Article 31 Coopération avec l'autorité de contrôle

Portée de l'obligation de coopération

L'article 31 impose une obligation générale de coopération avec l'autorité de contrôle à l'exécution de ses missions. Cette obligation signifie que le responsable du traitement et le sous-traitant doivent répondre aux demandes d'information de l'autorité de contrôle, faciliter les contrôles sur place ou sur pièces, fournir les documents et justificatifs demandés, et permettre l'accès aux locaux et aux systèmes d'information dans les conditions prévues par le droit de l'Union ou le droit national.

L'obligation de coopération s'applique dans le cadre de toutes les missions de l'autorité de contrôle prévues à l'article 57 du RGPD, notamment les missions de surveillance et de contrôle du respect du règlement, de traitement des réclamations introduites par les personnes concernées, de réalisation d'enquêtes, de sensibilisation et d'information du public, ou encore de conseil aux institutions et organismes publics sur les questions relatives à la protection des données.

Cette obligation s'applique également aux représentants du responsable du traitement ou du sous-traitant désignés en application de l'article 27, lorsque ceux-ci sont établis en dehors de l'Union européenne. Le représentant doit être en mesure de fournir à l'autorité de contrôle les informations nécessaires et de faciliter la coopération avec le responsable du traitement ou le sous-traitant qu'il représente.

Les formes de la coopération avec l'autorité de contrôle

La coopération avec l'autorité de contrôle peut prendre différentes formes. Elle peut consister en la réponse à des demandes d'information ou de documentation (registre des activités de traitement, analyses d'impact, politiques de sécurité, contrats de sous-traitance, etc.), en la participation à des contrôles sur place (visite des locaux, accès aux systèmes d'information, entretiens avec le personnel), ou encore en la fourniture d'explications et de justifications sur les pratiques de traitement de l'organisation.

La coopération peut également prendre la forme d'une concertation préalable avec l'autorité de contrôle, conformément à l'article 36 du RGPD, lorsque l'analyse d'impact relative à la protection des données révèle que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque. Dans ce cas, le responsable du traitement doit consulter l'autorité de contrôle avant de mettre en œuvre le traitement.

Enfin, la coopération peut se manifester par la participation à des groupes de travail, à des consultations publiques, ou à des démarches de co-construction de référentiels ou de codes de conduite, dans le cadre des missions de conseil et de sensibilisation de l'autorité de contrôle.

Les délais de réponse aux demandes de l'autorité de contrôle

L'article 31 ne précise pas de délai général de réponse aux demandes de l'autorité de contrôle. Toutefois, les autorités de contrôle fixent généralement un délai de réponse dans leurs demandes d'information ou de documentation, en fonction de l'urgence et de la nature de la demande. Ce délai peut varier de quelques jours à plusieurs semaines, selon les circonstances.

Le respect des délais impartis par l'autorité de contrôle constitue un élément essentiel de la coopération. Le non-respect de ces délais, ou la fourniture de réponses partielles, incomplètes ou manifestement erronées, peut être considéré comme un manquement à l'obligation de coopération et entraîner des sanctions administratives.

Il est recommandé, en cas d'impossibilité de respecter le délai imparti, de solliciter une prorogation de délai auprès de l'autorité de contrôle en justifiant cette demande, plutôt que de laisser expirer le délai sans réponse.

Les pouvoirs de l'autorité de contrôle en cas de défaut de coopération

L'article 58 du RGPD confère aux autorités de contrôle un ensemble de pouvoirs d'investigation, de correction et d'autorisation, ainsi que des pouvoirs consultatifs. Ces pouvoirs comprennent notamment le pouvoir d'ordonner au responsable du traitement ou au sous-traitant de fournir toute information nécessaire à l'exécution de ses missions, d'effectuer des contrôles sur place, ou encore d'accéder à l'ensemble des données à caractère personnel et à toutes les informations nécessaires à l'exécution de ses missions.

En cas de défaut de coopération ou de refus de fournir les informations demandées, l'autorité de contrôle peut prononcer des sanctions administratives en application de l'article 83 du RGPD. Ces sanctions peuvent aller jusqu'à 10 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

L'autorité de contrôle peut également ordonner au responsable du traitement ou au sous-traitant de se conformer aux demandes d'exercice des droits formulées par la personne concernée, de mettre le traitement en conformité avec le RGPD, voire de suspendre ou d'interdire le traitement en cas de manquement grave et persistant.

Articulation avec le principe de responsabilité (accountability)

L'obligation de coopération prévue à l'article 31 s'inscrit dans le prolongement du principe de responsabilité (accountability) consacré par l'article 24 du RGPD. Le responsable du traitement et le sous-traitant doivent non seulement respecter les exigences du RGPD, mais également être en mesure de démontrer cette conformité à l'autorité de contrôle. Cette démonstration suppose la tenue d'une documentation probante et la capacité à répondre rapidement et de manière complète aux demandes d'information de l'autorité de contrôle.

La coopération avec l'autorité de contrôle implique également une démarche proactive de transparence et de dialogue, notamment par la consultation de l'autorité en cas de doute sur l'interprétation ou l'application du RGPD, ou par la participation à des démarches sectorielles de mise en conformité (codes de conduite, certifications, labels).

La protection des secrets d'affaires et des données confidentielles

L'obligation de coopération avec l'autorité de contrôle ne dispense pas le responsable du traitement ou le sous-traitant de protéger les secrets d'affaires, les informations commercialement sensibles, ou les données couvertes par le secret professionnel. Toutefois, l'invocation de la confidentialité ou du secret d'affaires ne peut constituer un motif légitime de refus de coopération avec l'autorité de contrôle.

Les membres et le personnel de l'autorité de contrôle sont soumis à une obligation de confidentialité en vertu de l'article 54, paragraphe 2, du RGPD, qui impose le respect du secret professionnel en ce qui concerne les informations confidentielles dont ils ont eu connaissance dans l'exercice de leurs fonctions. Cette obligation s'applique également à toute autre personne travaillant sous l'autorité de l'autorité de contrôle, ainsi qu'aux membres des groupes de travail ou des comités consultatifs.

En cas de difficulté ou de doute sur la portée de l'obligation de coopération au regard de la protection de la confidentialité, il est recommandé de solliciter l'autorité de contrôle afin de définir les modalités appropriées de communication des informations demandées (anonymisation, agrégation, communication sous pli confidentiel, etc.).

Sanctions et jurisprudence

Le non-respect de l'article 31 est susceptible d'entraîner des sanctions administratives en application de l'article 83 du RGPD. Les autorités de contrôle sanctionnent régulièrement les organisations qui refusent de coopérer, qui ne répondent pas aux demandes d'information dans les délais impartis, qui fournissent des informations incomplètes ou mensongères, ou qui font obstacle aux contrôles sur place.

La Commission nationale de l'informatique et des libertés (CNIL) a, à plusieurs reprises, rappelé que l'obligation de coopération constitue un élément essentiel du système de contrôle et de sanction prévu par le RGPD et que son non-respect constitue un manquement grave, susceptible d'aggraver les sanctions prononcées pour d'autres violations du règlement.

La jurisprudence des autorités de contrôle souligne que la coopération doit être sincère, complète et loyale, et que toute tentative de dissimulation d'informations, de fourniture de documents tronqués ou altérés, ou d'obstruction aux investigations de l'autorité de contrôle est susceptible de constituer un manquement autonome, indépendamment des autres violations constatées.

Recommandations de la CNIL et du CEPD

La CNIL recommande aux organisations de désigner un interlocuteur identifié (délégué à la protection des données, responsable juridique, ou référent RGPD) chargé de centraliser les demandes de l'autorité de contrôle et de coordonner les réponses. Elle insiste également sur l'importance de conserver une documentation probante (registre des activités de traitement, analyses d'impact, contrats de sous-traitance, procédures de gestion des violations de données, etc.) permettant de répondre rapidement et de manière complète aux demandes d'information.

Le Comité européen de la protection des données (CEPD) souligne que l'obligation de coopération constitue un élément fondamental de l'effectivité du RGPD et qu'elle doit être mise en œuvre de bonne foi et de manière proactive. Il recommande aux organisations de considérer la coopération avec l'autorité de contrôle non pas comme une contrainte, mais comme une opportunité de démontrer leur engagement en faveur de la protection des données et de bénéficier des conseils et de l'accompagnement de l'autorité dans leur démarche de mise en conformité.