Article 31 RGPD : coopérer avec la CNIL en pratique

L’article 31 du RGPD tient en une phrase, mais c’est l’une des dispositions les plus souvent invoquées en circonstance aggravante dans les délibérations sanctionnant la CNIL. Quand un responsable de traitement traîne pour répondre à une demande d’information, quand un sous-traitant refuse l’accès à un serveur lors d’un contrôle sur place ou quand les pièces produites sont incomplètes, c’est l’article 31 qui ouvre la porte à un alourdissement de la sanction et, parfois, à des poursuites pénales pour entrave. Voici son analyse détaillée et la manière dont je la pratique en mission de conseil, après avoir accompagné une trentaine de procédures CNIL côté entreprise.

Ce que dit l’article 31 du RGPD

L’Art. 31, intitulé « Coopération avec l’autorité de contrôle », dispose : « Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions. »

Une seule phrase, trois enseignements.

D’abord, le périmètre des assujettis est large : responsable de traitement, sous-traitant, mais aussi représentants au sens de l’article 27 RGPD — c’est-à-dire le représentant désigné en France par une entreprise non établie dans l’Union qui cible le marché français. L’obligation n’épargne donc personne dans la chaîne de traitement, et c’est pour cela qu’en pratique la CNIL adresse régulièrement ses demandes d’information à la fois au responsable de traitement et à son sous-traitant principal lorsque le manquement présumé porte sur la sécurité ou la sous-traitance (article 28 RGPD).

Ensuite, le déclencheur : la demande de l’autorité de contrôle. L’obligation de coopération n’est pas spontanée — elle naît au moment où la CNIL sollicite une information, demande l’accès à un local, convoque le responsable de traitement à une audition. Aucune obligation de proactivité n’est imposée par l’Art. 31 lui-même, mais d’autres dispositions du RGPD (notamment les articles 33 et 34 sur la notification des violations) imposent une transmission spontanée d’informations dans des hypothèses ciblées.

Enfin, la portée : « dans l’exécution de ses missions ». L’Art. 31 renvoie au catalogue complet des missions de la CNIL listées à l’article 57 RGPD — instruction des réclamations, contrôles, conseil, enquêtes, sensibilisation. Cela signifie que la coopération exigible n’est pas limitée aux procédures de sanction : elle s’étend à toute sollicitation entrant dans le périmètre des missions de l’autorité. Une demande d’information dans le cadre d’un contrôle sectoriel, par exemple, déclenche la même obligation qu’une demande dans une procédure individuelle.

Le non-respect de l’Art. 31 relève du plafond haut de l’article 83(4) RGPD — jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Et lorsque la CNIL invoque l’inexécution d’une de ses injonctions émises au titre de l’article 58, le plafond grimpe à 20 millions ou 4 % du chiffre d’affaires (Art. 83(6)). C’est ce que je détaille dans la suite.

Art. 31 et article 58 : ce que la CNIL peut concrètement demander

L’Art. 31 ne précise pas ce que l’autorité de contrôle peut exiger : il renvoie implicitement à l’article 58 RGPD, qui liste les pouvoirs de l’autorité. En France, ces pouvoirs sont transposés et précisés par les articles 19 à 25 de la loi Informatique et Libertés (LIL) modifiée. La combinaison des deux corpus donne à la CNIL un éventail très large.

Au titre des pouvoirs d’enquête (Art. 58(1)) :

• Le contrôle sur place : la CNIL peut accéder à tous les locaux à usage professionnel, du lundi au vendredi de 6 h à 21 h, ainsi que les jours fériés et le week-end avec autorisation du juge des libertés et de la détention. Elle peut demander communication de tout document, en faire des copies, recueillir des explications. C’est le contrôle le plus visible et celui dont les équipes ont le plus peur — souvent à tort, car il reste rare comparé aux autres modalités.
• Le contrôle sur convocation : l’organisme contrôlé est convoqué dans les locaux de la CNIL pour répondre à des questions. Cette modalité s’est développée depuis 2020 et permet à la CNIL d’interroger directement le DPO ou le responsable de traitement.
• Le contrôle sur pièces : la CNIL adresse un courrier détaillé demandant la production de documents et de réponses écrites. C’est de très loin la modalité la plus fréquente : sur les 350 à 400 contrôles annoncés chaque année par la CNIL, environ 60 à 70 % sont des contrôles sur pièces. Le délai standard de réponse est d’un mois.
• Le contrôle en ligne : la CNIL effectue des constats à distance sur les sites web et applications, sans présence physique sur place. C’est cette modalité qui sert pour les contrôles cookies à grande échelle (campagne 2021-2023, plus de 100 mises en demeure).
• L’audition : sur convocation, l’audition vise une ou plusieurs personnes physiques (dirigeant, DPO, équipe technique). Le procès-verbal d’audition fait foi.

Au titre des pouvoirs correcteurs (Art. 58(2)) :

• l’avertissement, le rappel à l’ordre, la mise en demeure, la limitation temporaire ou définitive du traitement, l’ordre de mise en conformité, l’amende administrative (Art. 83), le retrait d’une certification, l’injonction de suspendre les flux transfrontières.

Et au titre des pouvoirs d’autorisation (Art. 58(3)) : approbation des codes de conduite (article 40), des règles d’entreprise contraignantes (article 47), des clauses contractuelles types (article 46).

L’obligation de coopération posée par l’Art. 31 couvre l’ensemble de ces actes. Cela signifie qu’un refus d’accès lors d’un contrôle sur place, un défaut de réponse à une demande écrite, une absence à une audition ou un refus de produire une pièce demandée tombent tous sous le coup de l’Art. 31.

Les sanctions du défaut de coopération

Le défaut de coopération est sanctionné à plusieurs niveaux, qui se cumulent.

Sanctions administratives au titre du RGPD

Le manquement à l’Art. 31 lui-même est passible des amendes administratives prévues à l’Art. 83(4)(a) : 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. C’est le plafond bas — qui reste, soyons clair, très élevé.

Lorsque le défaut de coopération consiste à ne pas se conformer à une mesure correctrice ordonnée par la CNIL (mise en demeure, injonction, limitation du traitement), le plafond grimpe à l’Art. 83(6) : 20 millions ou 4 % du chiffre d’affaires. C’est la sanction des sanctions — réservée aux cas où l’organisme méprise une décision de l’autorité.

Surtout, et c’est ce qui rend l’Art. 31 redoutable, la CNIL retient le défaut de coopération comme circonstance aggravante au sens de l’Art. 83(2)(f) (« la mesure dans laquelle le responsable du traitement ou le sous-traitant a coopéré avec l’autorité de contrôle, en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs »). Dans la quasi-totalité des délibérations de sanction publiées depuis 2019, la formation restreinte motive le quantum de l’amende en pointant soit une coopération « limitée », « tardive », « partielle », soit, à l’inverse, une « coopération satisfaisante ». L’écart entre une amende qualifiée de « coopération satisfaisante » et une amende qualifiée de « coopération limitée » se chiffre, dans mon expérience, à 30-40 % du quantum final.

Sanctions pénales pour entrave

Au-delà du volet administratif, le législateur français a maintenu, à l’article 51 de la loi Informatique et Libertés, un délit d’entrave à l’action de la CNIL : 1 an d’emprisonnement et 15 000 euros d’amende pour le fait d’« entraver l’action de la Commission nationale de l’informatique et des libertés », soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités, soit en refusant de communiquer à ses membres ou aux agents habilités les renseignements et documents utiles à leur mission, soit en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître. Ces poursuites sont rares mais existent — la CNIL a déjà transmis plusieurs dossiers au parquet.

Conduire une demande d’information CNIL : le mode d’emploi

Le contrôle sur pièces étant la modalité la plus fréquente, il mérite un développement pratique. Voici la méthode que j’applique systématiquement quand un client reçoit un courrier de la CNIL.

Étape 1 — Accuser réception immédiatement et qualifier le courrier. Toute correspondance CNIL doit être lue le jour de réception. Le courrier de demande d’information précise systématiquement : le fondement juridique (le plus souvent l’Art. 58(1) du RGPD et les articles 19 à 25 de la LIL), le délai de réponse (en général un mois), le contact en charge du dossier, la liste des documents demandés. Vérifier le délai dès le premier jour est essentiel : un courrier reçu le 5 avec un délai d’un mois doit recevoir réponse au plus tard le 5 du mois suivant — pas le 30.

Étape 2 — Cartographier la demande. La CNIL ne demande jamais « tout » : ses courriers ciblent un traitement précis, une période, une catégorie de personnes. Identifier le périmètre exact évite de produire des pièces hors sujet — qui ouvrent souvent des chantiers d’investigation supplémentaires.

Étape 3 — Vérifier la cohérence interne. Avant tout envoi, les documents produits sont relus pour s’assurer qu’ils ne contredisent pas le registre des traitements, la politique de confidentialité, les mentions d’information du formulaire de contact, les contrats de sous-traitance (article 28 RGPD). Une contradiction interne ouvre presque toujours une demande d’éclaircissement, voire une procédure de sanction.

Étape 4 — Solliciter, le cas échéant, un délai supplémentaire. Le délai d’un mois est court dès lors qu’il faut consolider plusieurs dizaines de documents. Une demande motivée de prorogation, adressée au moins une semaine avant l’échéance, est généralement acceptée par la CNIL pour deux semaines à un mois supplémentaires. Ne jamais laisser passer la date sans réponse : c’est précisément ce qui déclenche le constat de défaut de coopération.

Étape 5 — Préparer le narratif. Une réponse CNIL n’est pas un dump de pièces : c’est un mémoire qui structure les faits, qualifie le traitement, justifie les choix de base légale et de durée de conservation, démontre la mise en œuvre des droits (article 12 RGPD). C’est dans ce mémoire que se joue la coopération : un mémoire honnête, structuré et exhaustif vaut beaucoup mieux qu’un envoi minimaliste qui appelle des questions de relance.

Étape 6 — Garder la trace. Toute la correspondance avec la CNIL doit être archivée, datée, et le contenu du dossier transmis figé à la date d’envoi. En cas de sanction ultérieure, l’argument « nous avons coopéré » se démontre par l’archivage.

Le contrôle sur place : ce qui change

Le contrôle sur place obéit aux mêmes principes mais ajoute une dimension matérielle. Trois rappels.

Premièrement, le contrôle est soumis à un cadre procédural strict : l’agent de contrôle doit présenter sa commission, indiquer l’objet du contrôle, remettre une copie de la décision de contrôle. Le responsable de traitement a le droit de demander la présence d’un conseil — avocat ou DPO externe. Il n’a pas le droit de refuser le contrôle si celui-ci respecte les horaires et conditions légaux, sauf à s’exposer à l’entrave pénale.

Deuxièmement, le procès-verbal de contrôle fait foi jusqu’à preuve contraire. Il est rédigé contradictoirement et signé par le représentant de l’organisme. Si une mention est inexacte ou mal interprétée, c’est au moment de la signature qu’il faut faire consigner les observations — pas après. J’ai vu des organisations laisser signer un PV par un cadre intermédiaire qui n’avait pas la vue d’ensemble et regretter ensuite des formulations qu’il était impossible de revenir corriger.

Troisièmement, les copies prises sont des copies, pas des originaux. La CNIL emporte les copies des documents pertinents (souvent sur clé USB ou via un export contrôlé), mais l’organisme conserve l’original. C’est important pour la traçabilité interne — savoir ce qui a été transmis et dans quelle version.

Les limites à la coopération : secret professionnel et droits de la défense

L’obligation de coopération n’est pas absolue. Trois lignes rouges méritent d’être connues.

D’abord, le secret professionnel opposable à la CNIL. L’article 90 RGPD prévoit que les États membres peuvent adopter des règles spécifiques pour adapter les pouvoirs des autorités de contrôle aux obligations de secret professionnel. En France, l’article 23 de la loi Informatique et Libertés réserve le secret applicable aux relations entre un avocat et son client, ainsi que le secret des sources des journalistes. La CNIL ne peut donc pas exiger la communication de correspondances couvertes par le secret professionnel de l’avocat — ce qui couvre notamment les notes juridiques internes rédigées avec un conseil. Le secret médical, le secret de la défense nationale et le secret de l’enquête bénéficient également de régimes spécifiques.

Ensuite, les droits de la défense. Dès lors que la procédure passe du stade du contrôle à celui de la sanction (notification d’un rapport de rapporteur), le responsable de traitement bénéficie de garanties procédurales : accès au dossier, droit de répondre, audience devant la formation restreinte. La coopération exigée n’implique pas l’auto-incrimination sans limite : un organisme qui se voit notifier un rapport de sanction peut, dans ses observations, contester les qualifications retenues sans qu’il s’agisse d’un défaut de coopération.

Enfin, le principe de proportionnalité. La CNIL ne peut pas exiger des productions disproportionnées par rapport au manquement présumé. Une demande qui couvrirait, par exemple, l’ensemble des traitements RH d’une entreprise lorsque le contrôle porte sur la prospection commerciale serait contestable. Dans la pratique, ces situations se règlent par dialogue : la CNIL est disposée à recentrer ses demandes lorsque l’organisme propose une démarche structurée.

Articulation avec les autres obligations de communication

L’Art. 31 ne dit rien des obligations spontanées de communication, qui figurent ailleurs dans le RGPD. Il importe de ne pas les confondre.

L’obligation de notifier une violation à la CNIL dans les 72 heures procède de l’article 33 RGPD — pas de l’Art. 31. Elle est spontanée, déclenchée par la survenance d’une violation, et indépendante de toute demande de la CNIL. Le défaut de notification dans les 72 heures est lui-même sanctionné, indépendamment du défaut de coopération.

L’obligation de communication aux personnes concernées en cas de violation à risque élevé relève de l’article 34 RGPD — toujours pas de l’Art. 31.

La consultation préalable de la CNIL lorsqu’une AIPD identifie un risque résiduel élevé relève de l’article 36 RGPD — distinct de l’Art. 31, même si elle s’inscrit dans le dialogue avec l’autorité.

La tenue à disposition du registre des traitements à la CNIL relève de l’article 30 — la production effective sur demande relève alors de l’Art. 31, et son défaut a été sanctionné à plusieurs reprises (notamment SAN-2021-021 SPARTOO, où l’absence de registre exhaustif avait alourdi l’amende).

L’Art. 31 et le DPO

Le délégué à la protection des données (article 37 RGPD et suivants) n’est pas le destinataire formel des demandes de la CNIL, mais il en est le point de contact opérationnel. L’article 39(1)(d) RGPD précise d’ailleurs que parmi ses missions figure « la coopération avec l’autorité de contrôle ». En pratique, c’est le DPO qui pilote la réponse, coordonne les contributions internes, valide la cohérence du dossier. Sa présence à un contrôle sur place est non seulement souhaitable : elle est presque systématiquement attendue par la CNIL.

Quand le DPO est externalisé, l’organisme veille à ce que le contrat de mission couvre explicitement l’accompagnement des procédures CNIL, le délai de mobilisation et les conditions d’intervention sur site. C’est un point que les TPE et PME négligent souvent au moment de la signature, et qu’elles regrettent lorsque le courrier arrive.

Ce qu’il faut retenir

• L’article 31 RGPD impose au responsable de traitement, au sous-traitant et à leurs représentants de coopérer avec l’autorité de contrôle (la CNIL en France) dès qu’elle en fait la demande, dans l’exécution de ses missions énumérées à l’article 57.
• Le manquement à l’Art. 31 est puni d’une amende administrative pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (Art. 83(4)(a)) ; l’inexécution d’une injonction de la CNIL est puni de 20 millions ou 4 % (Art. 83(6)).
• L’article 51 de la loi Informatique et Libertés ajoute un volet pénal : entrave à l’action de la CNIL — 1 an d’emprisonnement et 15 000 euros d’amende.
• En toute hypothèse, la qualité de la coopération est retenue par la formation restreinte comme circonstance aggravante ou atténuante au sens de l’Art. 83(2)(f), ce qui peut faire varier le quantum d’amende de 30 à 40 %.
• Le contrôle sur pièces est de très loin la modalité la plus fréquente. Un courrier CNIL doit recevoir une réponse structurée et argumentée dans le délai imparti (en général un mois, prorogeable sur demande motivée).
• Les limites à la coopération existent : secret professionnel de l’avocat, secret des sources, droits de la défense au stade de la procédure de sanction, proportionnalité des demandes.
• Le DPO, interne ou externalisé, doit être positionné comme le point de contact opérationnel de la CNIL — la mission de coopération figure expressément à l’article 39(1)(d) RGPD.

FAQ

Que faire si la CNIL m’adresse une demande d’information ?

Accuser réception, identifier le délai de réponse (généralement un mois), cartographier précisément la demande, préparer un mémoire structuré qui qualifie le traitement et justifie les choix de conformité, vérifier la cohérence interne des pièces, et solliciter une prorogation motivée si le délai s’avère insuffisant. Ne jamais laisser passer l’échéance sans réponse — c’est le seul comportement qui caractérise sans discussion possible un défaut de coopération au sens de l’article 31 RGPD.

Puis-je refuser un contrôle sur place de la CNIL ?

Non, sauf si le contrôle ne respecte pas le cadre procédural (horaires, présentation de la commission de contrôle, objet du contrôle). Le refus expose au délit d’entrave à l’action de la CNIL prévu à l’article 51 de la loi Informatique et Libertés (1 an d’emprisonnement, 15 000 euros d’amende) et constitue un manquement à l’article 31 RGPD. En revanche, le responsable de traitement peut demander la présence d’un avocat ou de son DPO, faire consigner ses observations au procès-verbal et opposer le secret professionnel pour certaines pièces.

Quelle est la sanction d’un défaut de coopération avec la CNIL ?

Sur le plan administratif, jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (article 83(4)(a) RGPD), porté à 20 millions ou 4 % en cas d’inexécution d’une injonction (article 83(6)). Sur le plan pénal, l’article 51 de la loi Informatique et Libertés prévoit 1 an d’emprisonnement et 15 000 euros d’amende pour entrave à l’action de la CNIL. En outre, la coopération « limitée » ou « tardive » est systématiquement retenue comme circonstance aggravante dans le calcul des amendes au titre de l’article 83(2)(f).

Le DPO doit-il représenter l’entreprise lors d’un contrôle CNIL ?

Le DPO n’est pas le représentant légal de l’entreprise — c’est le dirigeant ou son délégataire qui engage l’organisme. En revanche, le DPO est expressément investi par l’article 39(1)(d) RGPD de la mission de coopérer avec l’autorité de contrôle. Sa présence est attendue par la CNIL lors d’un contrôle sur place ou d’une audition. Lorsque le DPO est externalisé, le contrat de mission doit prévoir explicitement l’accompagnement des procédures CNIL et les conditions de mobilisation.

La CNIL peut-elle me demander n’importe quel document ?

Non. Les demandes de la CNIL doivent être proportionnées au manquement présumé et entrer dans le périmètre de ses missions (article 57 RGPD). Le secret professionnel de l’avocat, le secret des sources des journalistes et certains secrets sectoriels (médical, défense, enquête) sont opposables au titre de l’article 23 de la loi Informatique et Libertés et de l’article 90 RGPD. En pratique, une demande manifestement disproportionnée se règle par dialogue : la CNIL accepte généralement de recentrer son investigation lorsque l’organisme propose une démarche structurée.

---

Vous suivez la doctrine de la CNIL et l’évolution du contentieux RGPD ? Inscrivez-vous à la newsletter de donneespersonnelles.fr pour recevoir chaque semaine l’analyse des dernières délibérations et des nouvelles obligations qui pèsent sur les organisations. Une lecture, une décision pratique.