L'article 62 du Règlement général sur la protection des données (RGPD) établit le cadre juridique permettant aux autorités de contrôle de mener des opérations conjointes, notamment des enquêtes communes ou des mesures coercitives communes. Cette disposition constitue un outil majeur de la coopération transfrontalière entre autorités de contrôle, permettant d'intervenir de manière coordonnée et efficace sur des traitements de données qui dépassent les frontières nationales.
Dans un contexte où les acteurs économiques opèrent de plus en plus à l'échelle européenne voire mondiale, les opérations conjointes offrent aux autorités de contrôle la possibilité de mutualiser leurs ressources, leurs expertises et leurs pouvoirs pour mener des investigations complexes. Elles renforcent ainsi l'effectivité du contrôle et garantissent une approche harmonisée face à des problématiques communes de protection des données.
L'article 62 s'inscrit dans la continuité des articles 60 et 61 du RGPD, qui organisent respectivement la coopération entre l'autorité chef de file et les autres autorités concernées, ainsi que l'assistance mutuelle entre autorités. Il offre une dimension opérationnelle concrète à cette coopération en permettant une action commune sur le terrain.
Texte officiel de l'article 62 du RGPD
L'article 62 du RGPD dispose notamment que :
« 1. Les autorités de contrôle mènent, le cas échéant, des opérations conjointes, y compris des enquêtes conjointes et des mesures coercitives conjointes, auxquelles participent des membres ou des agents des autorités de contrôle d'autres États membres.
2. Lorsque le responsable du traitement ou le sous-traitant a des établissements dans plusieurs États membres ou lorsqu'un nombre important de personnes concernées dans plusieurs États membres sont susceptibles d'être sensiblement affectées par des opérations de traitement, une autorité de contrôle de chacun de ces États membres a le droit de participer aux opérations conjointes. L'autorité de contrôle qui est compétente en vertu de l'article 56, paragraphe 1 ou 4, invite l'autorité de contrôle de chacun de ces États membres à participer aux opérations conjointes en question et répond sans retard aux demandes d'une autorité de contrôle de participer à ces opérations.
3. Une autorité de contrôle peut, conformément au droit d'un État membre et avec l'autorisation de l'autorité de contrôle d'origine, conférer des pouvoirs, y compris des pouvoirs d'enquête, aux membres ou aux agents de l'autorité de contrôle d'origine qui participent aux opérations conjointes ou, dans la mesure où le droit de l'État membre de l'autorité de contrôle d'accueil le permet, autoriser les membres ou agents de l'autorité de contrôle d'origine à exercer leurs pouvoirs d'enquête conformément au droit de l'État membre de l'autorité de contrôle d'origine. Ces pouvoirs d'enquête ne peuvent être exercés que sous la direction et en présence de membres ou d'agents de l'autorité de contrôle d'accueil. Les membres ou agents de l'autorité de contrôle d'origine sont soumis au droit de l'État membre de l'autorité de contrôle d'accueil.
4. Lorsque, conformément au paragraphe 1, des agents d'une autorité de contrôle d'origine opèrent dans un autre État membre, l'État membre de l'autorité de contrôle d'accueil assume la responsabilité de leurs actions, y compris la responsabilité pour tout dommage qu'ils causeraient au cours de leurs opérations, conformément au droit de l'État membre sur le territoire duquel ils opèrent.
5. L'État membre sur le territoire duquel le dommage a été causé répare ce dommage selon les modalités applicables aux dommages causés par ses propres agents. L'État membre sur le territoire duquel l'opération a eu lieu rembourse intégralement à un autre État membre les sommes qu'il a versées aux victimes ou à leurs ayants droit au titre du dommage visé au paragraphe 4.
6. Sans préjudice de l'exercice de ses droits vis-à-vis des tiers et à l'exception du paragraphe 5, chaque État membre s'abstient, dans le cas visé au paragraphe 1, de demander à un autre État membre le remboursement lié aux dommages visés au paragraphe 4.
7. Lorsqu'une opération conjointe est envisagée et qu'une autorité de contrôle ne se conforme pas, dans un délai d'un mois, à l'obligation prévue au paragraphe 2, deuxième phrase, du présent article, les autres autorités de contrôle peuvent adopter une mesure provisoire sur le territoire de l'État membre de cette autorité conformément à l'article 55. Dans ce cas, il est considéré qu'il existe un besoin urgent d'agir en vertu de l'article 66, paragraphe 1, nécessitant une décision d'urgence contraignante de la part du comité au titre de l'article 66, paragraphe 2. »
Ce texte organise les modalités pratiques des opérations conjointes, les conditions de délégation de pouvoirs entre autorités, ainsi que les questions de responsabilité et d'indemnisation en cas de dommage causé au cours de ces opérations.
Principe et champ d'application des opérations conjointes
L'article 62, paragraphe 1, établit la possibilité pour les autorités de contrôle de mener des opérations conjointes, incluant des enquêtes conjointes et des mesures coercitives conjointes. Ces opérations permettent à des membres ou agents d'une autorité de contrôle de participer à des actions menées sur le territoire d'un autre État membre, sous la coordination de l'autorité d'accueil.
Les opérations conjointes peuvent prendre diverses formes : inspections simultanées de plusieurs établissements d'une même entreprise dans différents États membres, enquêtes coordonnées sur un traitement transfrontalier, mesures correctrices communes visant un responsable de traitement établi dans plusieurs pays. Cette flexibilité permet aux autorités d'adapter leur coopération aux spécificités de chaque affaire.
Conditions de participation aux opérations conjointes
L'article 62, paragraphe 2, définit les conditions dans lesquelles une autorité de contrôle a le droit de participer à une opération conjointe. Ce droit existe lorsque le responsable de traitement ou le sous-traitant a des établissements dans plusieurs États membres, ou lorsqu'un nombre important de personnes concernées dans plusieurs États membres sont susceptibles d'être sensiblement affectées par le traitement.
L'autorité de contrôle chef de file, déterminée conformément à l'article 56, a l'obligation d'inviter les autres autorités concernées à participer aux opérations conjointes. Elle doit également répondre sans retard aux demandes de participation émanant d'autres autorités. Cette obligation garantit que toutes les autorités ayant un intérêt légitime puissent contribuer à l'enquête et faire valoir leur point de vue.
Délégation de pouvoirs et modalités d'exercice
L'article 62, paragraphe 3, organise les modalités de délégation de pouvoirs entre autorités dans le cadre des opérations conjointes. Une autorité de contrôle d'accueil peut, conformément à son droit national et avec l'autorisation de l'autorité d'origine, conférer des pouvoirs d'enquête aux membres ou agents de cette dernière.
Alternativement, dans la mesure où le droit de l'État membre d'accueil le permet, les membres ou agents de l'autorité d'origine peuvent être autorisés à exercer leurs propres pouvoirs d'enquête conformément au droit de leur État membre. Toutefois, ces pouvoirs ne peuvent être exercés que sous la direction et en présence de membres ou agents de l'autorité d'accueil, et les agents de l'autorité d'origine demeurent soumis au droit de l'État membre d'accueil.
Cette double possibilité vise à concilier la nécessité d'une coopération opérationnelle efficace avec le respect des souverainetés nationales et des systèmes juridiques propres à chaque État membre.
Responsabilité et indemnisation des dommages
Les paragraphes 4, 5 et 6 de l'article 62 organisent le régime de responsabilité applicable aux opérations conjointes. L'État membre d'accueil assume la responsabilité des actions des agents de l'autorité d'origine opérant sur son territoire, y compris la responsabilité pour tout dommage causé au cours de leurs opérations.
L'État membre d'accueil répare les dommages causés selon les modalités applicables aux dommages causés par ses propres agents. Toutefois, il dispose ensuite d'un droit à remboursement intégral par l'État membre d'origine des sommes versées aux victimes. Ce mécanisme vise à simplifier l'indemnisation des victimes tout en préservant un équilibre entre États membres dans la prise en charge financière des conséquences des opérations conjointes.
Mécanisme de sauvegarde en cas de non-coopération
L'article 62, paragraphe 7, prévoit un mécanisme de sauvegarde pour les situations où une autorité de contrôle ne se conforme pas, dans un délai d'un mois, à son obligation d'inviter les autres autorités concernées à participer à une opération conjointe. Dans ce cas, les autres autorités peuvent adopter une mesure provisoire sur le territoire de l'État membre de l'autorité défaillante, conformément à l'article 55.
Cette situation est considérée comme un besoin urgent d'agir au sens de l'article 66, paragraphe 1, justifiant le recours à la procédure d'urgence devant le Comité européen de la protection des données (CEPD). Ce mécanisme garantit que le refus de coopération d'une autorité ne puisse faire obstacle à la protection des droits des personnes concernées.
Articulation avec les autres dispositions du RGPD
L'article 62 s'articule étroitement avec l'article 60, qui organise la coopération entre l'autorité chef de file et les autres autorités concernées. Les opérations conjointes constituent une modalité concrète de mise en œuvre de cette coopération, permettant une action coordonnée sur le terrain.
Il complète également l'article 61 relatif à l'assistance mutuelle, en offrant une forme plus intégrée de coopération impliquant une présence physique et une action commune des autorités. Les opérations conjointes peuvent d'ailleurs être initiées à la suite d'une demande d'assistance mutuelle, lorsque celle-ci révèle la nécessité d'une intervention coordonnée.
Enfin, l'article 62 s'inscrit dans le cadre du mécanisme de contrôle de la cohérence prévu aux articles 63 à 67, qui permet au CEPD d'assurer une application harmonisée du RGPD et d'intervenir en cas de désaccord entre autorités sur la conduite d'une opération conjointe.
Jurisprudence relative à l'article 62
La mise en œuvre pratique de l'article 62 du RGPD est encore relativement récente, et la jurisprudence spécifique à cet article demeure limitée. Toutefois, plusieurs opérations conjointes ont été menées depuis l'entrée en application du RGPD, notamment dans le secteur des grandes plateformes numériques et des réseaux sociaux.
Le Comité européen de la protection des données (CEPD) publie régulièrement des informations sur les opérations conjointes en cours, sans toutefois révéler les détails des enquêtes. Ces opérations témoignent de la volonté des autorités de contrôle de coordonner leurs actions face à des problématiques transfrontalières complexes.
En France, la CNIL a participé à plusieurs opérations conjointes en qualité d'autorité chef de file ou d'autorité concernée. Elle souligne dans ses rapports annuels l'importance de cette coopération opérationnelle pour garantir une protection effective des données dans un contexte de traitements transfrontaliers croissants.
Recommandations de la CNIL et du CEPD
Le Comité européen de la protection des données a adopté des lignes directrices relatives aux opérations conjointes, précisant les modalités pratiques de leur mise en œuvre. Il encourage les autorités de contrôle à privilégier cette forme de coopération pour les enquêtes portant sur des traitements transfrontaliers complexes, afin de garantir une approche harmonisée et une utilisation efficiente des ressources.
La CNIL recommande aux responsables de traitement opérant à l'échelle européenne de prendre en compte la possibilité d'opérations conjointes dans leur analyse de risques. Les organisations doivent être conscientes que plusieurs autorités peuvent coordonner leurs actions et mener des investigations simultanées dans différents États membres, rendant particulièrement importante la cohérence des pratiques de protection des données au sein du groupe.
Le CEPD insiste également sur l'importance de la préparation et de la planification des opérations conjointes, incluant la définition claire des rôles et responsabilités de chaque autorité participante, l'établissement de procédures de communication et de coordination, et la prise en compte des spécificités juridiques de chaque État membre concerné.
Implications pratiques pour les responsables de traitement
Pour les responsables de traitement et les sous-traitants opérant dans plusieurs États membres, l'existence du mécanisme d'opérations conjointes implique qu'ils peuvent faire l'objet d'investigations coordonnées menées simultanément par plusieurs autorités de contrôle. Les organisations doivent donc être préparées à répondre à des demandes d'informations et à des inspections provenant de différentes autorités agissant de concert.
La mise en place de procédures internes de coordination pour la gestion des relations avec les autorités de contrôle devient essentielle dans ce contexte. Les groupes multinationaux ont intérêt à désigner des points de contact uniques ou des équipes de coordination capables de centraliser les échanges avec les autorités et de garantir la cohérence des réponses fournies.
Les organisations doivent également veiller à la cohérence de leurs pratiques de protection des données entre leurs différents établissements européens, afin d'éviter que des divergences ne soient révélées lors d'opérations conjointes et ne donnent lieu à des constatations de manquements. La mise en place de politiques groupe harmonisées, de formations communes et d'audits internes réguliers constitue une bonne pratique à cet égard.
L'article 62 du RGPD fournit aux autorités de contrôle un outil puissant pour mener des actions coordonnées face aux défis posés par les traitements transfrontaliers de données personnelles. En permettant des enquêtes conjointes et des mesures coercitives communes, il renforce l'effectivité du contrôle et garantit une approche harmonisée de la protection des données à l'échelle européenne. Pour les responsables de traitement, ce mécanisme constitue un rappel de la nécessité d'assurer la cohérence de leurs pratiques de protection des données dans l'ensemble de leurs établissements européens.