Article 66 RGPD : la procédure d'urgence décryptée

Le 30 mars 2023, le Garante italien interdit ChatGPT du jour au lendemain sur le territoire italien. Le 14 juillet 2023, le Datatilsynet norvégien interdit à Meta la publicité comportementale en Norvège — décision qui sera étendue à toute l’Union européenne par le CEPD trois mois plus tard. Le 30 janvier 2025, le Garante bloque DeepSeek en Italie en quelques heures. Ces trois décisions, qui ont fait la une de la presse économique mondiale, reposent sur une disposition rarement commentée : l’article 66 du RGPD, qui organise la procédure d’urgence. C’est l’arme exceptionnelle du régulateur européen — celle qui permet à une autorité nationale de court-circuiter le mécanisme de cohérence pour adopter des mesures provisoires en quelques jours, et au CEPD d’étendre ces mesures à l’ensemble de l’Union en deux semaines au lieu de huit. Voici comment elle fonctionne, et pourquoi elle est devenue depuis 2023 un véritable instrument d’enforcement européen.

Ce que dit l’article 66 du RGPD

L’article 66 organise une dérogation procédurale aux mécanismes de coopération (article 60) et de cohérence (article 63 à article 65) qui structurent l’enforcement transfrontalier. Il est composé de quatre paragraphes qui définissent successivement le pouvoir national de mesure provisoire, la demande d’avis ou de décision contraignante d’urgence par l’autorité initiatrice, la demande d’urgence par toute autorité face à l’inaction d’une autorité compétente, et le délai accéléré de deux semaines applicable au CEPD.

L’article 66(1) dispose : « Dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, elle peut, par dérogation au mécanisme de contrôle de la cohérence visé aux articles 63, 64 et 65 ou à la procédure visée à l’article 60, adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois ».

L’architecture du texte est exigeante : trois conditions cumulatives (circonstances exceptionnelles, urgence pour les droits et libertés, motivation), un effet territorial strictement limité au territoire national, une durée maximale de trois mois non renouvelable au titre du seul Art. 66(1), et une obligation immédiate d’information du CEPD, de la Commission et des autres autorités concernées. C’est un régime d’exception, et la jurisprudence comme la pratique des autorités le traitent comme tel.

Les trois conditions cumulatives de la mesure provisoire

La rédaction de l’article 66(1) impose trois conditions dont la réunion conditionne la légalité de la mesure provisoire et, par conséquent, sa résistance à un contentieux ultérieur devant la juridiction nationale au titre de l’article 78.

La première condition est l’existence de circonstances exceptionnelles. Le considérant 137 du RGPD précise : « Il peut être nécessaire d’intervenir d’urgence afin de protéger les droits et libertés des personnes concernées, notamment lorsque le risque que l’exercice d’un droit d’une personne concernée puisse être considérablement entravé ». L’exception est donc à la fois substantielle (le risque doit être sérieux) et procédurale (la voie normale du mécanisme de cohérence est inadaptée au temps disponible). Le Garante italien, dans sa décision ChatGPT du 30 mars 2023, a invoqué la collecte massive non sécurisée de données et l’absence totale d’information sur la base juridique du traitement comme circonstances exceptionnelles ; le Datatilsynet norvégien, dans sa décision Meta du 14 juillet 2023, a invoqué l’absence persistante de base légale post-décision CEPD 4/2022 et la jurisprudence CJUE C-252/21 Meta Platforms du 4 juillet 2023.

La deuxième condition est l’urgence à intervenir pour protéger les droits et libertés. La notion de droits et libertés renvoie aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne (vie privée et protection des données) ainsi qu’aux droits opérationnels organisés par les articles 12 à 22 du RGPD. L’urgence se caractérise par l’impossibilité d’attendre la résolution du dossier par la voie normale Art. 60 ou la consultation Art. 64 sans que les droits affectés ne subissent un préjudice irréversible. C’est cette logique de préjudice irréversible qui a justifié les blocages d’urgence du Garante sur ChatGPT, Replika, DeepSeek et Clothoff, et celui du Datatilsynet sur Meta.

La troisième condition est la motivation de la mesure. L’article 66(1) impose à l’autorité de communiquer « sans délai ces mesures, ainsi que les motifs de leur adoption » au CEPD, à la Commission et aux autres autorités concernées. La motivation doit être circonstanciée : elle doit établir la matérialité des trois conditions, démontrer la proportionnalité de la mesure provisoire, et préciser sa durée. Une motivation insuffisante expose la décision à un recours direct devant la juridiction nationale au titre de l’article 78 — ou, plus subtilement, à un refus du CEPD de transformer la mesure provisoire en décision contraignante d’urgence au titre des Art. 66(2) et 66(3).

Le territoire et la durée : limites structurelles de la mesure unilatérale

L’article 66(1) limite strictement l’effet de la mesure provisoire à deux dimensions : un effet territorial confiné au seul territoire de l’autorité initiatrice, et une durée maximale de trois mois.

La limitation territoriale est essentielle. Lorsque le Garante italien interdit ChatGPT le 30 mars 2023, sa décision ne produit d’effets juridiques qu’en Italie ; OpenAI peut continuer son service partout ailleurs dans l’Union, y compris en France. Cette logique est cohérente avec l’architecture du chapitre VII : l’autorité chef de file (article 56) conserve la compétence générale ; l’autorité concernée n’agit qu’à titre exceptionnel et provisoire, sans préjudice de l’instruction conjointe ultérieure au titre de l’article 60. Le considérant 138 confirme cette articulation : « Le recours à un tel mécanisme [d’urgence] devrait constituer une exception, en cas, par exemple, de méconnaissance évidente d’une autorité de contrôle ».

La limitation temporelle à trois mois traduit la nature provisoire du dispositif. La mesure ne peut pas être prorogée au titre du seul Art. 66(1) : si l’autorité estime qu’une mesure définitive est nécessaire, elle doit basculer vers la procédure d’urgence Art. 66(2) en saisissant le CEPD d’une demande de décision contraignante d’urgence. À défaut, la mesure cesse d’avoir effet à l’expiration du délai. C’est ce qui s’est produit dans l’affaire ChatGPT : le Garante a levé son interdiction le 28 avril 2023 — soit moins d’un mois après l’avoir prononcée — lorsque OpenAI a accepté de se conformer à plusieurs demandes (information, possibilité d’opposition pour le traitement aux fins d’entraînement, vérification d’âge, base légale articulée Art. 6(1)(f) puis (a)). L’instruction de fond s’est ensuite poursuivie par la voie ordinaire et a abouti, en décembre 2024, à une sanction administrative de 15 millions d’euros par le Garante.

La bascule vers une décision contraignante d’urgence : Art. 66(2) et 66(3)

Lorsque l’autorité estime que la situation requiert une mesure définitive dépassant son seul territoire, elle peut basculer vers la procédure d’urgence renforcée des Art. 66(2) et 66(3).

L’article 66(2) vise l’hypothèse dans laquelle l’autorité ayant adopté une mesure provisoire au titre de l’Art. 66(1) estime devoir obtenir du CEPD une intervention étendue à l’ensemble de l’Union. Elle saisit alors le Comité d’une demande d’avis d’urgence au sens de l’article 64 ou d’une décision contraignante d’urgence au sens de l’article 65, en motivant l’urgence. C’est sur ce fondement que le Datatilsynet norvégien a saisi le CEPD en 2023 dans l’affaire Meta : après avoir adopté une interdiction nationale de la publicité comportementale le 14 juillet 2023, il a sollicité du CEPD une extension à l’ensemble de l’Union, obtenue par la décision contraignante d’urgence 01/2023 du CEPD du 27 octobre 2023.

L’article 66(3) vise l’hypothèse différente dans laquelle une autorité de contrôle estime qu’une autre autorité — typiquement l’autorité chef de file — n’a pas pris « de mesure appropriée alors que les circonstances le commandent ». Cette voie est l’arme procédurale ouverte aux autorités concernées contre une inertie supposée de l’autorité chef de file. Elle a été préfigurée dans plusieurs déclarations publiques de la Datenschutzkonferenz allemande contre la DPC irlandaise, mais n’a, à ce jour, jamais été utilisée par une demande formelle Art. 66(3) aboutissant à une décision CEPD.

L’article 66(4) raccourcit drastiquement les délais applicables au CEPD : par dérogation aux Art. 64(3) (avis ordinaire en 8 semaines + 6 semaines de prorogation) et Art. 65(2) (décision contraignante en 1 mois + 1 mois), l’avis d’urgence ou la décision contraignante d’urgence est adopté à la majorité simple des membres du CEPD dans un délai de deux semaines. C’est un délai opérationnel — pratiquement, le CEPD organise une plénière extraordinaire ou un vote électronique sur procédure écrite.

La décision contraignante d’urgence 01/2023 du CEPD : étude de cas

La décision contraignante d’urgence 01/2023 du CEPD, adoptée le 27 octobre 2023, constitue à ce jour le précédent structurant du dispositif Art. 66 dans sa dimension paneuropéenne. Elle mérite une analyse détaillée car elle illustre la mécanique complète du dispositif.

Le contexte initial est la décision du Datatilsynet norvégien du 14 juillet 2023 interdisant à Meta Platforms Ireland Limited la publicité comportementale sur Facebook et Instagram en Norvège, au motif que la société continuait à fonder son traitement sur l’intérêt légitime Art. 6(1)(f) ou sur le contrat Art. 6(1)(b) en méconnaissance de la décision contraignante CEPD 4/2022 du 5 décembre 2022 (qui avait déjà constaté l’absence de base légale appropriée et conduit aux sanctions Meta Ireland de 1,2 milliard d’euros au titre de l’article 83). Le Datatilsynet a assorti son interdiction d’une astreinte de 1 million de couronnes norvégiennes par jour (environ 87 000 €), et l’a prorogée à plusieurs reprises au titre du droit national norvégien.

Le 4 septembre 2023, le Datatilsynet a saisi le CEPD d’une demande de décision contraignante d’urgence au titre de l’Art. 66(2), aux fins d’étendre l’interdiction à l’ensemble de l’EEE. Le CEPD a adopté sa décision le 27 octobre 2023 — soit dans un délai effectif d’environ huit semaines, supérieur aux deux semaines de l’Art. 66(4) mais justifié par la complexité du dossier et le caractère paneuropéen des effets. La décision a étendu à l’ensemble de l’EEE l’interdiction de traitement aux fins de publicité comportementale fondée sur l’intérêt légitime ou le contrat. Meta a réagi en proposant un modèle « pay-or-okay » à partir de novembre 2023, dont la conformité au RGPD a ensuite fait l’objet de l’avis CEPD 8/2024 du 17 avril 2024 par voie d’Art. 64(2), confirmant le caractère structurellement problématique d’un consentement payé par défaut.

Trois enseignements ressortent de cette affaire. Premièrement, l’Art. 66 fonctionne comme une voie d’escalade européenne sous l’impulsion d’une autorité non chef de file — ce qui rééquilibre le dispositif au profit des autorités les plus actives (Datatilsynet, BfDI allemand, Garante italien, CNIL française), face au monopole de fait des autorités irlandaise et luxembourgeoise comme chefs de file des grands acteurs numériques. Deuxièmement, l’Art. 66 peut s’articuler avec une décision contraignante préalable au titre de l’Art. 65 (en l’espèce, la décision 4/2022) : il en devient l’instrument d’exécution face à un opérateur récalcitrant. Troisièmement, le délai de deux semaines de l’Art. 66(4) est, en pratique, extensible lorsque la complexité du dossier ou la coordination paneuropéenne le requièrent — la pratique CEPD ayant accepté de dépasser ce délai dans l’affaire Meta sans contestation contentieuse.

La pratique italienne du Garante : laboratoire de l’Art. 66(1)

Le Garante italien est, à ce jour, l’autorité européenne qui a le plus mobilisé l’Art. 66(1). Cinq décisions structurantes méritent attention.

L’affaire ChatGPT (provvedimento n° 112 du 30 mars 2023, ordonnance d’interdiction temporaire ; provvedimento n° 114 du 11 avril 2023 fixant les conditions de reprise ; décision finale n° 755 du 2 novembre 2024 prononçant une sanction de 15 millions d’euros) est emblématique. Le Garante a invoqué l’absence d’information sur la base juridique, le risque d’inexactitude des réponses, l’absence de vérification d’âge des mineurs et la violation de données du 20 mars 2023 (incident de bug Redis exposant les conversations). L’instruction parallèle de la CNIL sur l’entraînement des modèles d’IA générative a été coordonnée via les Expert Subgroups du CEPD mais n’a pas donné lieu à mesure d’urgence Art. 66 française.

L’affaire Replika (provvedimento n° 39 du 2 février 2023) a interdit le chatbot émotionnel Replika en Italie sur le fondement de l’absence de base légale, du risque pour les mineurs et de l’absence de vérification d’âge. L’opérateur Luka Inc. ayant son siège aux États-Unis et n’ayant désigné aucun représentant Art. 27, le Garante a appliqué directement le RGPD au titre du critère de ciblage Art. 3(2)(a).

L’affaire DeepSeek (provvedimento du 30 janvier 2025) a bloqué l’application chinoise DeepSeek en Italie quelques jours après son lancement, au motif de l’absence d’information sur le traitement, l’absence de cartographie des transferts vers la Chine et l’incompatibilité de la déclaration de confidentialité avec les exigences de transparence Art. 12 et Art. 13.

L’affaire Clothoff (provvedimento du 1er février 2024) a interdit l’application de génération d’images dénudées par IA, au motif notamment de l’absence d’information et du risque pour les mineurs. Le Garante a fondé l’urgence sur la viralité de l’application et le caractère irréversible des préjudices.

L’affaire TikTok (provvedimento n° 20 du 22 janvier 2021 et n° 9 du 21 février 2024 sur les comptes d’enfants décédés) a déclenché un blocage d’urgence à la suite d’incidents impliquant des mineurs, étendu ensuite par décision contraignante CEPD 2/2023 du 2 août 2023 (sanction TikTok Technology Ireland de 345 millions d’euros).

Le Garante a ainsi forgé une véritable doctrine de l’Art. 66(1) : application aux services en ligne hors UE sans représentant Art. 27 effectif, motivation centrée sur les mineurs et la protection des droits fondamentaux, articulation systématique avec une instruction de fond ultérieure conduite au titre du droit national et, le cas échéant, au titre de l’Art. 60.

La pratique française de la CNIL : pourquoi peu d’Art. 66

La CNIL a, à ce jour, fait un usage très limité de l’Art. 66(1). Cette retenue tient à plusieurs raisons structurelles.

Premièrement, l’article 20-II de la loi n° 78-17 du 6 janvier 1978 (LIL) confère au président de la CNIL un pouvoir autonome de mise en demeure, et à la formation restreinte un pouvoir de mesure d’urgence Art. 58(2)(f) pour limiter ou interdire un traitement. Ces pouvoirs nationaux opèrent en pratique comme un substitut fonctionnel à l’Art. 66 dans les dossiers à effet national. La décision Clearview AI SAN-2022-019 du 20 octobre 2022 (20 M€) et la décision Cityscoot SAN-2023-009 (100 000 €) illustrent cette pratique.

Deuxièmement, la CNIL est intervenue à plusieurs reprises sur des services à effet européen en coordination avec d’autres autorités — typiquement le Garante (ChatGPT, Replika) — sans qu’elle-même ait besoin d’adopter une mesure Art. 66(1) propre. La CNIL a ainsi participé à l’instruction CEPD en mettant à disposition ses contributions techniques et juridiques, sans franchir le seuil de l’adoption d’une mesure provisoire nationale.

Troisièmement, la CNIL privilégie traditionnellement la voie de la mise en demeure publique (par exemple la mise en demeure Google Analytics du 10 février 2022, ou les mises en demeure adressées aux acteurs adtech en 2024) qui produit des effets pratiques comparables à une mesure provisoire sans nécessiter le formalisme de l’Art. 66.

Cette stratégie pourrait évoluer : la stratégie 2025-2028 de la CNIL annonce un renforcement de l’enforcement sur les modèles d’IA générative et les acteurs hors UE, hypothèses dans lesquelles l’Art. 66 pourrait devenir pertinent. L’affaire OpenAI/ChatGPT pendante devant la CNIL, et les contentieux à venir sur les opérateurs chinois (DeepSeek, Qwen, Doubao), constituent des candidats potentiels à un premier usage français de l’Art. 66(1).

Articulation avec l’article 60 et le mécanisme de cohérence

L’Art. 66 est une dérogation aux mécanismes Art. 60 (coopération chef de file / concernées) et Art. 63-65 (cohérence). Cette dérogation est étroite : elle ne dispense pas l’autorité d’engager ou de poursuivre la procédure ordinaire ; elle l’autorise simplement à adopter, dans l’intervalle, une mesure provisoire territoriale.

Concrètement, lorsqu’une autorité concernée adopte une mesure Art. 66(1), elle doit en informer le CEPD, la Commission et les autres autorités concernées. Le CEPD peut alors choisir d’inscrire le dossier à l’ordre du jour d’une plénière extraordinaire, de demander à l’autorité initiatrice de basculer vers la procédure Art. 66(2), ou de laisser la mesure produire ses effets territoriaux pendant la durée maximale de trois mois sans intervention paneuropéenne.

L’autorité chef de file (au sens de l’article 56) conserve, en parallèle, l’instruction au titre de l’Art. 60. Elle n’est pas dessaisie par la mesure Art. 66(1) ; elle reste compétente pour le fond du dossier transfrontalier. C’est ce qui s’est produit dans l’affaire Meta : la DPC irlandaise, autorité chef de file, a continué l’instruction Art. 60 pendant que le Datatilsynet poursuivait sa mesure d’urgence nationale.

L’articulation peut conduire à des tensions politiques entre l’autorité initiatrice de la mesure d’urgence et l’autorité chef de file — situation que le CEPD est appelé à arbitrer. La doctrine EDPB Guidelines 02/2022 sur l’application de l’Article 60 (adoptées le 14 mars 2022) précise les modalités opérationnelles de cette coordination.

Recours et contentieux

Une mesure adoptée au titre de l’Art. 66(1) est une décision juridiquement contraignante de l’autorité de contrôle au sens de l’article 78(1). Elle ouvre donc droit à un recours juridictionnel effectif devant la juridiction nationale compétente — en France, le Conseil d’État au titre de l’article 21 LIL pour les sanctions, ou la juridiction administrative de droit commun pour les autres décisions.

Une décision contraignante d’urgence du CEPD au titre des Art. 66(2) ou 66(3) est un acte du Comité au sens de l’article 263 TFUE. Elle peut faire l’objet d’un recours en annulation devant le Tribunal de l’Union européenne dans le délai de deux mois prévu par le TFUE. À ce jour, la décision contraignante d’urgence 01/2023 (Meta) n’a pas fait l’objet d’un recours en annulation distinct ; Meta a contesté la décision contraignante 1/2023 (au titre de l’Art. 65) dans l’affaire T-577/23 Meta Platforms Ireland, actuellement pendante.

L’effet liant de la décision contraignante d’urgence sur la juridiction nationale a vocation à être analysé selon la même logique que celle dégagée par la CJUE C-768/21 TR du 14 novembre 2024 s’agissant des décisions contraignantes Art. 65 : les éléments de droit fixés par le CEPD lient la juridiction nationale, qui peut néanmoins poser une question préjudicielle à la CJUE au titre de l’article 267 TFUE.

Plan opérationnel : six chantiers pour anticiper une mesure d’urgence

Pour un responsable de traitement ou un sous-traitant, l’Art. 66 n’est pas un risque théorique. Il peut intervenir en quelques jours, sans procédure contradictoire préalable, et avec des effets opérationnels immédiats (blocage de service, interdiction de traitement, astreinte journalière). Six chantiers permettent d’en limiter l’exposition.

1. Cartographie des autorités concernées. Identifier l’autorité chef de file au titre de l’article 56 et les autorités concernées au sens de l’Art. 4(22). Anticiper les autorités les plus susceptibles d’invoquer l’Art. 66(1) : Garante italien, Datatilsynet norvégien, BfDI allemand, AP néerlandais, AEPD espagnole, CNIL française.

2. Veille des décisions CEPD. Surveiller les décisions Art. 64 et Art. 65, dont les décisions d’urgence Art. 66(2), publiées sur edpb.europa.eu. Une nouvelle décision contraignante structure souvent une vague de mesures nationales Art. 66(1) chez les autorités les plus actives.

3. Documentation accountability robuste. Préparer en amont une documentation Art. 30 (registre), Art. 28 (sous-traitance), Art. 32 (sécurité), Art. 35 (AIPD), Art. 13 et 14 (information) immédiatement mobilisable. Une autorité qui adopte une mesure Art. 66(1) le fait souvent face à un opérateur dont la documentation est manifestement défaillante (cas ChatGPT, Replika, DeepSeek). Une documentation impeccable est le premier rempart.

4. Représentant Art. 27 effectif. Pour les opérateurs hors UE soumis au RGPD au titre de l’Art. 3(2), désigner un représentant Art. 27 opérationnel et accessible. L’absence ou l’inefficacité du représentant a été un facteur explicite dans les mesures d’urgence Garante contre Clearview AI, Replika et DeepSeek.

5. Procédure de réaction d’urgence. Mettre en place une procédure interne de réaction en moins de 48 heures à toute notification d’autorité de contrôle annonçant une mesure Art. 66(1) : équipe juridique mobilisable, conseil français et étranger préidentifiés, procédure technique de mise en conformité ou de coupure ciblée du service sur le territoire concerné, communication de crise. La rapidité de réaction d’OpenAI dans l’affaire ChatGPT (interdiction levée en moins de 30 jours) a démontré que la mise en conformité accélérée est l’arme de défense la plus efficace.

6. Stratégie contentieuse à deux étages. Anticiper les voies de recours national au titre de l’article 78 contre la mesure de l’autorité initiatrice et européen au titre de l’article 263 TFUE contre la décision contraignante d’urgence éventuelle du CEPD. Le contentieux pendant T-577/23 Meta fournit le précédent procédural à suivre.

Ce qu’il faut retenir

• L’article 66 RGPD organise la procédure d’urgence : une autorité de contrôle concernée peut adopter immédiatement des mesures provisoires sur son territoire, d’une durée maximale de trois mois, pour protéger les droits et libertés des personnes concernées en circonstances exceptionnelles.
• La mesure provisoire Art. 66(1) est strictement territoriale et provisoire ; elle peut basculer vers une décision contraignante d’urgence du CEPD au titre des Art. 66(2) ou 66(3), adoptée en deux semaines à la majorité simple.
• La décision contraignante d’urgence 01/2023 du CEPD du 27 octobre 2023 (Meta — extension paneuropéenne de l’interdiction Datatilsynet) constitue le précédent structurant de l’Art. 66 dans sa dimension européenne.
• Le Garante italien a forgé une véritable doctrine de l’Art. 66(1) (ChatGPT, Replika, DeepSeek, Clothoff, TikTok) ciblée sur les services en ligne hors UE et la protection des mineurs.
• La mesure Art. 66 est une décision juridiquement contraignante ouvrant droit à recours juridictionnel effectif au titre de l’article 78 ; la décision contraignante d’urgence du CEPD peut faire l’objet d’un recours en annulation au titre de l’article 263 TFUE devant le Tribunal de l’UE.

FAQ

Quelle différence entre une mesure d’urgence Art. 66(1) et une mesure correctrice Art. 58(2) ?

Une mesure correctrice Art. 58(2) (avertissement, mise en demeure, interdiction de traitement, sanction administrative) est prise par l’autorité chef de file dans le cadre de la procédure ordinaire de coopération Art. 60 ou par une autorité nationale pour un dossier strictement local. Une mesure d’urgence Art. 66(1) est, elle, prise par une autorité concernée par dérogation aux mécanismes de coopération et de cohérence, en circonstances exceptionnelles, pour une durée maximale de trois mois et avec effet territorial limité. L’Art. 58(2) organise le régime ordinaire ; l’Art. 66 organise le régime d’exception.

Combien de mesures Art. 66(1) ont été adoptées depuis 2018 ?

Aucun registre public exhaustif n’est tenu, mais l’on dénombre une dizaine de mesures Art. 66(1) significatives entre 2018 et 2025, dont la grande majorité émane du Garante italien (ChatGPT, Replika, DeepSeek, Clothoff, TikTok) et du Datatilsynet norvégien (Meta). Le BfDI allemand, l’AP néerlandais et l’AEPD espagnole ont adopté des mesures comparables sous des fondements nationaux articulés à l’Art. 66. Une seule décision contraignante d’urgence du CEPD a été adoptée à ce jour au titre de l’Art. 66(2) : la décision 01/2023 du 27 octobre 2023 sur Meta.

Quel est le délai d’adoption d’une décision contraignante d’urgence du CEPD ?

L’article 66(4) prévoit un délai de deux semaines par dérogation aux délais ordinaires de l’Art. 64(3) (huit semaines + six semaines de prorogation) et de l’Art. 65(2) (un mois + un mois). En pratique, le CEPD a dépassé ce délai dans la décision 01/2023 (Meta), adoptée en environ huit semaines après saisine du Datatilsynet. La pratique tolère ce dépassement lorsque la complexité du dossier le justifie, sans que cela ait fait l’objet d’une contestation contentieuse.

Un opérateur peut-il contester une mesure Art. 66(1) ?

Oui. La mesure Art. 66(1) est une décision juridiquement contraignante de l’autorité de contrôle au sens de l’article 78(1) du RGPD. Elle ouvre droit à un recours juridictionnel effectif devant la juridiction nationale compétente — en France, le juge administratif compétent (Conseil d’État pour les sanctions de la formation restreinte au titre de l’article 21 LIL, juridiction administrative de droit commun pour les autres décisions). Le recours peut être assorti d’une demande de suspension en référé au titre de l’article L. 521-1 du Code de justice administrative. Une décision contraignante d’urgence du CEPD peut, elle, faire l’objet d’un recours en annulation devant le Tribunal de l’Union européenne au titre de l’article 263 TFUE dans un délai de deux mois.

L’Art. 66 s’applique-t-il aux opérateurs hors UE ?

Oui. L’Art. 66 s’applique à tout traitement entrant dans le champ matériel et territorial du RGPD (article 3), y compris aux opérateurs hors UE soumis au critère de ciblage Art. 3(2). C’est précisément dans cette hypothèse que l’Art. 66(1) a été le plus mobilisé : ChatGPT (OpenAI, États-Unis), Replika (Luka Inc., États-Unis), DeepSeek (Hangzhou DeepSeek, Chine), Clearview AI (États-Unis), TikTok (TikTok Technology, Irlande mais groupe ByteDance Chine). L’absence ou l’inefficacité du représentant Art. 27 est un facteur explicite dans ces décisions.

---

Ce billet fait partie de notre série commentaire article par article du RGPD : article 56 (autorité chef de file), article 58 (pouvoirs de la CNIL), article 60 (coopération chef de file / concernées), article 63 (mécanisme de cohérence), article 64 (avis du CEPD), article 65 (décision contraignante), article 77 (réclamation), article 78 (recours contre l’autorité), article 83 (sanctions administratives). Pour une vue d’ensemble, voir notre analyse sanctions CNIL 2026 et transferts hors UE.

Recevez chaque semaine notre analyse de la conformité RGPD, des décisions CNIL et de l’enforcement européen. S’abonner à la newsletter.