ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
  1. Accueil
  2. Le mécanisme de coopération et de cohérence européen du RGPD

Le mécanisme de coopération et de cohérence européen du RGPD

19 janvier 2026

Le RGPD prévoit un mécanisme de coopération et de cohérence aux autorités de protection des données de l’Union européenne (UE) et de l’Espace économique européen (EEE), comme la CNIL. Ce mécanisme s’applique aux cas impliquant un dans plusieurs États membres.

Le mécanisme de coopération

La coopération entre les autorités de protection des données est au cœur du RGPD avec un objectif : assurer une application cohérente du règlement sur le territoire européen.

Pour garantir cette coopération, le RGPD prévoit plusieurs outils entre les autorités de protection des données. Certains outils sont obligatoires, d’autres sont au contraire facultatifs.

La procédure du guichet unique (article 60 du RGPD) 

La procédure du « guichet unique » (ou OSS pour one-stop-shop en anglais) est obligatoire.

Elle impose, en cas de traitement transfrontalier de données, l’échange de toute information utile et la recherche d’un consensus entre l’autorité de contrôle « chef de file » (en anglais lead supervisory authority ou LSA) et les autorités de contrôle « concernées » (en anglais concerned supervisory authority ou CSA) par ce traitement.

L’autorité chef de file guide cette coopération. À cette fin, des outils spécifiques de coopération sont mis à disposition des autorités par le RGPD comme les demandes d’assistance mutuelle (article 61 du RGPD) et les opérations de contrôle conjointes (article 62).

À l’issue de la phase d’instruction, le RGPD impose à l’autorité chef de file de soumettre un projet de décision aux autorités concernées pour qu’elles l’examinent.

La recherche d’un consensus entre autorité chef de file et autorités concernées est la règle afin que la décision finale prise par l’autorité chef de file soit collectivement endossée avec les autorités concernées. En l’absence de consensus, les autorités concernées peuvent formuler une « objection pertinente et motivée » à l’égard du projet de décision de l’autorité chef de file, dont l’autorité chef de file doit tenir compte. Si l’autorité chef de file considère que l’objection n’est pas pertinente et motivée ou si elle décide de ne pas la suivre, le mécanisme de contrôle de cohérence (article 63) est déclenché.

Schéma représentant la procédure de projet de décision dans le cadre du guichet unique (coopération européenne). Pour les cas transfrontaliers : Une autorité chef de file soumet un projet de décision à une ou plusieurs autorités concernées.
Texte reference

La demande d’assistance mutuelle (article 61 du RGPD)

La procédure d’assistance mutuelle est un mécanisme de coopération facultatif, pouvant être actionné dans tous les cas nécessitant un dialogue entre autorités, quels que soient les traitements de données en cause (transfrontaliers ou non).

Une autorité peut ainsi initier une requête auprès d’une autre autorité, qui est tenue de répondre dans un délai d’un mois. Cette requête peut viser à obtenir des informations, solliciter le lancement d’investigation ou demander la prise de mesures correctrices par l’autorité . Si celle-ci décide de ne pas faire droit à la demande, elle doit justifier son refus.

À l’expiration de ce délai, si l’autorité destinataire n’a pas agi, l'autorité requérante peut adopter une mesure provisoire sur son territoire et enclencher le mécanisme de la procédure d’urgence.

Texte reference

Les opérations conjointes (article 62 du RGPD)

La procédure relative aux opérations conjointes est un mécanisme facultatif, qui peut être actionné dans tous les cas nécessitant une coopération entre autorités. Deux ou plusieurs autorités peuvent joindre leurs forces dans le cadre d’une action commune, notamment répressive.

Lors du lancement d’une opération conjointe, l’autorité à l’initiative invite les autres autorités concernées à participer. Cette participation reste facultative pour les autorités qui y sont invitées, mais certaines autorités disposent d’un « droit à participer ». En l’absence d’une telle invitation, les autorités disposant d’un droit à participer peuvent adopter en réponse une mesure provisoire sur leur territoire et enclencher le mécanisme de la procédure d’urgence.

Texte reference

Le mécanisme de contrôle de la cohérence

Dans le cadre du mécanisme de contrôle de la cohérence, le CEPD peut être amené à se prononcer dans trois situations :

  • l’adoption d’avis en amont de l’adoption de certains projets de décision d’une autorité de contrôle ;
  • le règlement des litiges entre autorités de contrôle en cas d’échec du mécanisme de coopération ;
  • l’adoption de décisions contraignantes dites d’urgence.

L’adoption d’avis (article 64 du RGPD)

La procédure d’avis est obligatoire lorsqu’une autorité de contrôle envisage d’adopter certaines décisions telles que les décisions d’approbation des règles d’entreprise contraignantes, de codes de conduite européens, de schémas de certifications, etc. (liste complète à l’article 64.1 du RGPD). Cet examen collectif par le CEPD permet de s’assurer qu’une autorité de contrôle ne peut pas développer seule une doctrine qui pourrait s’imposer aux autres autorités sans qu’elles n’aient été consultées au préalable, en particulier pour des outils de conformité qui sont déployés dans plusieurs Etats-Membres.

Par ailleurs, une autorité de contrôle peut saisir le CEPD d’une procédure d’avis sur toute question d'application générale ou produisant des effets dans plusieurs États membres (article 64.2 du RGPD). À nouveau, l’objectif de cette procédure est d’obtenir du CEPD une position commune sur une question spécifique afin de définir une approche cohérente entre autorités de contrôle.

À titre d’illustration, le CEPD a rendu en 2024 un avis sur le modèle « Consentir ou Payer » de grandes plateformes en ligne et sur la validité du consentement donné par les utilisateurs de ces plateformes.

Texte reference

Le règlement de litiges (article 65 du RGPD)

Dans le cadre de la procédure du guichet unique, lorsqu’une autorité concernée est en désaccord avec le projet de décision présenté par l’autorité chef de file, elle peut formuler des objections pertinentes et motivées.

L’autorité de chef de file peut alors :

  • soit suivre la ou les objection(s) et soumettre alors un projet de décision révisé ;
  • soit ne pas suivre la ou les objection(s) formulées, ce qui crée un litige sur le projet de décision.

Le différend est alors porté devant le CEPD. Le mécanisme de règlement des litiges est déclenché afin de trouver un consensus entre autorités. Le CEPD adopte alors une décision contraignante qui s’impose à l’autorité chef de file. L’autorité chef de file doit ensuite prendre une nouvelle décision tenant compte de la décision du CEPD.

Ce mécanisme peut également être déclenché par une autorité lorsque le mécanisme de coopération n’a pas pu aboutir à un consensus sur la désignation de l’autorité chef de file dans le cadre d’un traitement transfrontalier ou encore lorsque l’avis du CEPD (sur le fondement de l’article 64.1 du RGPD) n’a pas été suivi d’effets.

Le CEPD agit alors en tant qu’organe de règlement des litiges. Dans un délai d’un mois, il doit adopter sa décision contraignante à la majorité des deux tiers. Ce délai peut être prolongé d’un mois supplémentaire, si l’affaire en cause est jugée complexe.

Texte reference

Schéma représentant la chaîne d'objection et litige dans le cadre du guichet unique (coopération européenne). Les autorités concernées ont 4 semaines pour déclarer leurs objections. Si pas d'objection : la décision finale est adoptée par l'autorité chef de file. Si objections, 1er cas : l'autorité chef de file les suit et propose un projet de décision révisé, et les autorités concernées ont alors 2 semaines pour formuler ou non de nouvelles objections. 2eme cas : les objections ne sont pas suivies par l'aut

La procédure d’urgence (article 66 du RGPD) 

La procédure d’urgence offre aux autorités de contrôle la possibilité de déroger au principe fondamental de coopération lorsque certaines conditions sont réunies. La procédure d’urgence n’est activable que, si au regard de la situation exceptionnelle rencontrée, l’autorité de contrôle juge nécessaire d’intervenir en urgence pour protéger les droits et libertés des personnes concernées sur son territoire national (article 66.1 du RGPD) ou estime qu'une autorité de contrôle compétente n'a pas pris de mesures appropriées (article 66.3 du RGPD).

En raison de la nature dérogatoire de cette procédure, si l’autorité concernée décide d’agir, elle ne peut prendre des mesures provisoires que pour une durée maximale de 3 mois.

Au-delà de ce délai, si des mesures définitives sont nécessaires, le CEPD est alors saisi sur le fondement de l’article 66.2 du RGPD, pour obtenir une décision contraignante d’urgence. Cette décision peut retenir des mesures définitives qui devront s’appliquer dans tous les États membres. En effet, limiter la portée territoriale de ces mesures définitives au territoire de l’État membre de l’autorité à l’origine de la saisie du CEPD reviendrait à admettre une application dérogatoire permanente au mécanisme de coopération et de cohérence du RGPD.

Texte reference

Ceci peut également vous intéresser ...

Les partenariats internationaux de la CNIL
La CNIL s’est engagée dans une relation de coopération avec la PIPC (autorité sud-coréenne) ...

19 janvier 2026

 International
Le Comité européen de la protection des données (CEPD)

19 janvier 2026

 International
La coopération européenne en matière de frontières, de police et de justice
Plusieurs systèmes d’information à grande échelle ont été créés au sein de l’Union ...

19 janvier 2026

 International