Article 61 RGPD : l'assistance mutuelle entre autorités

Lorsque la CNIL a contrôlé Google Analytics en 2022, elle s’est appuyée sur les informations recueillies par la DSB autrichienne dans son enquête du 22 décembre 2021. Lorsque le Garante italien a bloqué ChatGPT en mars 2023, son enquête s’est coordonnée avec celles ouvertes par la CNIL, l’AEPD espagnole et la DPC irlandaise. Ces dossiers transfrontaliers reposent sur une disposition technique mais structurante du RGPD : l’article 61, qui organise l’assistance mutuelle entre autorités de contrôle. Sans ce mécanisme, le guichet unique (article 56) et la procédure de coopération (article 60) seraient des coquilles vides. Voici comment fonctionne cette infrastructure procédurale, et pourquoi elle conditionne aussi la défense des opérateurs face à des contrôles coordonnés.

Ce que dit l’article 61 du RGPD

L’article 61 du RGPD est composé de neuf paragraphes qui définissent successivement le principe de l’assistance mutuelle (Art. 61(1)), le délai d’un mois pour répondre (Art. 61(2)), le contenu minimum de la demande et le principe de spécialité (Art. 61(3)), les deux motifs limitatifs de refus (Art. 61(4)), l’obligation de motiver le refus ou de rendre compte de l’avancement (Art. 61(5)), la voie électronique par formulaire type (Art. 61(6)), la gratuité de principe et le possible dédommagement exceptionnel (Art. 61(7)), la sanction du silence ouvrant la procédure d’urgence (article 66) (Art. 61(8)) et la compétence d’exécution de la Commission (Art. 61(9)).

L’article 61(1) pose la règle générale : « Les autorités de contrôle se communiquent les informations utiles et se prêtent mutuellement assistance en vue de mettre en œuvre et d’appliquer le présent règlement de façon cohérente, et mettent en place des mesures pour coopérer efficacement. L’assistance mutuelle concerne notamment les demandes d’informations et les mesures de contrôle, telles que les demandes d’autorisations préalables et de consultations, les inspections et les enquêtes ».

L’architecture du texte combine un principe général (obligation de coopération loyale entre autorités), des modalités opérationnelles (délais, forme, gratuité, IMI), et une soupape procédurale (la bascule Art. 66 en cas d’inaction). C’est cette combinaison qui a permis aux dossiers transfrontaliers Google Analytics, Clearview AI, Meta et TikTok d’aboutir à des sanctions coordonnées entre 2022 et 2025.

Le principe : une obligation de coopération loyale entre autorités

L’article 61(1) consacre une obligation de coopération loyale entre les autorités de contrôle des États membres. Le considérant 133 du RGPD précise : « Les autorités de contrôle devraient s’entraider dans l’accomplissement de leurs missions et se prêter mutuellement assistance, afin d’assurer l’application et la mise en œuvre cohérentes du présent règlement dans le marché intérieur ». Cette obligation n’est pas conditionnée à une affaire transfrontalière au sens de l’article 4(23) — elle s’applique également aux dossiers purement nationaux dont l’instruction nécessite, par exemple, une vérification factuelle dans un autre État membre.

La portée de l’assistance mutuelle est volontairement large. Le second alinéa de l’article 61(1) donne une liste non limitative de mesures couvertes : demandes d’informations, autorisations préalables et consultations, inspections et enquêtes. La CNIL et ses homologues s’échangent ainsi des éléments factuels (preuves documentaires, captures d’écran, logs), des éléments juridiques (qualifications, jurisprudences nationales), et des éléments procéduraux (mesures déjà prises, calendrier d’instruction).

Cette obligation se distingue de la procédure de coopération organisée par l’article 60 : l’article 60 régit les dossiers transfrontaliers entre une autorité chef de file et les autorités concernées dans le cadre du guichet unique ; l’article 61 s’applique plus largement à toute demande d’assistance, qu’elle soit ou non liée à un dossier transfrontalier. C’est cette généralité qui en fait l’infrastructure procédurale dorsale du système RGPD.

Le délai d’un mois et le contenu de la demande

L’article 61(2) impose à l’autorité requise de répondre « dans les meilleurs délais et au plus tard un mois après réception de la demande ». Ce délai d’un mois fait écho à plusieurs délais structurants du RGPD : délai d’un mois pour répondre aux personnes concernées (article 12(3)), délai d’un mois pour la procédure d’objection article 60(4), délai d’un mois pour la transcription nationale d’une décision contraignante CEPD (article 65(6)). Cette unité de temps n’est pas fortuite : elle fixe le tempo opérationnel de l’enforcement européen.

L’article 61(3) encadre le contenu de la demande : « Les demandes d’assistance contiennent toutes les informations nécessaires, notamment la finalité et les motifs de la demande. Les informations échangées ne sont utilisées qu’aux fins pour lesquelles elles ont été demandées ». Deux exigences cumulatives s’en dégagent.

D’une part, l’autorité requérante doit motiver sa demande : la finalité doit être précisée (mesure d’instruction, qualification juridique, exécution d’une décision), les motifs doivent permettre à l’autorité requise d’apprécier la légitimité de la demande au regard de ses missions (article 57) et de ses pouvoirs (article 58). D’autre part, le principe de spécialité interdit toute réutilisation des informations échangées à d’autres fins que celles invoquées initialement. Cette règle est essentielle pour les opérateurs : un élément documentaire transmis par la CNIL à la DSB autrichienne dans le cadre d’une enquête Google Analytics ne peut pas être réutilisé par cette dernière dans un dossier sans rapport. Le principe de spécialité est aussi une condition d’effectivité du secret professionnel garanti par l’article 54(2) du RGPD et par l’article 8 de la loi Informatique et Libertés.

Les deux motifs limitatifs de refus

L’article 61(4) énumère deux motifs limitatifs permettant à une autorité requise de refuser de donner suite à une demande d’assistance.

Le premier motif est l’incompétence matérielle ou opérationnelle : « elle n’est pas compétente pour traiter l’objet de la demande ou pour prendre les mesures qu’elle est requise d’exécuter ». Cette hypothèse couvre par exemple le cas où la demande porte sur un traitement relevant de la directive 2016/680 (LED) et non du RGPD, ou le cas où la mesure sollicitée excède les pouvoirs nationaux de l’autorité requise (l’article 58(6) prévoit en effet que les États membres peuvent compléter les pouvoirs harmonisés).

Le second motif est l’illicéité : « faire droit à la demande constituerait une violation du présent règlement ou du droit de l’Union ou du droit de l’État membre auquel l’autorité de contrôle qui a reçu la demande est soumise ». Cette clause de réserve d’ordre public couvre par exemple le secret professionnel renforcé applicable à certaines professions (avocats, médecins, journalistes — articulation avec l’article 90 du RGPD), les règles nationales de protection du secret des sources, ou encore les contraintes liées à des injonctions extraterritoriales relevant de l’article 48.

L’énumération est limitative : toute autre forme de refus expose l’autorité requise à la sanction procédurale de l’article 61(8) — bascule vers la procédure d’urgence Art. 66.

L’obligation de rendre compte : Art. 61(5) et la voie IMI

L’article 61(5) impose à l’autorité requise d’informer l’autorité requérante « des résultats obtenus ou, selon le cas, de l’avancement des mesures prises pour donner suite à la demande » et d’expliquer « les raisons de tout refus ». L’obligation est double : elle porte à la fois sur les diligences accomplies et, le cas échéant, sur la motivation du refus opposé au titre de l’Art. 61(4).

L’article 61(6) organise la forme électronique des échanges : « En règle générale, les autorités de contrôle requises fournissent les informations demandées par d’autres autorités de contrôle par voie électronique, à l’aide d’un formulaire type ». En pratique, ces échanges transitent par le système d’information du marché intérieur (IMI), plateforme institutionnelle développée par la Commission européenne et utilisée également par l’article 60 (coopération) et l’article 67 (échange d’informations). IMI permet la traçabilité des demandes, l’horodatage des réponses, et le respect des règles de confidentialité.

L’article 61(7) pose le principe de gratuité : « Les autorités de contrôle requises ne perçoivent pas de frais pour toute action prise par elles à la suite d’une demande d’assistance mutuelle ». Une exception conventionnelle est ouverte pour les « circonstances exceptionnelles » donnant lieu à des « dépenses spécifiques ». En pratique, aucune convention bilatérale formelle de dédommagement n’a été rendue publique entre la CNIL et ses homologues européens depuis 2018.

La sanction du silence : la bascule vers la procédure d’urgence Art. 66

L’article 61(8) est la disposition la plus puissante du dispositif. Lorsqu’une autorité de contrôle ne fournit pas les informations visées à l’Art. 61(5) « dans un délai d’un mois à compter de la réception de la demande », l’autorité requérante peut adopter une mesure provisoire sur son propre territoire au titre de l’article 55(1). Et surtout, « le besoin urgent d’agir en vertu de l’article 66, paragraphe 1, est présumé rempli et nécessite une décision d’urgence contraignante du comité en vertu de l’article 66, paragraphe 2 ».

Cette présomption d’urgence est l’arme procédurale ultime de l’enforcement coordonné. Elle permet à une autorité concernée — typiquement la CNIL, le BfDI allemand, le Garante italien — de contourner l’inertie d’une autorité chef de file en saisissant le CEPD d’une demande de décision contraignante d’urgence sans avoir à démontrer les trois conditions cumulatives habituelles de l’article 66(1) (circonstances exceptionnelles, urgence pour les droits et libertés, motivation). Le seul constat du silence d’un mois suffit.

Si cette voie n’a pas, à ce jour, été formellement empruntée pour aboutir à une décision CEPD publique, plusieurs déclarations de la Datenschutzkonferenz allemande et de la CNIL entre 2022 et 2025 ont préfiguré son usage à l’encontre de la DPC irlandaise dans les dossiers Meta, TikTok et X. La menace procédurale a, à elle seule, contribué à modifier la dynamique de coopération entre la DPC et ses homologues.

La compétence d’exécution de la Commission : Art. 61(9)

L’article 61(9) confère à la Commission européenne le pouvoir d’adopter des actes d’exécution pour préciser la forme et les procédures de l’assistance mutuelle, ainsi que les modalités d’échange d’informations électroniques (notamment le formulaire type Art. 61(6)). Ces actes sont adoptés en conformité avec la procédure d’examen visée à l’article 93(2). Ce verrou n’a pas été utilisé à ce jour : la Commission a privilégié le développement organique du système IMI et les guidelines internes du CEPD.

À noter : le règlement procédural présenté par la Commission le 4 juillet 2023 (COM(2023) 348 final), ayant fait l’objet d’un accord politique fin 2024, harmonise plusieurs éléments procéduraux (article 60, article 65) mais ne reprend pas explicitement les modalités Art. 61. Le régime de l’assistance mutuelle continue donc de relever du droit prétorien des autorités et du fonctionnement de l’IMI.

Trois illustrations pratiques de l’assistance mutuelle en œuvre

L’affaire Google Analytics (2022-2023) en a fourni la première grande illustration. À la suite d’une plainte coordonnée par NOYB devant 28 autorités, la DSB autrichienne a publié la première décision le 22 décembre 2021. La CNIL, le Garante italien et le Datatilsynet danois se sont appuyés sur le travail factuel et juridique de la DSB pour rendre des décisions homologues en février, juin et septembre 2022. Les échanges d’informations, formalisés par voie Art. 61, ont permis une convergence rapide des qualifications juridiques sur la nature de transfert au sens Art. 44 et l’inadéquation des garanties Art. 46 post-Schrems II.

L’affaire Clearview AI (2022-2023) illustre la coordination contre un opérateur établi hors UE. Le Garante italien (9 mars 2022), la CNIL (SAN-2022-019 du 20 octobre 2022, 20M€), l’ICO britannique (mai 2022), la Hellenic DPA (13 juillet 2022) et le Datatilsynet néerlandais (3 septembre 2024) ont chacun prononcé des sanctions sur le fondement de l’article 3(2) (ciblage extraterritorial). Cette coordination, qui n’aurait pas été possible sans assistance mutuelle Art. 61, illustre la capacité du système à neutraliser collectivement un opérateur hors UE sans établissement européen.

L’affaire ChatGPT (2023) illustre enfin la rapidité opérationnelle du dispositif. Après le blocage initial du Garante le 30 mars 2023, la CNIL, l’AEPD et la DPC irlandaise ont ouvert leurs propres instructions. Le CEPD a institué une task force ChatGPT le 13 avril 2023, dont les conclusions intermédiaires (rapport du 23 mai 2024) reposent sur des éléments collectés par voie d’assistance mutuelle Art. 61. La sanction de 15M€ infligée par le Garante en décembre 2024 a capitalisé sur ce travail collectif.

Six points d’attention opérationnels pour les opérateurs

Pour les responsables de traitement et les sous-traitants transfrontaliers, l’article 61 a des conséquences pratiques souvent sous-estimées. Voici six chantiers à anticiper.

Premier chantier — cartographie des autorités susceptibles d’être saisies. Identifier non seulement l’autorité chef de file mais aussi les autorités concernées au sens de l’article 4(22) qui pourraient déclencher une demande d’assistance Art. 61. La CNIL, le BfDI, le Garante, l’AEPD et le Datatilsynet sont les plus actifs ; la DSB autrichienne et l’ICO britannique (avant Brexit) ont historiquement initié plusieurs vagues coordonnées.

Deuxième chantier — documentation accountability harmonisée. Les éléments documentaires (registre Art. 30, contrats Art. 28, AIPD Art. 35, notifications Art. 33-34) doivent être disponibles dans une version unifiée et multilingue car ils peuvent circuler entre autorités par voie d’assistance mutuelle. Une incohérence entre la version française et la version anglaise du registre, ou entre la politique de confidentialité allemande et la politique italienne, sera mécaniquement détectée et exploitée.

Troisième chantier — anticipation du principe de spécialité. Lors d’un contrôle CNIL Art. 31, il est essentiel de caractériser explicitement la finalité de chaque pièce transmise. Une production volontaire dans le cadre d’une instruction française pourrait être circulée à un homologue étranger ; l’opérateur a tout intérêt à matérialiser, dans son bordereau de pièces, que la communication est faite pour les seuls besoins de l’instruction CNIL en cours. À défaut, le principe de spécialité Art. 61(3) ne pourra pas être invoqué utilement en cas de réutilisation contestée.

Quatrième chantier — veille sur les déclarations publiques des autorités actives. Les communiqués du Garante, du BfDI ou de la CNIL sur des problématiques précises (IA générative, adtech, transferts US, dark patterns, ciblage des mineurs au titre de l’article 8) sont des indicateurs avancés de saisines Art. 61 imminentes. Une veille hebdomadaire, articulée à la veille CEPD pour les avis Art. 64, permet d’anticiper la coordination opérationnelle.

Cinquième chantier — préparation d’une réponse rapide. Le délai d’un mois est court. Un opérateur faisant l’objet d’un contrôle ou d’une demande d’éclaircissement avec un délai bref doit être en mesure de produire dans les 48 à 72 heures un dossier documentaire structuré (registre, contrats, AIPD, mesures techniques Art. 32, notifications, journalisation). À défaut, l’autorité requise peut être amenée à transmettre à son homologue requérante des éléments incomplets ou interprétés négativement.

Sixième chantier — stratégie contentieuse coordonnée. En cas de contentieux post-sanction, la stratégie devant le Conseil d’État au titre de l’article 78 et la stratégie devant la juridiction nationale du for au titre de l’article 79 doivent intégrer la dimension transfrontalière. Une argumentation incohérente devant deux juridictions de deux États membres sera mécaniquement détectée par voie d’assistance mutuelle entre autorités et exploitée dans les deux contentieux.

Articulation avec les autres articles du chapitre VII

L’article 61 s’articule étroitement avec l’ensemble du chapitre VII du RGPD (coopération et cohérence). Il complète l’article 60 (coopération entre chef de file et autorités concernées) en couvrant les demandes d’assistance hors guichet unique. Il précède l’article 62 (opérations conjointes) en offrant le cadre minimum d’échange ; il alimente le mécanisme de cohérence Art. 63 en organisant l’infrastructure factuelle préparatoire aux saisines CEPD. Il active la procédure d’urgence Art. 66 par sa soupape Art. 61(8). Il s’articule avec l’article 67 (système IMI) et avec l’article 65 (décision contraignante CEPD) en irrigation continue.

Du point de vue des sanctions, le non-respect par une autorité de ses obligations Art. 61 ne donne pas lieu à une sanction administrative au sens Art. 83 — il s’agit d’obligations institutionnelles entre régulateurs. En revanche, l’opérateur qui exploiterait abusivement le silence d’une autorité requise s’exposerait à voir un contentieux Art. 66 enclenché contre lui.

Ce qu’il faut retenir

• L’article 61 du RGPD organise l’obligation d’assistance mutuelle entre les autorités de contrôle des États membres : échanges d’informations, de mesures de contrôle, d’autorisations, d’inspections et d’enquêtes.
• Le délai impératif de réponse est d’un mois à compter de la réception de la demande ; ce délai conditionne l’ensemble du tempo de l’enforcement transfrontalier.
• Le principe de spécialité Art. 61(3) interdit la réutilisation des informations échangées à d’autres fins que celles invoquées initialement — protection essentielle pour les opérateurs faisant l’objet d’enquêtes coordonnées.
• Seuls deux motifs de refus sont admis (Art. 61(4)) : l’incompétence matérielle et l’illicéité de la mesure sollicitée.
• En cas de silence d’un mois (Art. 61(8)), l’urgence est présumée : l’autorité requérante peut basculer vers la procédure d’urgence Art. 66 et obtenir une décision contraignante d’urgence du CEPD — c’est la soupape ultime du système.
• Les opérateurs transfrontaliers doivent harmoniser leur documentation, anticiper le principe de spécialité lors des productions volontaires, et préparer une réponse documentaire en 48-72 heures pour neutraliser la dynamique de coordination défavorable.

FAQ

Quelle est la différence entre l’article 60 et l’article 61 du RGPD ?

L’article 60 régit la procédure de coopération entre l’autorité chef de file et les autorités concernées dans le cadre du guichet unique pour les traitements transfrontaliers au sens de l’article 4(23). L’article 61 organise plus largement l’assistance mutuelle entre toutes les autorités de contrôle, indépendamment du cadre du guichet unique. L’article 61 est l’infrastructure procédurale de base ; l’article 60 est une application spécifique pour les dossiers transfrontaliers.

Une autorité de contrôle peut-elle refuser une demande d’assistance ?

Oui, mais uniquement dans deux cas limitativement énumérés par l’article 61(4) : si elle n’est pas matériellement ou opérationnellement compétente, ou si l’exécution de la demande constituerait une violation du RGPD, du droit de l’Union ou du droit national. Tout refus doit être motivé en application de l’article 61(5). Un refus hors de ces deux hypothèses expose l’autorité requise à voir l’autorité requérante saisir le CEPD au titre de la procédure d’urgence Art. 66.

Que se passe-t-il si une autorité ne répond pas dans le délai d’un mois ?

L’article 61(8) prévoit que l’autorité requérante peut adopter une mesure provisoire sur son propre territoire et que le besoin urgent d’agir au sens de l’article 66(1) est présumé. Elle peut alors saisir le CEPD d’une demande de décision contraignante d’urgence au sens de l’article 66(2), sans avoir à démontrer les trois conditions cumulatives habituelles (circonstances exceptionnelles, urgence, motivation).

Le principe de spécialité protège-t-il les opérateurs contre la réutilisation des pièces ?

Oui. L’article 61(3) interdit la réutilisation des informations échangées entre autorités à d’autres fins que celles invoquées initialement. Cette protection est essentielle pour les opérateurs en contrôle CNIL Art. 31 : les pièces produites volontairement doivent être assorties d’une mention explicite de leur finalité pour neutraliser tout risque de circulation Art. 61 à des fins étrangères à l’instruction française.

Quel est le rôle du système IMI dans l’application de l’article 61 ?

L’article 61(6) prévoit que les échanges se font « en règle générale » par voie électronique au moyen d’un formulaire type. En pratique, ces échanges transitent par le système d’information du marché intérieur (IMI) géré par la Commission européenne, utilisé également par les articles 60 et 67. IMI assure la traçabilité, l’horodatage et la confidentialité des échanges entre régulateurs.

---

Cet article a été mis à jour le 26 mai 2026. Pour aller plus loin, consultez nos analyses sur l’autorité chef de file (article 56), la procédure de coopération (article 60) et la procédure d’urgence (article 66). Pour rester informé des évolutions du droit de la protection des données, abonnez-vous à notre newsletter.