision), c’est encore l’article 63 (mécanisme de contrôle de la cohérence) qui s’applique. Ce paragraphe ferme la boucle : aucun dossier transfrontalier ne peut être abandonné unilatéralement par le chef de file dès lors qu’une autorité concernée souhaite poursuivre.

Article 60(11) : le maintien des mesures provisoires

L’article 60(11) renvoie à l’article 66 (« procédure d’urgence ») qui permet à toute autorité concernée d’adopter des mesures provisoires sur son territoire en cas d’urgence, par dérogation au mécanisme de coopération. Ces mesures sont limitées à trois mois et ne peuvent être renouvelées qu’après décision contraignante du CEPD. La CNIL a utilisé cette voie à plusieurs reprises, notamment dans le dossier ChatGPT (mars-avril 2023, en coordination avec le Garante italien qui avait suspendu temporairement le service) ou dans des dossiers d’urgence liés à des violations massives.

Article 60(12) : les moyens électroniques de coopération

Le dernier paragraphe impose que la coopération s’effectue « par des moyens électroniques, en utilisant un formulaire normalisé ». C’est le fondement juridique du système IMI (Internal Market Information System) géré par la Commission, devenu l’épine dorsale opérationnelle de la coopération européenne en matière de protection des données. Tous les échanges formels entre autorités — assistance mutuelle, projet de décision, objections, mesures correctrices envisagées — y sont consignés.

Jurisprudence structurante

Trois décisions de la CJUE éclairent l’article 60 :

CJUE, C-645/19 Facebook Ireland Ltd c. APD belge, 15 juin 2021. L’arrêt reconnaît que les autorités nationales conservent un pouvoir résiduel d’action en dehors du mécanisme de l’article 60, dans cinq hypothèses strictement énumérées : compétence exclusive de l’autorité nationale en cas de traitement non transfrontalier ; consultation du chef de file qui n’agit pas ; mesures urgentes Art. 66 ; introduction d’une action en justice de leur propre autorité Art. 58(5) ; et notification d’un manquement à la Commission. Cette décision a évité que le mécanisme du guichet unique ne devienne un blocage absolu en cas de carence du chef de file.

CJUE, C-446/21 Schrems c. Meta Platforms Ireland, 4 octobre 2024. Précise la portée du contrôle juridictionnel sur les décisions adoptées au titre de l’article 60 et l’articulation avec les voies de recours individuelles Art. 79.

CJUE, C-26/22 UF c. Land Hessen, 7 décembre 2023. Confirme que les décisions des autorités de contrôle, y compris celles adoptées au titre de l’article 60, font l’objet d’un contrôle juridictionnel complet et effectif (Art. 47 de la Charte).

Lignes directrices du CEPD

  • Lignes directrices 02/2022 sur la mise en œuvre de l’article 60 RGPD, adoptées le 14 mars 2022, version 2.0 du 11 avril 2023. Elles décrivent étape par étape la procédure de coopération.
  • Lignes directrices 09/2020 sur l’objection pertinente et motivée, adoptées le 8 octobre 2020. Elles précisent le seuil de l’article 4(24).
  • Statement on the role of the lead supervisory authority and the concerned supervisory authorities, EDPB, septembre 2022.
  • Internal Document on Procedures for the application of the GDPR cooperation and consistency mechanism, EDPB, dernière révision 2024.

Le règlement procédural Art. 60 en cours d’adoption

La Commission européenne a présenté le 4 juillet 2023 une proposition de règlement établissant les règles procédurales additionnelles relatives à l’application du RGPD (COM(2023) 348 final). Ce texte, communément appelé « GDPR Procedural Regulation », vise à corriger les défauts opérationnels de l’article 60 : délais flous, droits procéduraux des parties hétérogènes selon les autorités, lenteur de certaines instructions, défaut d’harmonisation des règles de preuve. Les négociations entre Parlement et Conseil ont conduit à un accord politique fin 2024, en vue d’une adoption formelle en 2025. Le texte fixera notamment des délais maximaux par étape, des règles communes sur l’accès au dossier, sur la confidentialité et sur l’audition des parties.

Pour les entreprises soumises au mécanisme du guichet unique, ce règlement constitue un changement majeur : il professionnalise et standardise la procédure et offre des garanties procédurales (notamment de défense) plus prévisibles.

Articulation avec les autres articles

L’article 60 ne se lit pas isolément. Il s’articule avec :

  • L’article 56 RGPD qui détermine l’autorité chef de file et le périmètre des autorités concernées.
  • L’article 58 RGPD qui définit les pouvoirs d’enquête, correcteurs et consultatifs mobilisés dans le projet de décision.
  • L’article 4(22) qui définit l’« autorité de contrôle concernée » et l’article 4(23) qui définit le « traitement transfrontalier » — deux notions sans lesquelles l’article 60 n’a pas de champ d’application.
  • L’article 4 RGPD sur les définitions structurantes (4(16) établissement principal, 4(22) autorité concernée, 4(23) traitement transfrontalier, 4(24) objection pertinente et motivée).
  • L’article 31 RGPD sur la coopération du responsable avec l’autorité de contrôle.
  • L’article 61 sur l’assistance mutuelle et l’article 62 sur les opérations conjointes.
  • L’article 63 sur le mécanisme de contrôle de la cohérence et l’article 65 sur la décision contraignante du CEPD.
  • L’article 66 sur les mesures d’urgence.
  • L’article 77 RGPD sur la réclamation et l’article 78 RGPD sur le recours juridictionnel contre l’autorité.
  • L’article 79 RGPD sur le recours juridictionnel contre le responsable.
  • L’article 83 RGPD sur les amendes administratives, dont le quantum est fixé in fine par le chef de file après application éventuelle d’une décision contraignante CEPD.
  • L’article 82 RGPD sur l’indemnisation, voie civile parallèle qui n’est pas affectée par le mécanisme du guichet unique.
  • L’article 80 RGPD sur l’action de groupe, autre voie de contournement du guichet unique.

Plan opérationnel pour une entreprise multi-établissements

Dans mon expérience de conseil auprès de groupes européens, la mise en conformité avec l’article 60 ne se prépare pas le jour où l’on reçoit le projet de décision. Elle se prépare des années avant, sur six chantiers parallèles.

Chantier 1. Cartographier l’établissement principal Art. 4(16) et la juridiction compétente. Identifier sans ambiguïté quelle autorité européenne est chef de file pour quel traitement, et tenir à jour cette cartographie. C’est la première question que pose un avocat dès qu’une notification de violation Art. 33 est adressée à plusieurs autorités.

Chantier 2. Documenter en permanence la conformité de l’établissement principal. Le projet de décision de l’article 60(3) repose sur les éléments produits par le responsable lors de l’instruction du chef de file. Un registre des activités de traitement à jour, une AIPD documentée Art. 35, des contrats de sous-traitance conformes Art. 28, une politique de conservation tracée — tout cela constitue le dossier de défense.

Chantier 3. Anticiper la fenêtre d’objection Art. 60(4). Les autorités concernées — y compris la CNIL pour les groupes français — examinent les projets de décision avec attention. Si votre dossier comporte des éléments susceptibles d’attirer une objection « pertinente et motivée » (insuffisance du quantum, qualification juridique discutable, absence de mesures correctrices appropriées), il est plus efficace de les anticiper auprès du chef de file que de les subir au stade Art. 65.

Chantier 4. Préparer la stratégie de défense devant l’autorité chef de file. Le droit d’être entendu, l’accès au dossier, le débat contradictoire s’organisent selon les règles procédurales nationales de l’autorité chef de file. Pour un groupe dont l’établissement principal est en Irlande, cela suppose de travailler avec un cabinet maîtrisant les procédures de la DPC ; en Allemagne, avec un cabinet maîtrisant les Verwaltungsverfahren ; en France, avec un cabinet maîtrisant la procédure CNIL.

Chantier 5. Anticiper l’éventuelle escalade Art. 63 et Art. 65. Si le dossier est à enjeux significatifs, l’escalade au CEPD est probable. La décision contraignante Art. 65 ne se conteste pas directement (sauf renvoi préjudiciel ou recours juridictionnel auprès du Tribunal de l’UE Art. 263 TFUE en cas d’affectation directe et individuelle). Il faut donc préparer la défense au stade Art. 60, avant l’escalade.

Chantier 6. Cartographier les voies de recours civiles et pénales en parallèle. Le mécanisme de l’article 60 régit la voie administrative. Mais les actions individuelles Art. 79, l’action de groupe Art. 80 telle que refondue par la loi française n° 2024-364 du 22 avril 2024, l’indemnisation Art. 82, et les poursuites pénales Art. 226-16 et suivants du Code pénal restent ouvertes. Un dossier de protection des données ne se gagne pas sur un seul terrain.

Sanctions encourues

Les sanctions liées à des manquements traités par le mécanisme de l’article 60 sont celles des articles 83(4) et 83(5), selon la nature du manquement de fond. Le maximum est de 20 millions d’euros ou 4 % du chiffre d’affaires mondial total pour les violations de l’article 5 (principes), de l’article 6 (licéité), de l’article 7 (consentement), de l’article 9 (données sensibles), des articles 12 à 22 (droits des personnes), ou des articles 44 à 49 (transferts hors UE).

Les amendes record commentées en introduction l’illustrent : Meta US transfers (avril 2023) 1,2 milliard d’euros ; Meta Instagram (janvier 2023) 390 millions ; Instagram (septembre 2022) 405 millions ; TikTok (septembre 2023) 345 millions ; WhatsApp (juillet 2021) 225 millions. La CNIL participe activement à toutes ces procédures en qualité d’autorité concernée pour les traitements affectant les utilisateurs français.

Ce qu’il faut retenir

  • L’article 60 organise la procédure de coopération entre l’autorité chef de file et les autorités concernées dans tous les dossiers transfrontaliers au sens de l’article 4(23) du RGPD.
  • Le mécanisme s’articule en cinq temps : assistance mutuelle, projet de décision, fenêtre d’objection de 4 semaines, adoption, notification. Le délai d’objection conditionne tout le calendrier procédural.
  • L’« objection pertinente et motivée » au sens de l’article 4(24) constitue le levier principal des autorités concernées pour infléchir la décision du chef de file. Les Lignes directrices 09/2020 du CEPD précisent les critères.
  • En cas de désaccord persistant, le dossier bascule en mécanisme de cohérence (article 63) puis en décision contraignante du CEPD (article 65) — voie par laquelle ont été prononcées les amendes record Meta, TikTok, WhatsApp.
  • La décision finale est notifiée par le chef de file et fait l’objet d’un recours devant la juridiction nationale compétente de l’État membre du chef de file. Les voies civiles et pénales restent ouvertes en parallèle.
  • Le règlement procédural Art. 60, en cours d’adoption depuis 2023, harmonise les délais et garanties procédurales et constitue un changement majeur pour les groupes multi-établissements.

FAQ

Quel délai pour une autorité concernée pour formuler une objection à un projet de décision ?

Quatre semaines à compter de la transmission par l’autorité chef de file, conformément à l’article 60(4) du RGPD. L’objection doit être « pertinente et motivée » au sens de l’article 4(24) et démontrer une importance suffisante en termes de risques pour les droits fondamentaux des personnes ou pour le libre flux des données.

Que se passe-t-il si l’autorité chef de file ne suit pas l’objection ?

Le dossier bascule dans le mécanisme de contrôle de la cohérence prévu à l’article 63 et débouche sur une décision contraignante du CEPD prévue à l’article 65. Cette décision s’impose à toutes les autorités concernées et est ensuite mise en œuvre par l’autorité chef de file dans sa décision finale. Plus de dix décisions contraignantes Art. 65 ont été adoptées depuis 2021, conduisant systématiquement à un alourdissement des sanctions par rapport au projet initial.

Devant quelle juridiction conteste-t-on la décision finale de l’autorité chef de file ?

Devant la juridiction nationale compétente de l’État membre de l’autorité chef de file, conformément à l’article 78 du RGPD. Pour une décision de la DPC irlandaise, c’est la Haute Cour irlandaise ; pour une décision de la CNIL en qualité de chef de file, c’est le Conseil d’État français. Les voies de recours individuelles des personnes concernées (Art. 79, Art. 82) restent ouvertes devant les juridictions de l’État membre de résidence ou de l’établissement, indépendamment du mécanisme du guichet unique.

Une autorité concernée peut-elle agir directement sans passer par le chef de file ?

Oui, dans cinq hypothèses énumérées par la CJUE dans l’arrêt C-645/19 Facebook Ireland du 15 juin 2021 : traitement non transfrontalier, consultation infructueuse du chef de file, mesures urgentes Art. 66, action en justice de sa propre autorité Art. 58(5), et notification d’un manquement à la Commission. Le mécanisme du guichet unique n’est donc pas un blocage absolu pour les autorités concernées.

Le règlement procédural Art. 60 change-t-il les obligations de fond du responsable ?

Non. Le règlement procédural en cours d’adoption depuis 2023 (COM(2023) 348 final) harmonise les règles de procédure entre autorités et codifie les droits procéduraux des parties : délais maximaux par étape, accès au dossier, audition, confidentialité, règles de preuve. Les obligations de fond du RGPD restent inchangées, mais le cadre dans lequel elles sont contrôlées devient plus prévisible et plus protecteur pour les responsables comme pour les plaignants.

Vous gérez un traitement transfrontalier ou êtes confronté à une procédure de coopération européenne ? Recevez chaque semaine notre analyse des décisions CNIL, CEPD et CJUE en matière de protection des données. S’abonner à la newsletter →

Articles lies

RGPD

Article 63 RGPD : le mécanisme de cohérence décrypté

25 mai 2026 · 18 min
RGPD

Article 64 RGPD : l'avis du CEPD décrypté

24 mai 2026 · 18 min
RGPD

Article 65 RGPD : la décision contraignante du CEPD

24 mai 2026 · 18 min