L'article 60 du Règlement général sur la protection des données (RGPD) organise la procédure de coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées dans le cadre du traitement des affaires transfrontalières. Cette disposition constitue le cœur opérationnel du mécanisme de guichet unique institué par l'article 56, en définissant précisément les modalités de collaboration entre autorités pour garantir une application cohérente du RGPD tout en préservant les droits de toutes les parties prenantes.
Dans un contexte où les traitements de données personnelles dépassent fréquemment les frontières nationales, la coopération effective entre autorités de contrôle constitue une nécessité absolue pour garantir l'effectivité de la protection des données. L'article 60 vise à éviter que les différences d'organisation administrative entre États membres ne constituent un obstacle à l'application uniforme du RGPD et à la protection des droits des personnes concernées à travers l'Union européenne.
L'article 60 s'inscrit dans le cadre du chapitre VII relatif à la coopération et à la cohérence et constitue, avec les articles 56, 61 et 62, le dispositif central du système européen de protection des données pour les traitements transfrontaliers.
Texte officiel de l'article 60 du RGPD
L'article 60 du RGPD organise une procédure de coopération détaillée entre autorités de contrôle, comprenant notamment les étapes suivantes :
« 1. L'autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s'efforçant de parvenir à un consensus. L'autorité de contrôle chef de file et les autorités de contrôle concernées échangent toutes les informations utiles.
2. L'autorité de contrôle chef de file peut à tout moment demander aux autres autorités de contrôle concernées de fournir une assistance mutuelle en application de l'article 61 et peut mener des opérations conjointes en application de l'article 62, en particulier pour effectuer des enquêtes ou contrôler l'application d'une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.
3. L'autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées pour avis et tient dûment compte de leurs points de vue.
4. Lorsqu'une des autres autorités de contrôle concernées émet, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection pertinente et motivée à l'égard du projet de décision, l'autorité de contrôle chef de file, si elle ne donne pas suite à l'objection pertinente et motivée ou si elle est d'avis que l'objection n'est pas pertinente ou n'est pas motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l'article 63.
5. Lorsque l'autorité de contrôle chef de file entend donner suite à l'objection pertinente et motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé pour avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines.
6. Lorsqu'aucune des autres autorités de contrôle concernées n'a émis d'objection à l'égard du projet de décision soumis par l'autorité de contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l'autorité de contrôle chef de file et les autorités de contrôle concernées sont réputées être d'accord sur ce projet de décision et sont liées par celui-ci.
7. L'autorité de contrôle chef de file adopte la décision et la notifie à l'établissement principal ou à l'établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L'autorité de contrôle auprès de laquelle une réclamation a été introduite informe le plaignant de la décision.
8. Par dérogation au paragraphe 7, lorsqu'une réclamation est rejetée ou écartée, l'autorité de contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la notifie au plaignant et en informe le responsable du traitement.
9. Lorsque l'autorité de contrôle chef de file et les autorités de contrôle concernées sont d'accord pour rejeter ou écarter certaines parties d'une réclamation et agir sur d'autres parties de cette réclamation, une décision distincte est adoptée pour chacune de ces parties de la question. L'autorité de contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement, la notifie à l'établissement principal ou à l'établissement unique du responsable du traitement ou du sous-traitant sur le territoire de son État membre et en informe le plaignant, tandis que l'autorité de contrôle du plaignant adopte la décision pour la partie concernant le rejet ou l'écartement de cette réclamation, la notifie à ce plaignant et en informe le responsable du traitement ou le sous-traitant. »
Ce texte établit une procédure détaillée de coopération, fondée sur la recherche du consensus et organisant un mécanisme de résolution des désaccords.
Principe de coopération et recherche du consensus
Le paragraphe 1 de l'article 60 énonce le principe fondamental selon lequel l'autorité de contrôle chef de file doit coopérer avec les autres autorités de contrôle concernées en s'efforçant de parvenir à un consensus. Cette obligation de coopération loyale et de recherche du consensus reflète l'esprit du RGPD, qui vise à construire un espace européen de protection des données fondé sur la collaboration entre autorités nationales indépendantes.
La coopération implique un échange complet et transparent d'informations entre toutes les autorités concernées. Chaque autorité doit disposer des éléments nécessaires pour comprendre le contexte de l'affaire, apprécier les faits et le droit, et formuler un avis éclairé sur le projet de décision. Cette transparence constitue une garantie essentielle de la qualité des décisions adoptées et de leur acceptabilité par l'ensemble des autorités.
Procédure de consultation des autorités concernées
Le paragraphe 3 de l'article 60 impose à l'autorité chef de file de communiquer sans tarder les informations utiles aux autres autorités concernées et de leur soumettre un projet de décision pour avis. Cette procédure de consultation garantit que les autorités concernées peuvent exercer effectivement leur rôle de contrôle et faire valoir leurs observations avant l'adoption de la décision finale.
L'autorité chef de file doit tenir dûment compte des points de vue exprimés par les autres autorités concernées. Cette obligation de prise en compte ne signifie pas que l'autorité chef de file soit liée par les avis reçus, mais qu'elle doit les examiner sérieusement et motiver sa décision finale en expliquant, le cas échéant, pourquoi elle ne suit pas certaines recommandations.
Mécanisme d'objection pertinente et motivée
Les paragraphes 4 et 5 de l'article 60 organisent un mécanisme d'objection pertinente et motivée permettant aux autorités concernées de contester un projet de décision de l'autorité chef de file. Une objection est considérée comme pertinente et motivée lorsqu'elle démontre clairement que la décision envisagée violerait le RGPD ou présenterait des risques importants pour les droits des personnes concernées.
Si l'autorité chef de file ne donne pas suite à une objection pertinente et motivée, ou si elle considère que l'objection n'est pas pertinente ou motivée, elle doit soumettre la question au mécanisme de contrôle de la cohérence prévu à l'article 63. Ce renvoi garantit qu'aucun désaccord persistant entre autorités ne puisse paralyser l'action de protection des données et que les litiges soient résolus au niveau européen.
Si l'autorité chef de file entend donner suite à l'objection, elle doit soumettre un projet de décision révisé aux autres autorités concernées, qui disposent d'un nouveau délai de deux semaines pour formuler d'éventuelles objections. Cette procédure itérative permet d'affiner progressivement le projet de décision et de parvenir à un consensus.
Adoption et notification de la décision
Le paragraphe 7 de l'article 60 prévoit que l'autorité chef de file adopte la décision finale et la notifie à l'établissement principal ou unique du responsable de traitement ou du sous-traitant. Elle doit également informer les autres autorités concernées et le Comité européen de la protection des données de la décision adoptée, en communiquant un résumé des faits et des motifs pertinents.
L'autorité auprès de laquelle une réclamation a été introduite a la charge d'informer le plaignant de la décision adoptée. Cette répartition des rôles garantit que la personne concernée reçoit une réponse de l'autorité qu'elle a saisie, tout en permettant à l'autorité chef de file de coordonner l'action à l'échelle européenne.
Dispositions spécifiques pour les décisions de rejet
Les paragraphes 8 et 9 de l'article 60 prévoient des règles spécifiques pour les décisions de rejet ou d'écartement des réclamations. Lorsqu'une réclamation est intégralement rejetée, c'est l'autorité auprès de laquelle la réclamation a été introduite qui adopte la décision et la notifie au plaignant, garantissant ainsi un traitement direct et rapide.
Lorsque les autorités sont d'accord pour rejeter certaines parties d'une réclamation et agir sur d'autres parties, des décisions distinctes sont adoptées pour chaque partie, permettant ainsi un traitement différencié adapté à chaque aspect de l'affaire.
Jurisprudence relative à l'article 60
La mise en œuvre pratique de l'article 60 a révélé certaines difficultés, notamment en matière de délais de traitement et de coordination entre autorités. Plusieurs affaires de grande envergure impliquant des entreprises technologiques multinationales ont mis en lumière les tensions potentielles entre l'autorité chef de file et les autorités concernées, conduisant à l'utilisation du mécanisme de règlement des litiges prévu à l'article 65.
Le Comité européen de la protection des données a adopté plusieurs décisions contraignantes dans le cadre du mécanisme de cohérence, clarifiant l'application de l'article 60 et soulignant l'importance d'une coopération effective et de bonne foi entre autorités. Ces décisions ont notamment précisé les conditions de recevabilité des objections pertinentes et motivées.
Recommandations de la CNIL et du CEPD
La Commission nationale de l'informatique et des libertés (CNIL) souligne l'importance d'une coopération loyale et rapide entre autorités de contrôle pour garantir l'effectivité du mécanisme de guichet unique. Elle encourage les organisations opérant dans plusieurs États membres à faciliter cette coopération en fournissant rapidement toutes les informations nécessaires et en coordonnant leurs échanges avec les différentes autorités concernées.
Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur l'application de l'article 60, précisant notamment les délais applicables, les modalités de formulation des objections pertinentes et motivées, et les critères de déclenchement du mécanisme de cohérence. Il insiste sur la nécessité pour les autorités de respecter les délais procéduraux et de privilégier le dialogue pour résoudre les désaccords.
Implications pratiques pour les responsables de traitement
Pour les responsables de traitement opérant dans plusieurs États membres, la procédure de coopération prévue à l'article 60 garantit qu'ils traiteront principalement avec l'autorité chef de file, tout en bénéficiant d'une décision reflétant une appréciation harmonisée au niveau européen. Cette centralisation simplifie les démarches de conformité et réduit le risque de décisions contradictoires.
Les organisations doivent toutefois être conscientes que la procédure de coopération peut allonger les délais de traitement des affaires, notamment en cas de désaccord entre autorités nécessitant le recours au mécanisme de cohérence. Une coopération proactive avec l'autorité chef de file et la fourniture rapide des informations demandées peuvent contribuer à accélérer le traitement.
L'article 60 du RGPD organise une procédure détaillée de coopération entre l'autorité de contrôle chef de file et les autres autorités concernées pour le traitement des affaires transfrontalières. Fondée sur la recherche du consensus et organisant un mécanisme de résolution des désaccords, cette procédure constitue le cœur opérationnel du système européen de protection des données. Son application effective nécessite une coopération loyale entre autorités et peut conduire, en cas de désaccord persistant, au déclenchement du mécanisme de contrôle de la cohérence garantissant une application harmonisée du RGPD.