Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mardi 2 juin 2026
Accueil/RGPD/Article 55 RGPD : la compétence des autorités décryptée
RGPD

Article 55 RGPD : la compétence des autorités décryptée

Article 55 RGPD : compétence de la CNIL, exception du secteur public au guichet unique et exclusion des juridictions. Analyse détaillée.

Par Thiebaut DevergrannePublie le 30 mai 2026Mis a jour le 30 mai 202614 min de lecture
Sommaire
  1. Ce que dit l’article 55 du RGPD
  2. Art. 55(1) : la compétence territoriale de principe
  3. Art. 55(2) : l’exception décisive du secteur public
  4. Art. 55(3) : l’immunité de la fonction juridictionnelle
  5. L’articulation avec le guichet unique et la coopération
  6. La transposition française
  7. Plan d’action opérationnel
  8. Ce qu’il faut retenir
  9. FAQ

L’article 55 du RGPD est de ces textes qu’on lit en diagonale parce qu’ils paraissent techniques, et qu’on regrette de ne pas avoir lus quand un dossier dérape. C’est lui qui fixe l’étendue exacte de la compétence de chaque autorité de contrôle — donc, pour la France, ce que la CNIL peut et ne peut pas contrôler. Or il recèle deux exceptions décisives qui échappent à la plupart des responsables de traitement : le secteur public échappe au guichet unique de l’article 56, et les juridictions, dans leur fonction juridictionnelle, échappent purement et simplement à tout contrôle de la CNIL. Voici l’analyse paragraphe par paragraphe de l’Art. 55 et de la manière dont il commande, en amont, toute la mécanique de la coopération européenne.

Ce que dit l’article 55 du RGPD

L’article 55 ouvre la section 2 du chapitre VI, intitulée « Compétence, missions et pouvoirs ». Il précède immédiatement l’article 56 sur l’autorité chef de file, l’article 57 sur les missions et l’article 58 sur les pouvoirs. Si l’on devait résumer l’architecture en une phrase : l’Art. 55 pose la règle générale de compétence territoriale, tandis que l’Art. 56 institue une règle spéciale — le guichet unique — qui s’y substitue pour les seuls traitements transfrontaliers.

Le texte tient en trois paragraphes courts mais lourds de conséquences :

1. Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève.

2. Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l’article 6, paragraphe 1, point c) ou e), l’autorité de contrôle de l’État membre concerné est compétente. Dans ce cas, l’article 56 n’est pas applicable.

3. Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle.

Trois règles, donc : une compétence territoriale de principe, une exception qui ramène le secteur public dans le giron de l’autorité nationale, et une immunité de contrôle au bénéfice de la fonction juridictionnelle. Je les reprends dans l’ordre.

Art. 55(1) : la compétence territoriale de principe

Le premier paragraphe est la pierre angulaire. Chaque autorité — la CNIL pour la France, le BfDI et les autorités des Länder pour l’Allemagne, l’AEPD pour l’Espagne — exerce ses pouvoirs « sur le territoire de l’État membre dont elle relève ». Le considérant 122 le confirme : chaque autorité de contrôle devrait être compétente, sur le territoire de son propre État membre, pour exercer les pouvoirs et accomplir les missions qui lui sont conférés, y compris à l’égard d’un traitement qui affecte des personnes sur ce territoire même lorsque le responsable n’y est pas établi.

Concrètement, cette compétence territoriale couvre trois situations classiques. D’abord, le responsable ou le sous-traitant établi en France : la CNIL est compétente sans discussion. Ensuite, le traitement qui produit ses effets en France alors que l’opérateur est établi hors UE — par exemple un éditeur d’application américain qui cible le public français : la CNIL reste compétente sur son territoire, en lien avec le critère de ciblage de l’article 3(2). Enfin, le traitement purement national d’un opérateur français qui n’opère que sur le territoire : aucune dimension transfrontalière, aucun guichet unique, compétence pleine et entière de la CNIL.

C’est ici qu’il faut bien comprendre l’articulation avec l’article 56. L’Art. 55(1) est la règle de droit commun ; l’Art. 56 ne la déplace que pour les traitements transfrontaliers au sens de l’article 4(23). Pour tout le reste — c’est-à-dire la grande majorité des traitements des PME françaises — c’est l’Art. 55(1) qui s’applique, et la CNIL est seule et directement compétente. La Cour de justice de l’Union européenne a précisé cette articulation dans l’arrêt C-645/19 Facebook Ireland du 15 juin 2021 : même lorsqu’une autorité chef de file est désignée au titre de l’Art. 56, les autorités nationales conservent, dans les hypothèses limitativement énumérées par le règlement, un pouvoir résiduel d’action ancré dans leur compétence territoriale de l’Art. 55(1). La compétence de principe ne disparaît jamais totalement ; elle se met en veille.

Art. 55(2) : l’exception décisive du secteur public

Le deuxième paragraphe est, dans mon expérience de conseil, le plus systématiquement ignoré — et le plus structurant pour les administrations, collectivités et organismes chargés d’une mission de service public. Lorsque le traitement repose sur l’article 6(1)© (obligation légale) ou sur l’article 6(1)(e) (mission d’intérêt public ou exercice de l’autorité publique), l’article 56 ne s’applique pas : il n’y a pas d’autorité chef de file, pas de guichet unique. L’autorité de l’État membre concerné est seule compétente.

Le considérant 128 explicite la raison d’être de cette exception : les règles relatives à l’autorité chef de file et au guichet unique ne devraient pas s’appliquer lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant dans l’intérêt public. Dans ces cas, l’autorité compétente devrait être celle de l’État membre où l’autorité publique ou l’organisme privé est établi.

La logique est solide. Le guichet unique a été conçu pour les acteurs économiques transnationaux, afin de leur offrir un interlocuteur unique. Mais une administration publique reste, par nature, ancrée dans un ordre juridique national : sa mission d’intérêt public découle du droit français, et il serait incohérent qu’une autorité étrangère — l’autorité irlandaise ou luxembourgeoise, par exemple — vienne en contrôler la conformité. La souveraineté nationale impose que la CNIL conserve la main.

Les conséquences pratiques sont importantes. Une caisse de sécurité sociale, une collectivité territoriale, un hôpital public, une université, mais aussi un délégataire de service public ou un organisme privé chargé d’une mission d’intérêt public (un ordre professionnel, une fédération sportive délégataire, un gestionnaire de logement social) qui traite des données sur le fondement de l’Art. 6(1)© ou (e) relève directement et exclusivement de la CNIL, quand bien même il appartiendrait à un groupe transnational ou opérerait dans plusieurs États membres. Il ne peut pas se prévaloir d’un établissement principal à l’étranger pour échapper à la CNIL. C’est une garantie de proximité du contrôle qui mérite d’être anticipée dans la cartographie des traitements.

Art. 55(3) : l’immunité de la fonction juridictionnelle

Le troisième paragraphe pose une exclusion radicale : les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle. La CNIL ne peut donc ni enquêter, ni sanctionner un tribunal lorsqu’il juge.

Le fondement est l’indépendance de la justice. Le considérant 20 l’énonce clairement : afin de ne pas porter atteinte à l’indépendance des magistrats dans l’accomplissement de leurs tâches juridictionnelles, la compétence des autorités de contrôle ne devrait pas s’étendre au traitement de données effectué par les juridictions dans le cadre de leur fonction juridictionnelle. Le même considérant ouvre une faculté : le contrôle de ces traitements peut être confié à des organes spécifiques au sein de l’appareil judiciaire de l’État membre. Autrement dit, l’exclusion ne crée pas une zone de non-droit ; elle déplace simplement le contrôle vers un mécanisme interne au pouvoir judiciaire.

La portée de cette exclusion a été précisée par la Cour de justice dans l’arrêt C-245/20 X et Z contre Autoriteit Persoonsgegevens du 24 mars 2022. En l’espèce, une juridiction néerlandaise avait communiqué à un journaliste, dans le cadre de l’instruction d’une audience, des pièces de procédure contenant des données personnelles (nom, adresse, numéro national d’identification). La question posée était de savoir si cette mise à disposition relevait de la « fonction juridictionnelle » au sens de l’Art. 55(3), excluant ainsi la compétence de l’autorité néerlandaise. La Cour a retenu une interprétation large : la communication à un journaliste, par une juridiction, d’éléments tirés d’une procédure, en vue de favoriser la couverture médiatique d’une affaire, relève de l’exercice de la fonction juridictionnelle. L’autorité de contrôle n’était donc pas compétente.

Cet arrêt fixe une ligne de partage essentielle, qu’il faut maîtriser : l’exclusion ne couvre que les traitements liés à l’activité juridictionnelle — la gestion des dossiers, des décisions, des audiences, la diffusion des jugements. Elle ne couvre pas les traitements administratifs des juridictions : la paie des personnels, la gestion des ressources humaines, la vidéosurveillance des locaux, le contrôle d’accès au bâtiment. Pour ces traitements de gestion courante, la CNIL retrouve sa pleine compétence de l’Art. 55(1). La distinction n’est pas toujours évidente à tracer, mais elle est juridiquement structurante : tout ce qui n’est pas l’acte de juger demeure sous contrôle ordinaire.

L’articulation avec le guichet unique et la coopération

Il faut lire l’Art. 55 comme le socle sur lequel reposent les articles suivants. L’article 56 commence d’ailleurs par les mots « Sans préjudice de l’article 55 » : le guichet unique ne supprime jamais la compétence territoriale de principe, il l’aménage pour le seul cas du traitement transfrontalier. Lorsqu’une autorité chef de file est désignée, elle pilote la procédure de coopération de l’article 60, mais les autorités concernées — dont la compétence trouve sa source dans l’Art. 55(1) — restent associées à chaque étape, et peuvent émettre une objection « pertinente et motivée » susceptible de déclencher le mécanisme de cohérence des articles 63 à 65.

Cette articulation explique pourquoi, en pratique, la CNIL peut conserver un rôle même face à des géants dont l’établissement principal est à Dublin ou à Luxembourg : pour les traitements relevant de l’Art. 55(2), pour les hypothèses de pouvoir résiduel reconnues par l’arrêt C-645/19, ou encore au titre de la procédure d’urgence de l’article 66 qui lui permet d’adopter des mesures provisoires sur son propre territoire. La compétence territoriale de l’Art. 55(1) n’est jamais totalement neutralisée : elle est la réserve de souveraineté à partir de laquelle l’autorité nationale peut, dans les limites du règlement, reprendre la main.

La transposition française

En droit français, la compétence de la CNIL est ancrée à l’article 8 de la loi n° 78-17 du 6 janvier 1978 (« Informatique et Libertés »), qui définit ses missions sur le territoire national. La loi reprend la logique de l’Art. 55 : compétence générale de la CNIL, sous réserve des règles européennes de coopération pour les traitements transfrontaliers.

S’agissant de l’exclusion de la fonction juridictionnelle, le droit français a fait usage de la faculté ouverte par le considérant 20. Le contrôle des traitements mis en œuvre par les juridictions dans leur activité juridictionnelle n’est pas confié à la CNIL mais relève de mécanismes internes à l’autorité judiciaire et au Conseil d’État pour la juridiction administrative. La CNIL conserve en revanche, conformément à l’arrêt C-245/20, sa compétence sur les traitements administratifs des juridictions, qui ne participent pas de l’acte de juger. Cette répartition, parfois mal comprise, mérite d’être documentée par tout établissement public en lien avec l’institution judiciaire.

Plan d’action opérationnel

L’Art. 55 n’impose pas d’obligation directe au responsable de traitement — c’est une règle de compétence, pas une règle de comportement. Mais il commande la stratégie de conformité et de défense. Quatre chantiers concrets en découlent.

Premièrement, cartographier la base légale de chaque traitement au sens de l’article 6. Pour un organisme public ou un délégataire de mission d’intérêt public, identifier les traitements fondés sur l’Art. 6(1)© ou (e) revient à identifier ceux qui relèvent directement de la CNIL, sans possibilité de guichet unique. Cette qualification conditionne l’interlocuteur en cas de contrôle.

Deuxièmement, déterminer pour chaque traitement transfrontalier l’autorité réellement compétente. Un groupe opérant dans plusieurs États membres ne peut pas présumer que son autorité chef de file couvre l’intégralité de ses traitements : les traitements relevant de l’Art. 55(2) en sont exclus, et les autorités nationales conservent un pouvoir résiduel. La cartographie doit distinguer les deux régimes.

Troisièmement, pour les acteurs en lien avec l’institution judiciaire (greffes, prestataires d’archivage de dossiers, éditeurs de logiciels métier pour les juridictions), distinguer rigoureusement les traitements liés à la fonction juridictionnelle des traitements administratifs. Les premiers échappent à la CNIL ; les seconds non. Cette distinction détermine le régime de contrôle applicable et l’autorité à laquelle s’adresser.

Quatrièmement, intégrer la compétence territoriale dans la stratégie contentieuse. Une décision de la CNIL prise en dehors de sa compétence territoriale ou en violation des règles de l’Art. 55 est susceptible d’un recours pour excès de pouvoir devant le Conseil d’État au titre de l’article 78. L’incompétence est un moyen de défense de premier ordre qu’il convient de vérifier dès la notification d’un contrôle.

Ce qu’il faut retenir

  • L’Art. 55(1) pose la règle générale : chaque autorité de contrôle est compétente sur le territoire de son État membre. Pour la France, la CNIL est compétente pour tous les traitements purement nationaux et pour ceux qui produisent leurs effets sur le territoire français.
  • L’Art. 55(2) exclut le secteur public du guichet unique : un organisme public ou privé agissant sur le fondement de l’Art. 6(1)© ou (e) relève directement et exclusivement de la CNIL, même au sein d’un groupe transnational. L’article 56 ne s’applique pas.
  • L’Art. 55(3) immunise la fonction juridictionnelle : la CNIL n’est pas compétente pour contrôler les juridictions dans l’exercice de leur activité de juger, mais le reste — la CJUE l’a confirmé dans l’arrêt C-245/20 du 24 mars 2022, qui retient une interprétation large de la « fonction juridictionnelle ».
  • Les traitements administratifs des juridictions restent sous contrôle de la CNIL : l’exclusion ne couvre que l’acte de juger, pas la paie, les RH ou la sécurité des locaux.
  • La compétence territoriale survit au guichet unique : l’article 56 commence par « Sans préjudice de l’article 55 ». Les autorités nationales conservent un pouvoir résiduel (CJUE C-645/19) et la procédure d’urgence de l’article 66.

FAQ

La CNIL est-elle toujours compétente pour mon entreprise ?

Pour un traitement purement national ou qui produit ses effets en France, oui : l’Art. 55(1) fonde sa compétence territoriale. Pour un traitement transfrontalier au sens de l’article 4(23), l’autorité chef de file de votre établissement principal peut prendre le relais via le guichet unique de l’article 56 — sauf si le traitement relève du secteur public au sens de l’Art. 55(2), auquel cas la CNIL reste seule compétente.

Pourquoi le secteur public échappe-t-il au guichet unique ?

Parce que le considérant 128 et l’Art. 55(2) réservent les traitements fondés sur une obligation légale (Art. 6(1)©) ou une mission d’intérêt public (Art. 6(1)(e)) à l’autorité nationale de l’État où l’organisme est établi. Une mission de service public découle du droit national : il serait incohérent qu’une autorité étrangère en contrôle la conformité. La CNIL conserve donc la main sur les administrations et délégataires français.

La CNIL peut-elle contrôler un tribunal ?

Non, pas lorsqu’il exerce sa fonction juridictionnelle : l’Art. 55(3) l’exclut pour préserver l’indépendance de la justice. La CJUE a confirmé dans l’arrêt C-245/20 du 24 mars 2022 que cette exclusion s’interprète largement. En revanche, la CNIL reste compétente pour les traitements administratifs d’une juridiction (paie, ressources humaines, vidéosurveillance), qui ne participent pas de l’acte de juger.

Quelle différence entre l’article 55 et l’article 56 du RGPD ?

L’article 55 est la règle générale de compétence territoriale ; l’article 56 est la règle spéciale du guichet unique applicable aux seuls traitements transfrontaliers. L’Art. 56 commence d’ailleurs par « Sans préjudice de l’article 55 » : il aménage la compétence de principe sans jamais la supprimer.

Une administration multinationale peut-elle choisir une autorité étrangère ?

Non. Si elle traite des données sur le fondement de l’Art. 6(1)© ou (e), l’Art. 55(2) écarte expressément le guichet unique : seule la CNIL, autorité de l’État membre où l’organisme est établi, est compétente. Elle ne peut pas se prévaloir d’un établissement principal à l’étranger pour relever d’une autorité plus clémente.

Vous souhaitez suivre l’évolution de la doctrine de la CNIL et de la jurisprudence européenne sur la protection des données ? Recevez nos analyses conformité chaque semaine — décryptages d’arrêts, décisions de sanction et guides pratiques rédigés par un docteur en droit.

Articles lies

RGPD

Article 68 RGPD : le Comité européen décrypté

1 juin 2026 · 12 min
RGPD

Article 70 RGPD : les missions du CEPD décryptées

1 juin 2026 · 11 min
RGPD

Article 59 RGPD : le rapport annuel des autorités

31 mai 2026 · 9 min