Article 57 RGPD : les missions de la CNIL décryptées

Quand on travaille avec la CNIL, on a tendance à ne voir d’elle que sa face répressive : amendes, contrôles, mises en demeure publiques. C’est compréhensible — c’est ce qui fait l’actualité. Mais cette face répressive n’est qu’une partie du mandat de l’autorité, et pas la plus importante en volume. L’article 57 du RGPD dresse la liste complète de ce que doit faire une autorité de contrôle : vingt-deux missions, dont l’écrasante majorité relèvent du conseil, de la sensibilisation, du traitement des réclamations et de la coopération européenne. Comprendre cette cartographie change la manière dont on dialogue avec la CNIL — et aide à anticiper sur quel terrain l’autorité va vous attendre. Voici l’analyse paragraphe par paragraphe de l’Art. 57, et la manière dont je l’utilise pour préparer mes clients à interagir avec l’autorité française.

Ce que dit l’article 57 du RGPD

L’Art. 57, intitulé « Missions », ouvre la section 2 du chapitre VI du RGPD consacrée à la compétence, aux missions et aux pouvoirs des autorités de contrôle. Il forme un doublet structurel avec l’article 58 RGPD sur les pouvoirs : l’article 57 décrit ce que l’autorité doit faire, l’article 58 avec quels outils elle peut le faire. Il faut le lire en miroir du considérant 132 sur le rôle d’information et de sensibilisation, du considérant 133 sur le devoir d’assistance mutuelle et de l’article 51 du RGPD sur l’indépendance.

Le texte s’articule en quatre paragraphes : la liste des 22 missions (Art. 57(1)(a) à (v)), la facilitation des réclamations (Art. 57(2)), la gratuité de principe (Art. 57(3)) et l’exception aux demandes manifestement infondées ou excessives (Art. 57(4)). En droit français, l’article 8 de la loi Informatique et Libertés du 6 janvier 1978 modifiée transpose et complète ces missions, en y ajoutant des prérogatives nationales spécifiques (avis sur les projets de loi, certification du DPO, contrôle des fichiers de souveraineté).

Les 22 missions de l’article 57(1) lues par grands blocs fonctionnels

Le législateur européen a énuméré vingt-deux missions de manière apparemment hétéroclite. En réalité, on peut les regrouper en cinq grands blocs fonctionnels qui correspondent à la cartographie réelle de l’activité de la CNIL.

Bloc 1 — Le contrôle de l’application du règlement

Art. 57(1)(a) — Contrôler et faire appliquer le RGPD. C’est la mission cardinale. Elle fonde l’ensemble des pouvoirs d’enquête et de sanction de l’article 58 RGPD. C’est sur ce fondement que la CNIL mène ses programmes annuels de contrôle thématique (en 2025 : applications mobiles, IA générative, données de santé, plateformes pour mineurs) et qu’elle instruit les saisines reçues par voie de réclamation, de signalement ou par auto-saisine.

Art. 57(1)(h) — Mener des enquêtes sur l’application du règlement. Cette mission est l’opérationnalisation du contrôle prévue à Art. 57(1)(a). Elle couvre les quatre formes de contrôle prévues à l’article 19 LIL : contrôle sur place, contrôle sur convocation, contrôle sur pièces, contrôle en ligne. La CNIL a procédé à 340 contrôles en 2024, dont une part croissante en ligne.

Art. 57(1)(j) — Adopter les clauses contractuelles types visées à l’article 28 RGPD et à l’article 46 RGPD. Pouvoir aujourd’hui largement absorbé par la Commission européenne via la décision 2021/914 du 4 juin 2021 sur les CCT transferts hors UE et la décision 2021/915 sur les CCT responsable / sous-traitant intra-UE. La CNIL conserve toutefois la possibilité d’adopter des CCT complémentaires propres au droit français.

Art. 57(1)(k) — Établir et tenir une liste des traitements soumis à analyse d’impact obligatoire. La CNIL a rempli cette obligation par les délibérations n° 2018-326 et n° 2019-118 sur la liste des traitements pour lesquels une AIPD est obligatoire, et la liste des traitements pour lesquels elle n’est pas requise. Ces listes ont fait l’objet d’avis du CEPD au titre de l’article 64(1)(a) RGPD.

Bloc 2 — Le traitement des réclamations des personnes

Art. 57(1)(f) — Traiter les réclamations introduites par une personne concernée. Mission de masse : la CNIL a reçu environ 16 800 réclamations en 2024 (+22 % par rapport à 2023), dont 70 % via le formulaire en ligne. C’est par cette voie que la quasi-totalité des procédures de sanction sont initiées — soit directement, soit par recoupement avec d’autres réclamations sur la même entreprise.

Cette mission est articulée avec l’article 77 RGPD qui consacre le droit de réclamation des personnes concernées et avec l’article 78 RGPD qui prévoit leur droit de recours juridictionnel contre les décisions de l’autorité. Depuis l’arrêt CJUE C-26/22 UF c/ Land Hessen du 7 décembre 2023, l’autorité de contrôle ne peut pas se contenter d’un rejet sommaire : elle doit examiner sérieusement les faits, motiver sa décision et fournir au plaignant les éléments lui permettant de saisir le juge. L’arrêt C-579/21 Pankki S du 22 juin 2023 a par ailleurs précisé que la mission de traitement des réclamations couvre l’investigation factuelle proportionnée et la communication des informations pertinentes au plaignant.

Art. 57(1)(g) — Coopérer avec les autres autorités de contrôle dans le traitement des réclamations transfrontalières. Mission qui renvoie à toute la mécanique de coopération de l’article 60 RGPD, de l’article 63 RGPD et de l’article 65 RGPD. En pratique, depuis 2021, plus de 35 % des réclamations reçues par la CNIL ont une dimension transfrontalière et sont transférées à l’autorité chef de file au titre de l’article 56 RGPD.

Bloc 3 — La sensibilisation et l’information

Art. 57(1)(b) — Favoriser la sensibilisation et la compréhension du public. Mission ancienne et structurante. Elle fonde les actions d’éducation au numérique (rapports CNIL/Éducation nationale, opérations « Internet sans crainte »), les MOOC, les guides grand public et les campagnes de sensibilisation aux droits.

Art. 57(1)(d) — Favoriser la sensibilisation des responsables de traitement et sous-traitants. Mission consacrée aux acteurs économiques. Elle fonde l’action pédagogique massive de la CNIL : guides sectoriels (santé, RH, marketing, plateformes), packs de conformité, référentiels (durées de conservation, sécurité, vidéosurveillance, biométrie). Cette mission explique pourquoi la CNIL répond toujours, en première intention, par de la pédagogie avant d’envisager la voie répressive.

Art. 57(1)(e) — Fournir des informations à toute personne concernée sur ses droits. Mission opérationnalisée par le service de permanence juridique de la CNIL et par les fiches pratiques publiées sur cnil.fr. Ne pas confondre avec l’obligation d’information du responsable de traitement de l’article 13 RGPD et de l’article 14 RGPD : ici, c’est la CNIL qui informe directement la personne sur ses droits, pas le responsable.

Bloc 4 — Le conseil et la consultation institutionnelle

Art. 57(1)© — Conseiller le Parlement national, le gouvernement et les autres institutions sur la protection des données. Mission précisée en France à l’article 8-I-3° et 4° LIL. C’est sur ce fondement que la CNIL rend les avis publiés au Journal officiel sur tous les projets de loi et de décret comportant des traitements de données. Ces avis sont consultatifs mais structurent en profondeur la rédaction des textes (par exemple, l’avis sur la loi Sécurité globale de 2021, sur la loi JO 2024, ou plus récemment sur les décrets d’application de la loi du 21 mai 2024 sur l’IA).

Art. 57(1)(l) — Donner des conseils sur les opérations de traitement visées à l’article 36(2) RGPD. C’est la procédure de consultation préalable, déclenchée lorsque l’AIPD révèle un risque résiduel élevé. La CNIL doit rendre un avis écrit dans un délai de 8 semaines, prorogeable de 6 semaines. En pratique, la CNIL traite environ 30 à 50 consultations préalables par an, principalement sur des fichiers étatiques sensibles.

Art. 57(1)(v) — Effectuer toute autre mission relative à la protection des données. Clause balai qui permet d’absorber les missions nationales spécifiques non explicitement listées. En France, c’est sous cette base que sont rattachées les missions de certification du DPO (délibération n° 2018-318 du 20 septembre 2018) et de certification de maturité de la conformité (délibération n° 2022-101 du 13 octobre 2022).

Bloc 5 — Les codes de conduite, certifications, transferts et coopération

Art. 57(1)(m) — Favoriser et approuver les codes de conduite. Renvoi à l’article 40 RGPD. En France, deux codes nationaux ont été approuvés à ce jour : le code de conduite cloud (CISPE, validé par la CNIL en 2021) et le code de conduite des éditeurs de logiciels (DigitalEurope, en cours d’instruction).

Art. 57(1)(n) — Encourager la mise en place de mécanismes de certification. Renvoi à l’article 42 RGPD. La CNIL est actuellement engagée dans l’instruction du référentiel européen Europrivacy (avis CEPD 28/2022 du 10 octobre 2022) et de plusieurs certifications nationales.

Art. 57(1)(o) — Procéder à l’examen périodique des certifications. Mission complémentaire qui justifie le pouvoir de retrait de l’article 58(2)(h) RGPD.

Art. 57(1)(p) — Élaborer et publier les critères d’accréditation des organismes de certification. Renvoi à l’article 43 RGPD. En France, l’accréditation des organismes de certification est confiée au COFRAC en lien avec la CNIL.

Art. 57(1)(q) — Mener l’accréditation des organismes de suivi des codes de conduite. Renvoi à l’article 41 RGPD.

Art. 57(1)® — Autoriser les clauses contractuelles et les arrangements visés à l’article 46(3) RGPD. Pouvoir d’autorisation des CCT ad hoc et des arrangements administratifs entre autorités publiques. La CNIL en a fait usage récemment pour valider plusieurs arrangements transatlantiques dans le cadre de coopérations administratives.

Art. 57(1)(s) — Approuver les règles d’entreprise contraignantes (BCR). Renvoi à l’article 47 RGPD. La CNIL agit fréquemment comme autorité chef de file (lead authority) pour l’instruction de BCR de groupes français — plus de 30 dossiers BCR français ont été approuvés depuis 2018, parmi les 60+ BCR validées au niveau européen.

Art. 57(1)(t) — Contribuer aux activités du CEPD. Mission centrale, sous-jacente à toute la mécanique de cohérence des articles 63 à 66 du RGPD. La présidente de la CNIL siège au CEPD et la CNIL participe activement aux Expert Subgroups (TFC, ITSG, IFE, etc.) qui préparent les lignes directrices, avis et décisions contraignantes.

Art. 57(1)(u) — Tenir des registres internes des violations du règlement et des mesures prises. Mission de traçabilité interne qui structure la mémoire institutionnelle de l’autorité et permet le contrôle exercé par les autorités juridictionnelles au titre de l’article 78 RGPD.

Art. 57(1)(i) — Suivre les évolutions présentant un intérêt pour la protection des données, notamment les évolutions technologiques et commerciales. Mission de veille structurante : c’est sur ce fondement que la CNIL a créé son Laboratoire d’innovation numérique (LINC), publié sa stratégie 2025-2028 sur l’IA, animé son club conformité, et exercé son pouvoir d’auto-saisine sur des sujets émergents (modèles génératifs, neurosciences, identité décentralisée).

Art. 57(2) — Faciliter la réclamation

L’Art. 57(2) impose à chaque autorité de mettre à disposition un formulaire de réclamation accessible, notamment par voie électronique. La CNIL a déployé son téléservice « Plaindre en ligne » dès 2018, accessible depuis cnil.fr. Le formulaire couvre les cinq grandes typologies de réclamations : droit d’accès, droit d’opposition, droit d’effacement, droit à la rectification, et les autres manquements (sécurité, durée de conservation, base légale, etc.). En 2024, 70 % des 16 800 réclamations ont été déposées par voie électronique.

L’obligation prévue à l’Art. 57(2) est doublée d’une obligation de coopération transfrontalière : la réclamation déposée auprès de la CNIL contre un responsable établi dans un autre État membre est transmise à l’autorité chef de file au titre de l’article 56 RGPD, sans que la personne concernée ait à effectuer de démarche supplémentaire (mécanisme du « one-stop-shop » côté plaignant).

Art. 57(3) — La gratuité de principe

L’Art. 57(3) consacre la gratuité de l’action de l’autorité pour les personnes concernées et pour les DPO : aucun frais ne peut être facturé pour l’instruction d’une réclamation, pour la consultation préalable de l’article 36 RGPD ou pour la communication d’informations sur les droits. Cette gratuité est d’ordre public et ne souffre d’exception que dans le cadre limité de l’Art. 57(4).

Cette gratuité de l’instance administrative se prolonge en France par la gratuité de la procédure contradictoire devant la formation restreinte et par les frais réduits du recours en plein contentieux devant le Conseil d’État.

Art. 57(4) — L’exception aux demandes manifestement infondées ou excessives

L’Art. 57(4) reprend, à l’identique, la logique de l’article 12(5) RGPD sur les demandes d’exercice de droits : l’autorité peut refuser de donner suite ou facturer des frais raisonnables lorsque les demandes sont « manifestement infondées ou excessives, en particulier en raison de leur caractère répétitif ».

En pratique, la CNIL a très rarement mobilisé cette exception sur le terrain de la facturation : elle préfère, dans les cas de réclamations répétitives manifestement abusives (par exemple, dépôt en série par un même requérant contre un même responsable), classer le dossier sans suite et notifier ce classement au plaignant. Le classement sans suite est lui-même susceptible de recours devant le Conseil d’État au titre de l’article 78 RGPD, avec un contrôle juridictionnel renforcé depuis l’arrêt UF c/ Land Hessen.

La charge de la preuve du caractère manifestement infondé ou excessif incombe à l’autorité — la rédaction symétrique à l’Art. 12(5) impose à la CNIL d’objectiver son refus, sous le contrôle du juge administratif.

Le rôle institutionnel des missions au-delà de la sanction

En vingt ans de pratique de conseil, je constate que l’écrasante majorité des entreprises ne voit la CNIL qu’à travers ses sanctions. C’est un biais qui coûte cher. Sur les 22 missions de l’Art. 57(1), seules deux ou trois alimentent directement la voie répressive. Les vingt autres structurent un dialogue institutionnel permanent que les responsables avisés savent utiliser à leur avantage.

Trois leviers méritent attention. D’abord, la consultation préalable de l’article 36 RGPD au titre de l’Art. 57(1)(l) : sous-utilisée par les entreprises françaises (moins de 50 consultations par an pour des milliers de traitements à risque résiduel élevé), elle offre un avis écrit officiel qui sécurise juridiquement le projet et facilite ultérieurement la défense en cas de contrôle. Ensuite, le club conformité et les groupes de travail sectoriels animés par la CNIL au titre des Art. 57(1)(d) et (i) : ils permettent de tester en amont ses positions et d’anticiper les futures lignes directrices. Enfin, les codes de conduite de l’Art. 57(1)(m) : un secteur peut, en quatre à six ans de travail collectif, faire approuver un référentiel qui devient une norme de comparaison opposable aux contrôles ultérieurs (le code cloud CISPE en est l’exemple le plus abouti).

Cette lecture du dispositif demande de penser la relation à la CNIL comme une relation de long terme, pas comme une opposition contradictoire ponctuelle. Les responsables de traitement qui obtiennent les meilleurs scores en cas de contrôle sont ceux qui ont alimenté pendant des années le dialogue institutionnel avec l’autorité.

Articulation avec les missions spécifiques de la CNIL en droit français

L’article 8 de la loi Informatique et Libertés transpose et complète les missions du RGPD. Cinq missions purement françaises s’ajoutent à la liste de l’Art. 57(1) RGPD au titre de la marge de manœuvre nationale ouverte par l’Art. 57(1)(v) :

• L’avis sur les projets de loi et de décret comportant des traitements de données (article 8-I-3° et 4° LIL) — distinct de la mission générale de conseil de l’Art. 57(1)© en ce qu’il est obligatoire et systématique.
• La présentation chaque année au Président de la République et au Parlement d’un rapport public d’activité (article 8-I-7° LIL).
• L’instruction des plaintes en application du droit pénal de la presse (article 8-I-6° LIL).
• La labellisation des produits, services et procédures jusqu’en 2019 — pouvoir aujourd’hui absorbé par les certifications de l’article 42 RGPD.
• Le contrôle des fichiers de souveraineté et de défense nationale (articles 87 à 90 LIL) — régime spécifique qui maintient le pouvoir d’autorisation de la CNIL sur les fichiers les plus sensibles de l’État.

Ces missions nationales se distinguent du socle européen en ce qu’elles ne relèvent ni du mécanisme de coopération de l’article 60 RGPD ni du mécanisme de cohérence de l’article 63 RGPD : elles relèvent de la souveraineté française et n’engagent que l’autorité nationale.

Ce qu’il faut retenir

• L’article 57 RGPD énumère vingt-deux missions de l’autorité de contrôle, regroupables en cinq blocs : contrôle d’application, traitement des réclamations, sensibilisation, conseil institutionnel, codes et certifications.
• Sur les 22 missions, seules deux ou trois alimentent directement la voie répressive — la grande majorité structure un dialogue institutionnel de conseil et de coopération.
• Le traitement des réclamations (Art. 57(1)(f) et (g)) absorbe la part dominante de l’activité de la CNIL : 16 800 réclamations en 2024, dont 35 % à dimension transfrontalière.
• La gratuité de l’instance (Art. 57(3)) est d’ordre public et ne souffre d’exception qu’au titre de l’Art. 57(4) pour les demandes manifestement infondées ou excessives, sous le contrôle du Conseil d’État.
• En France, l’article 8 LIL ajoute cinq missions nationales (avis obligatoires sur projets de loi, rapport public annuel, fichiers de souveraineté) au socle européen de l’Art. 57.
• Une stratégie de conformité efficace mobilise les missions de conseil, de consultation préalable et de codes de conduite — pas seulement la voie défensive en cas de contrôle.

FAQ

Quelles sont les principales missions de la CNIL au titre de l’article 57 RGPD ?

L’article 57(1) du RGPD énumère vingt-deux missions, dont les principales sont : contrôler l’application du règlement (Art. 57(1)(a)), traiter les réclamations des personnes concernées (Art. 57(1)(f)), sensibiliser le public et les professionnels (Art. 57(1)(b), (d) et (e)), conseiller les institutions sur la protection des données (Art. 57(1)©), mener les enquêtes (Art. 57(1)(h)) et coopérer avec les autres autorités européennes au sein du CEPD (Art. 57(1)(g) et (t)). En France, l’article 8 de la loi Informatique et Libertés ajoute cinq missions nationales spécifiques, dont l’avis obligatoire sur les projets de loi et de décret.

Une réclamation auprès de la CNIL est-elle gratuite ?

Oui, l’article 57(3) RGPD impose la gratuité de l’action de l’autorité de contrôle pour les personnes concernées et pour les DPO. Aucun frais ne peut être facturé pour l’instruction d’une réclamation, la consultation préalable de l’article 36 RGPD ou la communication d’informations sur les droits. Cette gratuité est d’ordre public. Elle ne souffre d’exception que dans le cadre étroit de l’article 57(4), lorsque la demande est manifestement infondée ou excessive — en particulier répétitive — auquel cas la CNIL peut, sous le contrôle du Conseil d’État, refuser de donner suite ou exiger des frais raisonnables.

La CNIL peut-elle refuser d’instruire ma plainte ?

Oui, mais sous contrôle juridictionnel renforcé. La CNIL peut classer une plainte sans suite lorsque la demande est manifestement infondée ou excessive (Art. 57(4)) ou lorsqu’elle ne révèle pas de manquement caractérisé après instruction. Depuis l’arrêt CJUE C-26/22 UF c/ Land Hessen du 7 décembre 2023, l’autorité ne peut plus se contenter d’un rejet sommaire : elle doit examiner sérieusement les faits, motiver sa décision, et fournir au plaignant les éléments lui permettant de saisir le juge. Le classement sans suite est susceptible de recours devant le Conseil d’État au titre de l’article 78 RGPD.

Quelle est la différence entre l’article 57 et l’article 58 du RGPD ?

L’article 57 énumère les missions de l’autorité de contrôle — ce qu’elle doit faire. L’article 58 énumère les pouvoirs dont elle dispose pour les exercer — avec quels outils elle agit. Concrètement, l’Art. 57(1)(f) attribue à la CNIL la mission de traiter les réclamations, et l’article 58(1) RGPD lui donne les pouvoirs d’enquête nécessaires (demande d’informations, contrôle sur place, accès aux données). De la même manière, l’Art. 57(1)(a) attribue la mission d’application, et l’article 58(2) lui donne les dix pouvoirs correcteurs (mise en demeure, sanction, interdiction, etc.).

La CNIL peut-elle agir sans avoir été saisie d’une réclamation ?

Oui, c’est l’auto-saisine prévue indirectement par l’Art. 57(1)(a) (contrôle d’application) et opérationnalisée en France par l’article 19 LIL. La CNIL peut décider d’ouvrir un contrôle sur la base d’un article de presse, d’un signalement reçu par un canal non formel, d’un programme thématique annuel, ou d’une orientation stratégique (l’IA générative et les plateformes pour mineurs en sont les deux axes prioritaires 2025-2026). En pratique, près de 40 % des contrôles annuels relèvent de l’auto-saisine au titre du programme thématique, le reste répondant à des réclamations ou signalements.

---

Vous souhaitez recevoir nos analyses détaillées du RGPD et de la pratique CNIL chaque semaine ? Inscrivez-vous à notre newsletter — 8 000 professionnels reçoivent déjà notre veille conformité.