Article 62 RGPD : les opérations conjointes décryptées

Depuis 2022, le Comité européen de la protection des données (CEPD) coordonne chaque année une opération de contrôle conjointe — le Coordinated Enforcement Framework (CEF) — qui mobilise simultanément l’ensemble des autorités de contrôle européennes sur un thème commun : usage cloud du secteur public (2022), rôle des DPO (2023), droit d’accès (2024), droit à l’effacement (2025). Ces opérations ne reposent pas sur une simple convention de bonne volonté entre régulateurs : elles trouvent leur base juridique dans l’article 62 du RGPD, qui organise les opérations conjointes entre autorités de contrôle. Si l’article 61 couvre l’échange d’informations entre autorités et la procédure de coopération article 60 régit le guichet unique, l’article 62 est la disposition opérationnelle qui permet à plusieurs autorités d’agir physiquement ensemble — enquêtes coordonnées, contrôles simultanés, mesures répressives conjointes. Voici comment cette infrastructure fonctionne, et pourquoi elle change la nature même du contrôle transfrontalier.

Ce que dit l’article 62 du RGPD

L’article 62 du RGPD est composé de sept paragraphes qui définissent successivement le principe des opérations conjointes (Art. 62(1)), le droit de participation des autorités concernées (Art. 62(2)), le régime des pouvoirs d’enquête transfrontaliers (Art. 62(3)), les règles de responsabilité (Art. 62(4) à 62(6)) et la sanction du silence ouvrant la procédure d’urgence (Art. 62(7)).

L’article 62(1) pose la règle générale : « Les autorités de contrôle mènent, le cas échéant, des opérations conjointes, y compris en effectuant des enquêtes conjointes et en prenant des mesures répressives conjointes, auxquelles participent des membres ou des agents des autorités de contrôle d’autres États membres ».

L’architecture du texte combine un principe d’action collective (Art. 62(1)), un droit subjectif des autorités concernées à participer (Art. 62(2)), un régime d’extraterritorialité encadrée des pouvoirs d’enquête (Art. 62(3)) et un régime spécial de responsabilité civile (Art. 62(4) à (6)). L’ensemble est verrouillé par une soupape procédurale identique à celle de l’article 61(8) : la bascule vers la procédure d’urgence Art. 66 en cas de refus de participation d’une autorité chef de file.

Le principe : opérations conjointes et droit de participation

L’article 62(1) consacre la possibilité pour plusieurs autorités de contrôle de mener des opérations physiquement coordonnées sur le territoire d’un ou plusieurs États membres. Trois catégories sont expressément visées :

• Les enquêtes conjointes : instruction commune d’un dossier, partage des actes d’investigation, mutualisation des compétences techniques.
• Les mesures répressives conjointes : adoption coordonnée de décisions de mise en demeure, de sanctions, ou d’injonctions au titre des pouvoirs harmonisés de l’article 58.
• Toute autre forme d’opération conjointe : la liste n’est pas exhaustive (« y compris ») et couvre notamment les actions coordonnées de contrôle thématique du type CEF (Coordinated Enforcement Framework).

L’article 62(2) est la disposition centrale du dispositif. Lorsque le responsable du traitement ou le sous-traitant a des établissements dans plusieurs États membres, ou lorsqu’un nombre important de personnes concernées dans plus d’un État membre est susceptible d’être sensiblement affecté par un traitement, chaque autorité de l’État membre concerné a le droit de participer à l’opération conjointe.

Ce droit de participation se double d’une obligation positive pour l’autorité compétente au titre de l’article 56(1) ou 56(4) — c’est-à-dire l’autorité chef de file ou l’autorité compétente après bascule en cas de refus de leadership : elle « invite l’autorité de contrôle de chacun des États membres concernés à participer aux opérations conjointes » et « donne sans tarder suite à toute demande d’une autorité de contrôle souhaitant y participer ».

Le mécanisme est donc dual : une obligation d’invitation proactive par l’autorité compétente, et un droit subjectif d’auto-saisine par toute autorité concernée au sens de l’article 4(22). Dans mon expérience de conseil auprès d’opérateurs présents dans plusieurs États membres, c’est ce double levier qui modifie la dynamique du contrôle : un responsable de traitement présent en France, en Allemagne et en Italie ne fait jamais face à une seule autorité, mais potentiellement à un triumvirat actif coordonné.

Les pouvoirs transfrontaliers : Art. 62(3)

L’article 62(3) règle une question juridiquement délicate : un agent de la CNIL peut-il exercer des pouvoirs d’enquête sur le territoire allemand ? La réponse est nuancée et repose sur une articulation complexe entre droit de l’État membre d’accueil et droit de l’État membre d’origine.

Deux modalités alternatives sont prévues. Première modalité : l’autorité d’accueil peut conférer ses propres pouvoirs aux agents de l’autorité d’origine, dans les conditions du droit national de l’État membre d’accueil et avec l’autorisation de l’autorité d’origine. Concrètement, des inspecteurs de la CNIL participant à une opération conjointe en Allemagne pourraient se voir reconnaître par le BfDI ou par les Datenschutzbehörden des Länder les pouvoirs d’inspection prévus par le BDSG allemand.

Seconde modalité : l’autorité d’accueil peut autoriser l’exercice des pouvoirs d’enquête de l’autorité d’origine sur son territoire, dans la mesure où son droit national le permet. Cette voie permet par exemple à un agent de la CNIL d’exercer ses pouvoirs prévus par les articles 19 à 22 de la loi Informatique et Libertés sur le sol allemand, dans la limite tracée par la procédure pénale allemande.

Dans les deux cas, trois garde-fous s’appliquent : ces pouvoirs ne peuvent être exercés que sous le contrôle et en présence de membres ou d’agents de l’autorité d’accueil ; les agents de l’autorité d’origine sont soumis au droit de l’État membre d’accueil pour les actes accomplis ; toute action accomplie au-delà du périmètre autorisé serait constitutive d’un acte d’enquête illégal exploitable par la défense.

À noter que la mise en œuvre concrète de l’article 62(3) reste prudente : la plupart des opérations conjointes documentées depuis 2018 reposent sur des actes d’enquête menés séparément par chaque autorité sur son propre territoire, avec coordination des qualifications juridiques et des calendriers, plutôt que sur l’exercice extraterritorial de pouvoirs d’enquête. Les autorités préfèrent agir en parallèle plutôt qu’en intervention conjointe stricto sensu — pour éviter précisément les difficultés probatoires liées au statut des agents et au régime de responsabilité civile.

Le régime de responsabilité civile : Art. 62(4) à 62(6)

L’article 62 organise un régime spécial de responsabilité civile pour les dommages causés par les agents en opération conjointe. Ce régime, calqué sur les conventions Schengen et Prüm pour la coopération policière, est l’un des rares dispositifs du RGPD à régir la responsabilité d’État à État.

L’article 62(4) pose le principe : « lorsque des agents de l’autorité de contrôle d’origine sont en opération dans un autre État membre, l’État membre de l’autorité de contrôle d’accueil assume la responsabilité de leurs actions, y compris la responsabilité des dommages qu’ils causent ». La règle est donc celle de la lex loci delicti : c’est le droit de l’État d’accueil qui régit la responsabilité, et c’est l’État d’accueil qui est tenu d’indemniser les victimes.

L’article 62(5) complète : l’État d’accueil indemnise dans les mêmes conditions que pour les dommages causés par ses propres agents, puis l’État d’origine rembourse intégralement à l’État d’accueil les sommes versées aux ayants droit. Le régime est donc en deux temps : indemnisation directe par l’État d’accueil au tiers lésé, puis recours subrogatoire entre États.

L’article 62(6) prévoit enfin une renonciation réciproque entre États membres : à l’exception du remboursement Art. 62(5), chaque État membre s’abstient de demander à un autre État membre le remboursement des dommages causés par ses propres agents lors d’une opération conjointe. Cette clause de non-recours protège les opérations conjointes contre la frilosité budgétaire qui pourrait dissuader les autorités.

Du point de vue de l’opérateur contrôlé, ce régime a une conséquence pratique importante : en cas de saisie irrégulière, d’atteinte à un secret professionnel ou de dommage matériel causé lors d’une opération conjointe sur son site français, le recours en réparation s’exerce contre l’État français devant les juridictions françaises, en application du droit national de la responsabilité administrative — et non contre l’autorité étrangère ayant matériellement causé le dommage. Cette répartition simplifie l’accès au juge mais peut compliquer l’évaluation des fautes lorsque la décision opérationnelle a été prise par l’autorité d’origine.

La sanction du silence : la bascule Art. 66 - Art. 62(7)

L’article 62(7) est la soupape procédurale du dispositif, parallèle à celle de l’article 61(8). Lorsqu’une opération conjointe est envisagée et qu’une autorité de contrôle ne se conforme pas, dans un délai d’un mois, à son obligation d’inviter les autorités concernées (Art. 62(2), seconde phrase), les autres autorités peuvent adopter une mesure provisoire sur leur propre territoire au titre de l’article 55, et le besoin urgent d’agir en vertu de l’article 66(1) est présumé.

Cette présomption d’urgence ouvre la possibilité de demander au CEPD un avis ou une décision contraignante d’urgence au sens de l’article 66(2), sans avoir à démontrer les trois conditions cumulatives habituelles de l’article 66(1) — circonstances exceptionnelles, urgence pour les droits et libertés des personnes, motivation. Le seul constat du silence d’un mois suffit.

À ce jour, cette soupape n’a pas été formellement utilisée pour aboutir à une décision CEPD publique au titre de l’article 62(7). Mais elle a alimenté la dynamique de pression institutionnelle sur la DPC irlandaise entre 2022 et 2025, exactement comme la soupape parallèle de l’article 61(8) dans les dossiers Meta et TikTok. La menace procédurale modifie la dynamique de coopération, même lorsqu’elle n’est pas effectivement déclenchée.

Trois illustrations d’opérations conjointes dans la pratique

Le Coordinated Enforcement Framework (CEF) institué par le CEPD en octobre 2020 (avis du programme 2021-2023) est la principale traduction opérationnelle de l’article 62 à ce jour. Le CEF n’est pas formellement une « opération conjointe » au sens strict de l’article 62(1), mais il en mobilise la philosophie : actions de contrôle thématiques menées simultanément par les autorités nationales, partage de questionnaires, mutualisation des analyses, publication d’un rapport synthétique CEPD.

L’édition 2022 sur l’usage du cloud par le secteur public a mobilisé 22 autorités européennes, dont la CNIL. La CNIL a publié son volet français le 14 décembre 2022, identifiant des risques majeurs sur la maîtrise des transferts internationaux post-Schrems II (Art. 44 et suivants) et sur l’effectivité des contrats Art. 28 avec les hyperscalers. Le rapport synthétique CEPD du 17 janvier 2023 a ouvert la voie aux recommandations CNIL sur les clouds de confiance.

L’édition 2023 sur le rôle des DPO a impliqué 25 autorités. La CNIL a interrogé 1 000 DPO français entre mars et mai 2023, le rapport CEPD a été publié le 16 janvier 2024. Les enseignements (manque d’indépendance, conflits d’intérêts, formation insuffisante) ont nourri les évolutions de la doctrine CNIL sur l’article 38 et la délibération 2018-318 du 22 novembre 2018 sur l’exercice des fonctions de DPO.

L’édition 2024 sur le droit d’accès (article 15 RGPD) a impliqué 30 autorités et abouti au rapport CEPD du 17 janvier 2025. Les enseignements — délais excessifs au-delà du mois de l’article 12(3), refus injustifiés, identification disproportionnée du demandeur — ont alimenté plusieurs sanctions nationales coordonnées. L’édition 2025 sur le droit à l’effacement (article 17 RGPD) est en cours, rapport attendu début 2026.

À côté du CEF, plusieurs opérations conjointes ad hoc ont mobilisé l’article 62 dans sa dimension la plus opérationnelle. L’affaire Clearview AI (2021-2024) a vu une coordination implicite entre le Garante (provvedimento du 9 mars 2022, 20M€), la CNIL (SAN-2022-019 du 20 octobre 2022, 20M€), l’ICO britannique (mai 2022) et le Hellenic DPA (13 juillet 2022) ; les autorités ont mis en commun, par voie d’assistance mutuelle Art. 61 et de réunions de coordination Art. 62, leur analyse de l’application extraterritoriale de l’article 3(2). L’affaire Meta transferts US (2023) a impliqué une coordination renforcée entre la DPC irlandaise (chef de file) et plusieurs autorités concernées — BfDI, CNIL, Garante, Datatilsynet — qui ont contribué aux objections « pertinentes et motivées » ayant abouti à la décision contraignante CEPD 1/2023 du 13 avril 2023 et à la sanction de 1,2 milliard d’euros.

Six chantiers opérationnels pour les opérateurs

Pour les responsables de traitement et sous-traitants présents dans plusieurs États membres, l’article 62 a des conséquences pratiques souvent sous-estimées. Voici six chantiers à anticiper.

Premier chantier — cartographie des établissements et des autorités concernées. L’article 62(2) déclenche le droit de participation dès lors qu’existent des établissements dans plusieurs États membres OU qu’un nombre important de personnes concernées est affecté dans plus d’un État membre. Cette double porte d’entrée doit être documentée : combien de filiales, combien d’établissements stables au sens de l’article 4(16), quelles bases d’utilisateurs par État membre. Cette cartographie conditionne la liste des autorités susceptibles d’auto-saisir leur participation à une opération conjointe.

Deuxième chantier — anticipation des CEF annuels. Le CEPD annonce chaque année en septembre le thème de l’opération coordonnée suivante (programme adopté en assemblée plénière). En 2026, le thème probable porte sur le droit à la portabilité Art. 20 ou sur la conformité IA générative dans la fonction RH. Une veille systématique de l’agenda CEPD permet d’anticiper de 6 à 9 mois les zones de contrôle prioritaires et de remédier en amont aux faiblesses documentaires sur ces sujets.

Troisième chantier — préparation d’un dossier de contrôle harmonisé multi-juridictions. Les pièces produites lors d’un contrôle coordonné (registre Art. 30, contrats sous-traitance Art. 28, AIPD Art. 35, notifications Art. 33-34, politiques de confidentialité, journalisation Art. 32) doivent être cohérentes dans toutes les langues et jurisdictions. Toute incohérence entre la version française produite à la CNIL et la version allemande produite au BfDI sera mécaniquement détectée et exploitée — c’est précisément ce que l’opération conjointe permet techniquement.

Quatrième chantier — gestion procédurale de la présence simultanée. Lorsqu’un contrôle conjoint en présence d’agents étrangers est annoncé sur un site français, l’opérateur doit immédiatement vérifier le fondement juridique de la présence : autorisation préalable de la CNIL au titre de l’article 19 LIL, modalité retenue Art. 62(3) (pouvoirs conférés à l’autorité étrangère ou exercice des pouvoirs d’origine), périmètre d’investigation. Toute irrégularité dans la décision d’autorisation peut fonder une exception de nullité ultérieure au titre de l’article 78.

Cinquième chantier — articulation des défenses dans plusieurs juridictions. Si l’opération conjointe aboutit à des procédures de sanction parallèles dans plusieurs États membres, la stratégie contentieuse doit être coordonnée entre les conseils de chaque pays. Une argumentation contradictoire devant la CNIL et devant le Garante sera détectée par voie d’assistance mutuelle Art. 61 et exploitée dans les deux instances. Les recours Art. 78 devant les juridictions nationales doivent partager une ligne juridique commune, articulée avec les éventuels recours Art. 263 TFUE devant le Tribunal de l’Union européenne contre une décision contraignante CEPD subséquente au titre de l’article 65.

Sixième chantier — provisions et assurance. Les opérations conjointes débouchent statistiquement sur des sanctions cumulées plus lourdes que les contrôles isolés, dans la mesure où plusieurs autorités prononcent chacune une sanction sur leur territoire avant intervention éventuelle du CEPD. Les amendes Clearview AI cumulent ainsi près de 90 millions d’euros sur cinq juridictions. La couverture d’assurance cyber et les provisions comptables doivent intégrer cette dimension cumulative — d’autant que les sanctions Art. 83 sont calculées sur le chiffre d’affaires mondial du groupe, pas national.

Articulation avec les autres articles du chapitre VII

L’article 62 s’articule étroitement avec l’ensemble du chapitre VII du RGPD sur la coopération et la cohérence. Il complète l’article 60 (coopération chef de file / autorités concernées) en offrant la dimension opérationnelle physique. Il suit l’article 61 (assistance mutuelle) en passant de l’échange documentaire à l’action conjointe. Il précède l’article 63 (mécanisme de cohérence) en préparant le terrain factuel des saisines Art. 64 (avis CEPD) et Art. 65 (décision contraignante). Il partage avec ces dispositions la soupape vers la procédure d’urgence Art. 66 en cas de défaillance d’une autorité chef de file.

Du point de vue institutionnel, le CEPD (Art. 68 à 76) joue un rôle d’orchestrateur des opérations conjointes via le CEF et les Coordinated Supervision Committees, sans être lui-même partie aux opérations conjointes — celles-ci restent bilatérales ou multilatérales entre autorités nationales. Le système IMI (Art. 67 RGPD) constitue l’infrastructure technique d’organisation et de traçabilité des opérations conjointes.

Du point de vue des sanctions, le non-respect par une autorité de ses obligations Art. 62 ne donne pas lieu à une sanction administrative au sens Art. 83 — il s’agit d’obligations institutionnelles entre régulateurs. En revanche, l’opérateur qui contesterait la régularité d’un contrôle conjoint pourrait exciper de l’irrégularité de la procédure au soutien d’une demande d’annulation de la sanction au titre des recours Art. 78 (national) ou Art. 263 TFUE (européen).

Ce qu’il faut retenir

• L’article 62 du RGPD organise les opérations conjointes entre autorités de contrôle européennes : enquêtes coordonnées, mesures répressives conjointes, contrôles thématiques type CEF.
• Toute autorité d’un État membre concerné a un droit subjectif de participation lorsque l’opérateur a des établissements dans plusieurs États membres ou qu’un nombre important de personnes est affecté ; l’autorité chef de file doit inviter proactivement les autres autorités.
• L’article 62(3) organise un régime d’exercice transfrontalier des pouvoirs d’enquête, soit par conférement des pouvoirs d’accueil, soit par exercice extraterritorial des pouvoirs d’origine, sous contrôle de l’autorité d’accueil.
• Le régime de responsabilité civile Art. 62(4) à 62(6) place la responsabilité sur l’État d’accueil, avec remboursement intégral par l’État d’origine — le tiers lésé poursuit l’État sur le territoire duquel le dommage a été causé.
• En cas de silence d’un mois (Art. 62(7)), l’urgence est présumée : bascule possible vers la procédure d’urgence Art. 66 du CEPD, sans démonstration des trois conditions cumulatives habituelles.
• Le Coordinated Enforcement Framework (CEF) du CEPD (2022 cloud public, 2023 DPO, 2024 droit d’accès, 2025 droit à l’effacement) est la principale traduction opérationnelle de l’article 62 et constitue un indicateur avancé des priorités d’enforcement à anticiper.

FAQ

Quelle est la différence entre l’article 61 et l’article 62 du RGPD ?

L’article 61 régit l’assistance mutuelle entre autorités — échanges documentaires, demandes d’informations, transmission d’éléments d’enquête — sans intervention physique conjointe. L’article 62 va plus loin : il organise les opérations physiquement coordonnées, avec participation effective d’agents d’autres États membres aux enquêtes et aux mesures répressives. L’article 61 est la base de la coopération informationnelle ; l’article 62 est la base de la coopération opérationnelle.

Un agent d’une autorité étrangère peut-il exercer des pouvoirs d’enquête en France ?

Oui, mais sous conditions strictes encadrées par l’article 62(3). Deux modalités sont possibles : la CNIL peut conférer ses propres pouvoirs à l’agent étranger (dans les conditions du droit français, notamment des articles 19 à 22 de la loi Informatique et Libertés), ou autoriser l’agent étranger à exercer ses pouvoirs d’origine sur le sol français, dans la mesure où cela est compatible avec le droit français. Dans les deux cas, l’agent étranger doit être sous le contrôle et en présence d’agents CNIL, et reste soumis au droit français pour les actes qu’il accomplit.

Que se passe-t-il en cas de dommage causé par un agent étranger lors d’une opération conjointe en France ?

L’article 62(4) et 62(5) prévoient que l’État d’accueil — la France — assume la responsabilité civile à l’égard du tiers lésé, dans les mêmes conditions que pour les dommages causés par ses propres agents. L’État d’origine de l’agent (Allemagne, Italie, etc.) rembourse ensuite intégralement à la France les sommes versées. Le tiers lésé n’a donc qu’un seul interlocuteur judiciaire : l’État français, devant les juridictions administratives françaises.

Qu’est-ce que le Coordinated Enforcement Framework (CEF) du CEPD ?

Le CEF est un dispositif institué par le CEPD en octobre 2020 pour organiser des opérations de contrôle thématiques coordonnées entre l’ensemble des autorités européennes. Chaque édition annuelle porte sur un sujet précis : cloud public en 2022, rôle des DPO en 2023, droit d’accès en 2024, droit à l’effacement en 2025. Le CEF mobilise la logique de l’article 62 sans toujours en respecter le formalisme strict — chaque autorité agit sur son territoire, mais avec des questionnaires partagés et un rapport synthétique CEPD publié in fine.

L’article 62 a-t-il déjà été activé contre la DPC irlandaise dans les dossiers Meta ?

Pas formellement par le biais de l’article 62(7) menant à une décision CEPD publique. Mais la dynamique de coordination des autorités concernées (BfDI, CNIL, Garante, Datatilsynet) contre la DPC, observée entre 2022 et 2025 dans les dossiers Meta transferts US, WhatsApp, Instagram, mobilise l’esprit et plusieurs éléments procéduraux de l’article 62 — invitations à participer, objections coordonnées au titre de l’article 60(4), saisines parallèles du CEPD au titre de l’article 65. La menace formelle de l’article 62(7) n’a pas été nécessaire pour modifier la dynamique opérationnelle.

---

Cet article a été mis à jour le 27 mai 2026. Pour aller plus loin, consultez nos analyses sur l’assistance mutuelle (article 61), la procédure de coopération (article 60), le mécanisme de cohérence (article 63) et la procédure d’urgence (article 66). Pour rester informé des évolutions du droit de la protection des données, abonnez-vous à notre newsletter.