Article 63 RGPD : le mécanisme de cohérence décrypté

Sans l’article 63 du RGPD, les vingt-sept autorités nationales de protection des données pourraient adopter vingt-sept lectures divergentes de chaque disposition du règlement — exactement la fragmentation que le législateur européen voulait éviter en 2016. C’est cet article, presque toujours oublié des commentaires alors qu’il fonde l’ensemble de l’architecture d’harmonisation européenne, qui pose le principe du mécanisme de cohérence. Tous les avis du CEPD au titre de l’article 64, toutes les décisions contraignantes au titre de l’article 65, toutes les procédures d’urgence au titre de l’article 66, toutes les saisines d’information au titre de l’article 67 reposent sur le socle posé par l’article 63. C’est le pivot autour duquel s’organise l’enforcement transfrontalier — celui qui a fait passer les sanctions WhatsApp de 50 à 225 millions d’euros et Meta de 405 millions à plus d’un milliard sur transferts US.

Ce que dit l’article 63 du RGPD

L’article 63 est constitué d’un seul paragraphe — l’un des plus courts du règlement. Il dispose : « Afin de contribuer à l’application cohérente du présent règlement dans l’ensemble de l’Union, les autorités de contrôle coopèrent entre elles et, le cas échéant, avec la Commission, dans le cadre du mécanisme de cohérence établi dans la présente section ».

Trois éléments structurent ce texte : un objectif (l’application cohérente du règlement dans l’ensemble de l’Union), une obligation (la coopération entre autorités de contrôle, et le cas échéant avec la Commission), et un renvoi à la section dans laquelle le mécanisme est concrètement organisé — la section 2 du chapitre VII, qui contient les articles 63 à 67.

L’article 63 est ainsi le chapeau de la section consacrée à la cohérence. Il introduit, sans la détailler, l’architecture qui sera développée dans les articles suivants : avis non contraignant du Comité européen de la protection des données (Art. 64), décision contraignante du Comité (Art. 65), procédure d’urgence (Art. 66), et échange d’informations (Art. 67). Sa brièveté est trompeuse : c’est le fondement juridique sur lequel reposent toutes les décisions structurantes de la pratique européenne post-2018.

L’objectif d’application cohérente : un impératif structurel

L’expression « application cohérente du présent règlement dans l’ensemble de l’Union » trouve son origine dans le considérant 135, qui précise : « Afin d’assurer l’application cohérente du présent règlement dans l’ensemble de l’Union, il y a lieu d’établir un mécanisme de contrôle de la cohérence pour la coopération entre les autorités de contrôle. Ce mécanisme devrait notamment s’appliquer lorsqu’une autorité de contrôle a l’intention d’adopter une mesure destinée à produire des effets juridiques en ce qui concerne des opérations de traitement qui affectent sensiblement un nombre important de personnes concernées dans plusieurs États membres ».

Cette logique de cohérence répond à une leçon tirée de la directive 95/46/CE : sous l’ancien régime, les autorités nationales pouvaient adopter des lectures profondément divergentes, ce qui plaçait les opérateurs transfrontaliers dans une situation d’incertitude juridique structurelle. Le règlement a voulu unifier l’interprétation — en passant par le double levier de l’autorité chef de file (Art. 56 et Art. 60) pour les dossiers individuels, et du mécanisme de cohérence (Art. 63 et suivants) pour les questions transversales.

La doctrine européenne, suivie par la CJUE dans l’arrêt C-645/19 Facebook Ireland du 15 juin 2021, voit dans la cohérence un objectif de rang supérieur à l’autonomie nationale des autorités de contrôle : une autorité qui s’écarterait de la doctrine du CEPD sans motivation circonstanciée s’expose, en pratique, à la bascule vers la procédure de règlement des litiges Art. 65(1)©. Le considérant 124 souligne d’ailleurs le caractère structurel de l’impératif : « Il est nécessaire de protéger les droits et libertés fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel et d’assurer la libre circulation des données à caractère personnel dans l’Union. À cette fin, une autorité de contrôle dans chaque État membre devrait être chargée des tâches et dotée des pouvoirs effectifs ».

La coopération entre autorités de contrôle : architecture à trois pôles

L’article 63 impose la coopération entre autorités de contrôle. Cette coopération se déploie autour de trois pôles institutionnels dont l’articulation est essentielle.

Le premier pôle est constitué des autorités nationales — vingt-sept aujourd’hui dans l’Union, plus les trois autorités EEE (Norvège, Islande, Liechtenstein). En France, la CNIL, créée par la loi n° 78-17 du 6 janvier 1978, exerce ces compétences au titre de l’article 8 LIL, en articulation avec les pouvoirs développés à l’article 58.

Le deuxième pôle est le Comité européen de la protection des données (CEPD — European Data Protection Board, EDPB), institué par l’article 68 du RGPD comme organe européen indépendant doté de la personnalité juridique. Le CEPD a succédé en 2018 au Groupe de travail Article 29 (G29), instance consultative créée par la directive 95/46/CE. La continuité juridique entre G29 et CEPD est explicite : les avis du G29 — notamment WP242 sur la portabilité, WP243 sur les DPO, WP248 sur les AIPD, WP251 sur le profilage, WP259 sur le consentement, WP260 sur la transparence — conservent leur valeur doctrinale tant qu’ils n’ont pas été expressément abrogés ou révisés par le CEPD. Plusieurs ont été reformellement adoptés par le CEPD lors de son endorsement plénier du 25 mai 2018.

Le troisième pôle est la Commission européenne, qui n’a pas la qualité d’autorité de contrôle mais qui dispose au titre de l’article 70(1)© d’un droit de saisine du CEPD, d’un droit de participation aux réunions sans droit de vote, et d’un pouvoir réglementaire d’exécution au titre de l’article 67 (échange d’informations) et de l’article 93 (actes d’exécution).

Le secrétariat du CEPD est assuré par le Contrôleur européen de la protection des données (CEPS — EDPS), au titre d’un protocole conclu entre les deux institutions. Ce secrétariat est un acteur opérationnel décisif : il prépare les projets d’avis, organise les sous-groupes d’experts (Expert Subgroups), assure la veille jurisprudentielle européenne, et coordonne les délais procéduraux.

Le déclenchement du mécanisme : les voies d’entrée

L’article 63 pose le principe sans détailler les conditions d’entrée. Celles-ci se trouvent réparties dans les articles 64 à 67, qui constituent les portes d’entrée du mécanisme.

La première porte d’entrée est l’article 64(1), qui énumère six cas d’avis obligatoire du CEPD : projet de listes nationales d’AIPD au sens de l’article 35(4) ou (5), codes de conduite transnationaux au sens de l’article 40(7), critères de certification au sens de l’article 42(5), exigences d’agrément des organismes de certification au sens de l’article 43(3), règles d’entreprise contraignantes (BCR) au sens de l’article 47, et autorisations de transferts résiduels au sens de l’article 49(1) troisième alinéa.

La deuxième porte d’entrée est l’article 64(2), qui ouvre la voie d’un avis sur saisine : toute autorité de contrôle, le président du CEPD ou la Commission peuvent demander que toute question d’application générale ou produisant des effets dans plusieurs États membres soit examinée par le Comité. C’est sur ce fondement qu’ont été rendus les avis les plus politiquement structurants — Avis 5/2019 sur l’articulation ePrivacy/RGPD, Avis 18/2021 sur l’adtech, Avis 28/2024 sur les modèles « pay or okay ».

La troisième porte d’entrée est l’article 65, qui organise la décision contraignante du CEPD dans trois hypothèses : objection pertinente et motivée non suivie par l’autorité chef de file au sens de l’article 60(4), désaccord sur l’identification du principal établissement, ou non-consultation du CEPD pour un cas Art. 64(1). Cette voie a généré, depuis 2021, les amendes record du dispositif européen : WhatsApp Ireland 225 M€ (Décision 1/2021), Instagram 405 M€ (Décision 3/2022), Meta 1,2 Md€ pour transferts US (Décision 1/2023), TikTok 345 M€ (Décision 2/2023).

La quatrième porte d’entrée est l’article 66, procédure d’urgence : lorsqu’une autorité de contrôle considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, elle peut adopter immédiatement des mesures provisoires sur son territoire d’une durée de validité maximale de trois mois, à charge pour elle d’en informer le CEPD. La CNIL et le Garante italien ont mobilisé cette voie en 2023 dans l’affaire ChatGPT.

La cinquième porte d’entrée est l’article 67, échange d’informations : la Commission adopte des actes d’exécution déterminant les modalités de l’échange d’informations par voie électronique, fondement juridique du système IMI (Internal Market Information System) utilisé par les autorités de contrôle pour leurs communications opérationnelles.

Articulation avec l’autorité chef de file : Art. 63 et Art. 60

La distinction entre mécanisme de cohérence Art. 63 et mécanisme de coopération Art. 60 est essentielle et souvent confondue. Le mécanisme Art. 60 organise la gestion des dossiers individuels transfrontaliers — c’est-à-dire la coopération opérationnelle entre l’autorité chef de file et les autorités concernées sur une plainte ou une enquête déterminée. Le mécanisme Art. 63 organise, lui, l’harmonisation doctrinale — c’est-à-dire la production de normes interprétatives ayant vocation à s’appliquer à l’ensemble des autorités européennes.

L’articulation entre les deux est néanmoins étroite. Lorsqu’une autorité concernée formule, dans le cadre de la procédure Art. 60(4), une objection « pertinente et motivée » non suivie par l’autorité chef de file, le dossier bascule dans la procédure de règlement des litiges Art. 65 — qui appartient au mécanisme de cohérence. La bascule Art. 60 → Art. 65 est ainsi le canal par lequel la doctrine européenne s’impose à l’autorité chef de file dans un dossier individuel. C’est par ce canal qu’ont été adoptées les principales décisions contraignantes du CEPD post-2021.

À l’inverse, lorsque le mécanisme de cohérence Art. 63 produit un avis Art. 64 ou des lignes directrices CEPD, celles-ci s’imposent en pratique à l’autorité chef de file dans ses futures décisions Art. 60. La doctrine et la pratique convergent ainsi vers une boucle de rétroaction : les dossiers individuels nourrissent la doctrine européenne ; la doctrine européenne discipline les dossiers individuels.

La portée juridique : entre coopération formelle et contrainte effective

L’article 63 utilise le terme « coopèrent », qui pourrait suggérer un mécanisme de coopération volontaire. Cette lecture serait erronée. La coopération Art. 63 est, en droit, une obligation juridique des autorités de contrôle. L’article 51(2) du RGPD impose à chaque autorité « de contribuer à l’application cohérente du présent règlement dans l’ensemble de l’Union » et précise qu’à cette fin, « les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII ». La coopération n’est donc pas une faculté — elle est une mission légalement attribuée.

La CJUE n’a pas, à ce jour, expressément qualifié la nature de l’obligation Art. 63 dans une décision frontale. Mais elle a, dans l’arrêt C-645/19 Facebook Ireland du 15 juin 2021, validé l’architecture du chapitre VII en confirmant que l’autorité chef de file disposait d’une « compétence générale » pour les dossiers transfrontaliers, tout en réservant cinq hypothèses de pouvoir résiduel des autorités nationales concernées. L’arrêt souligne que l’objectif de cohérence ne fait pas obstacle à l’exercice de ces pouvoirs résiduels, mais qu’il les encadre via la consultation obligatoire de l’autorité chef de file et du CEPD.

Dans l’arrêt C-26/22 UF c/ Land Hessen du 7 décembre 2023, la CJUE a précisé que l’autorité de contrôle saisie d’une réclamation au titre de l’article 77 est tenue d’examiner la plainte au fond et de motiver sa décision. Cette obligation d’examen sérieux s’inscrit dans le cadre du mécanisme de cohérence : une autorité ne peut pas s’abstraire de la doctrine du CEPD sans motivation circonstanciée.

L’arrêt C-768/21 TR du 14 novembre 2024 a, plus récemment, consacré l’effet liant des éléments de droit fixés par les décisions contraignantes du CEPD Art. 65 sur la juridiction nationale saisie d’un recours contre la décision finale de l’autorité chef de file. La décision Art. 65 — et donc en amont l’avis Art. 64 et le mécanisme Art. 63 qui le fondent — produisent ainsi des effets juridiques bien au-delà du seul cercle des autorités de contrôle.

Transposition française et articulation institutionnelle

L’article 51 de la loi n° 78-17 du 6 janvier 1978 modifiée (LIL) confie à la CNIL la mission de « contribuer à l’application cohérente du règlement (UE) 2016/679 dans l’ensemble de l’Union européenne, notamment en coopérant avec les autorités de contrôle des autres États membres ». L’article 8 LIL énumère les missions de la CNIL, parmi lesquelles figure explicitement la coopération européenne.

Cette transposition s’accompagne d’aménagements institutionnels : un service dédié au sein du secrétariat général de la CNIL prépare les positions françaises au CEPD ; la présidente de la CNIL siège au CEPD en qualité de membre ; les services participent activement aux Expert Subgroups (Enforcement, International Transfers, IT Users, Borders Travel & Law Enforcement, etc.). Le Conseil d’État a, dans plusieurs arrêts récents — notamment CE 19 juin 2020 La Quadrature du Net sur le Health Data Hub — reconnu la valeur interprétative des avis et lignes directrices du CEPD, et donc par voie de conséquence la pertinence de l’article 63 dans l’ordre juridique interne.

Les limites du mécanisme : ce que l’article 63 ne fait pas

Trois limites structurelles méritent d’être soulignées, car elles définissent le champ exact du mécanisme et évitent les contresens.

Premièrement, le mécanisme de cohérence ne crée pas de droits subjectifs au profit des personnes concernées. Une personne concernée ne peut pas exiger d’une autorité de contrôle qu’elle saisisse le CEPD ; elle peut, en revanche, exercer son droit de réclamation au titre de l’article 77 auprès de l’autorité, et saisir le juge national au titre de l’article 78 en cas d’inaction. La CJUE a confirmé cette répartition dans l’arrêt C-26/22 UF c/ Land Hessen.

Deuxièmement, le mécanisme n’unifie pas l’enforcement des autorités nationales dans tous les cas. Il harmonise la doctrine et discipline les dossiers transfrontaliers, mais les autorités nationales conservent leur autonomie pour les dossiers strictement nationaux (au sens de l’article 55), pour les questions de droit national (par exemple les régimes nationaux d’autorisation préalable au titre de l’article 36(5)), et pour leurs priorités stratégiques propres.

Troisièmement, le mécanisme ne s’étend pas aux autorités hors UE/EEE. Les autorités britanniques (ICO), suisses (PFPDT), américaines (FTC) ne sont pas membres du CEPD. Les coopérations avec ces autorités passent par d’autres canaux — accords d’assistance mutuelle, Global Privacy Assembly, Global Privacy Enforcement Network — qui ne relèvent pas de l’article 63.

Plan opérationnel : intégrer le mécanisme de cohérence dans la gouvernance interne

Pour un responsable de traitement ou un sous-traitant, l’article 63 n’est pas une simple disposition institutionnelle : il fonde des risques et des opportunités concrets. Six chantiers permettent d’en tirer parti et de réduire l’exposition.

1. Veille structurée du CEPD. Surveiller l’agenda des plénières du CEPD, la publication des avis Art. 64, des lignes directrices et des décisions contraignantes Art. 65 sur edpb.europa.eu. Une veille hebdomadaire est indispensable : une ligne directrice CEPD modifie la doctrine européenne en quelques semaines, et les autorités nationales — au premier rang desquelles la CNIL — l’appliquent immédiatement.

2. Cartographie des autorités concernées. Pour tout traitement transfrontalier, identifier au titre de l’article 56 l’autorité chef de file (sur la base du principal établissement Art. 4(16)) et les autorités concernées Art. 4(22). Cette cartographie conditionne la stratégie procédurale en cas de plainte ou de contrôle.

3. Anticipation des saisines Art. 64(2). Les avis sur saisine de la présidence du CEPD ou de la Commission impactent l’ensemble des opérateurs concernés. Les associations sectorielles européennes (IAB Europe, CCIA, BusinessEurope, Eurocommerce, FEDMA) peuvent contribuer à la phase de consultation publique du CEPD ; les opérateurs structurants gagnent à participer à ces consultations.

4. Préparation à la bascule Art. 60 → Art. 65. Pour les dossiers transfrontaliers à enjeu, l’éventualité d’une décision contraignante Art. 65 doit être anticipée dès le stade Art. 60. La défense devant l’autorité chef de file (IE, LU, NL pour les grands acteurs numériques) doit prévoir la stratégie en cas d’objection « pertinente et motivée » formulée par une autorité concernée (BfDI allemand, Datatilsynet norvégien, AP néerlandais, Garante italien, CNIL française).

5. Documentation accountability harmonisée. Toute documentation Art. 30 (registre), Art. 28 (sous-traitance), Art. 32 (sécurité), Art. 35 (AIPD), Art. 13 et 14 (information) doit être instantanément alignable sur la dernière doctrine CEPD. Toute incohérence sera relevée lors d’une instruction nationale ou européenne et fera évoluer la décision défavorablement.

6. Stratégie contentieuse à deux étages. En cas de décision défavorable, la stratégie de recours doit articuler deux niveaux : recours national au titre de l’article 78 devant le Conseil d’État (délai 4 mois Art. 21 LIL pour les sanctions), avec possibilité de renvoi préjudiciel à la CJUE au titre de l’article 267 TFUE ; recours direct devant le Tribunal de l’UE au titre de l’article 263 TFUE contre la décision contraignante Art. 65 du CEPD, dans le délai de deux mois (affaire T-577/23 Meta pendante).

Ce qu’il faut retenir

• L’article 63 RGPD est le fondement juridique du mécanisme de cohérence européen : il impose aux autorités de contrôle de coopérer entre elles, et le cas échéant avec la Commission, pour assurer l’application cohérente du règlement.
• L’article 63 est un chapeau de section : il introduit l’architecture détaillée aux articles 64 (avis du CEPD), 65 (décision contraignante), 66 (procédure d’urgence) et 67 (échange d’informations).
• Trois pôles institutionnels portent le mécanisme : les vingt-sept autorités nationales (plus EEE), le CEPD (succession du G29 depuis 2018), et la Commission européenne.
• L’articulation avec l’article 60 est essentielle : la coopération chef de file / autorités concernées dans les dossiers individuels bascule, en cas d’objection non suivie, dans le mécanisme de cohérence Art. 65.
• Le mécanisme produit des effets juridiques bien au-delà des seules autorités : la CJUE C-768/21 TR 14 novembre 2024 a consacré l’effet liant des décisions contraignantes Art. 65 sur les juridictions nationales saisies au titre de l’article 78.

FAQ

Quelle différence entre coopération Art. 60 et cohérence Art. 63 ?

La coopération Art. 60 organise la gestion des dossiers individuels transfrontaliers entre l’autorité chef de file et les autorités concernées — par exemple une plainte contre Meta ou une enquête transfrontalière sur un fournisseur de cloud. La cohérence Art. 63 organise, elle, l’harmonisation doctrinale au niveau européen — par exemple les lignes directrices CEPD sur le consentement, sur les transferts internationaux ou sur l’intérêt légitime. Les deux mécanismes s’articulent : une objection Art. 60(4) non suivie par l’autorité chef de file bascule dans la procédure de cohérence Art. 65.

Le CEPD peut-il imposer une décision à la CNIL ?

Oui, mais dans des conditions strictement encadrées. Au titre de l’article 65 du RGPD, le CEPD peut adopter à la majorité des deux tiers une décision contraignante qui s’impose à l’autorité chef de file. La CNIL n’a, à ce jour, jamais été destinataire d’une telle décision en qualité d’autorité chef de file — les sept décisions Art. 65 adoptées depuis 2021 visaient les autorités irlandaise (six fois pour WhatsApp, Instagram, Facebook, Meta) et autrichienne. La CNIL a, en revanche, participé activement à plusieurs de ces décisions en qualité d’autorité concernée.

Le mécanisme de cohérence s’applique-t-il aux opérateurs ?

Indirectement. L’article 63 organise une coopération entre autorités, sans créer de droits ni d’obligations directs au profit ou à la charge des opérateurs (responsables de traitement, sous-traitants, personnes concernées). En revanche, les avis Art. 64 et les décisions Art. 65 produisent en pratique des effets juridiques considérables sur les opérateurs : ils déterminent la doctrine appliquée par toutes les autorités européennes et conditionnent l’issue des dossiers individuels. L’arrêt CJUE C-768/21 TR du 14 novembre 2024 a confirmé l’effet liant des décisions Art. 65 sur les juridictions nationales saisies au titre de l’article 78.

Quel est le rôle du Contrôleur européen de la protection des données (CEPS) ?

Le CEPS (EDPS — European Data Protection Supervisor) joue trois rôles distincts dans le mécanisme de cohérence. Premièrement, il assure le secrétariat du CEPD au titre d’un protocole institutionnel. Deuxièmement, il est lui-même membre du CEPD au titre de l’article 68(3) et participe aux délibérations. Troisièmement, il exerce une compétence propre de contrôle des institutions de l’Union au titre du règlement (UE) 2018/1725, distincte de la compétence des autorités nationales sur les opérateurs privés et publics.

Comment se prépare une plénière du CEPD ?

Les plénières du CEPD se tiennent en moyenne une fois par mois à Bruxelles. La préparation est assurée par les Expert Subgroups thématiques (Enforcement, International Transfers, IT Users, Borders Travel & Law Enforcement, Compliance e-Government and Health, Strategic Advisory, Social Media), qui se réunissent en amont par visioconférence ou en présentiel. Les projets d’avis, lignes directrices et décisions sont rédigés par les rapporteurs au sein de ces sous-groupes, puis débattus en plénière. Une décision est adoptée à la majorité simple (par défaut) ou à la majorité des deux tiers pour les décisions contraignantes Art. 65 et certaines décisions structurantes. La langue de travail est l’anglais.

---

Ce billet fait partie de notre série commentaire article par article du RGPD : article 56 (autorité chef de file), article 58 (pouvoirs de la CNIL), article 60 (coopération chef de file / concernées), article 64 (avis du CEPD), article 65 (décision contraignante), article 77 (réclamation), article 78 (recours contre l’autorité), article 83 (sanctions administratives). Pour une vue d’ensemble, voir notre analyse sanctions CNIL 2026 et transferts hors UE.

Recevez chaque semaine notre analyse de la conformité RGPD, des décisions CNIL et de l’enforcement européen. S’abonner à la newsletter.