Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 5 juin 2026
Accueil/RGPD/Article 67 RGPD : l'échange d'informations décrypté
RGPD

Article 67 RGPD : l'échange d'informations décrypté

Article 67 RGPD : l'échange d'informations entre autorités. Système IMI, actes d'exécution, format standardisé, articulation Art. 60-66.

Par Thiebaut DevergrannePublie le 31 mai 2026Mis a jour le 31 mai 202613 min de lecture
Sommaire
  1. Ce que dit l’article 67 du RGPD
  2. Le système IMI : l’infrastructure réelle de la coopération
  3. Une compétence encadrée par la comitologie
  4. Le format standardisé visé à l’article 64
  5. L’IMI, colonne vertébrale des articles 60 à 66
  6. Transposition et pratique française
  7. Plan opérationnel : ce que l’opérateur doit en tirer
  8. Ce qu’il faut retenir
  9. FAQ

Quand la CNIL formule une objection contre un projet de décision de l’autorité irlandaise dans un dossier Meta, quand le Garante italien sollicite l’assistance de ses homologues sur ChatGPT, quand le Comité européen vote une décision contraignante à 1,2 milliard d’euros — tout cela transite par un même canal technique : le système IMI. C’est l’article 67 du RGPD, l’un des plus discrets du règlement, qui fonde cette infrastructure. Sans lui, le mécanisme de coopération de l’article 60 et le mécanisme de cohérence de l’article 63 resteraient des principes sans tuyaux. Voici ce que dit réellement cette disposition, et pourquoi elle compte plus qu’il n’y paraît.

Ce que dit l’article 67 du RGPD

L’article 67 est constitué de deux phrases — il referme la section 2 du chapitre VII consacrée à la cohérence, après les articles 63 à 66. Il dispose : « La Commission peut adopter des actes d’exécution de portée générale afin de préciser les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle et entre les autorités de contrôle et le comité, notamment le format standardisé visé à l’article 64. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2. »

Trois éléments structurent ce texte : une habilitation (la Commission peut adopter des actes d’exécution), un objet (préciser les modalités de l’échange d’informations par voie électronique entre autorités de contrôle, et entre autorités et Comité européen de la protection des données, notamment le format standardisé de l’article 64), et un renvoi procédural (la procédure d’examen de l’article 93(2), c’est-à-dire la comitologie).

À la différence de la plupart des articles du RGPD, l’article 67 ne s’adresse ni aux responsables de traitement, ni aux sous-traitants, ni même directement aux autorités de contrôle : il s’adresse à la Commission européenne, à laquelle il confère une compétence d’exécution. C’est une disposition d’infrastructure, qui organise la plomberie électronique de la coopération transfrontalière. Sa brièveté est, là encore, trompeuse : c’est elle qui rend matériellement possible la production des avis Art. 64 et des décisions contraignantes Art. 65 qui ont structuré l’enforcement européen depuis 2018.

Le système IMI : l’infrastructure réelle de la coopération

Dans la pratique, le canal d’échange d’informations entre autorités de protection des données est le système IMI (Internal Market Information System — Système d’information du marché intérieur). Ce système n’a pas été créé par le RGPD : il préexistait, institué par le règlement (UE) n° 1024/2012 du 25 octobre 2012 (dit « règlement IMI »), qui a abrogé la décision 2008/49/CE de la Commission. L’IMI est une application sécurisée permettant aux autorités nationales, régionales et locales des États membres — ainsi que de l’Islande, du Liechtenstein et de la Norvège — de communiquer rapidement entre elles et avec la Commission sur les dossiers de marché intérieur, en surmontant les obstacles pratiques liés aux différences de langue, de culture administrative et d’identification des interlocuteurs.

L’extension de l’IMI au RGPD a été opérée par un acte spécifique : la décision d’exécution (UE) 2018/743 de la Commission du 16 mai 2018, relative à un projet pilote destiné à mettre en œuvre, au moyen de l’IMI, les dispositions de coopération administrative prévues par le règlement (UE) 2016/679 (JOUE L 123 du 18 mai 2018). Concrètement, c’est par ce projet pilote — et non par un acte d’exécution autonome pris sur le seul fondement de l’article 67 — que les autorités européennes ont basculé, le 25 mai 2018, dans un échange dématérialisé structuré. Le RGPD a par ailleurs été inscrit à l’annexe du règlement IMI, ce qui ancre durablement l’utilisation du système.

Il faut le souligner, car le point est souvent mal compris : à ce jour, la Commission n’a pas adopté d’acte d’exécution de portée générale spécifiquement fondé sur l’article 67 au sens strict. La solution opérationnelle a transité par le véhicule préexistant du règlement IMI et la décision pilote de 2018. L’article 67 reste donc, pour partie, une habilitation dont le plein potentiel n’a pas été mobilisé — une situation que l’on retrouve à l’article 61(9), dont la compétence d’exécution résiduelle de la Commission n’a, elle non plus, jamais été activée. Cette retenue de la Commission s’explique : l’IMI fonctionne, et il n’y avait pas de raison de reconstruire un canal parallèle.

Une compétence encadrée par la comitologie

Le renvoi à la procédure d’examen de l’article 93(2) n’est pas anodin. L’article 93(1) du RGPD institue un comité, composé de représentants des États membres, qui assiste la Commission au sens du règlement (UE) n° 182/2011 du 16 février 2011 (règlement « comitologie »). La procédure d’examen — par opposition à la procédure consultative — est la plus contraignante : elle réserve aux États membres un véritable pouvoir de blocage, puisqu’un avis défavorable du comité empêche en principe l’adoption de l’acte.

Le choix de cette procédure traduit une logique de garantie. L’échange d’informations entre autorités porte sur des données sensibles — projets de décision, pièces d’instruction, objections, éléments de procédure — dont les modalités techniques engagent à la fois la sécurité juridique et la souveraineté des autorités nationales. Le législateur a voulu que la Commission ne puisse pas, par un acte unilatéral, imposer un format ou une architecture technique sans le contrôle des États membres réunis en comité. Le considérant 168 du RGPD rappelle d’ailleurs que les compétences d’exécution conférées à la Commission doivent s’exercer conformément au règlement (UE) n° 182/2011, et que la procédure d’examen s’impose pour ce type de mesures structurantes.

Cette dimension procédurale a une conséquence pratique : toute évolution de l’infrastructure d’échange — par exemple une future obligation de format unique pour les notifications de violation transfrontalières, ou une standardisation des objections Art. 60(4) — devrait passer par ce filtre comitologique. Les opérateurs structurants et leurs fédérations gagnent à suivre l’agenda du comité de l’article 93, car c’est là que se décident les modalités techniques qui conditionnent, en aval, le rythme et la prévisibilité des procédures transfrontalières.

Le format standardisé visé à l’article 64

L’article 67 mentionne expressément le « format standardisé visé à l’article 64 ». Ce renvoi mérite d’être explicité. L’article 64(5) prévoit que le président du Comité européen de la protection des données informe les autorités de contrôle concernées et la Commission, par voie électronique et au moyen d’un format standardisé, des avis du Comité. L’article 67 fournit le fondement permettant à la Commission de préciser ce format.

Concrètement, la standardisation poursuit deux objectifs. D’abord, l’interopérabilité : avec vingt-sept autorités nationales — plus les trois autorités EEE — travaillant dans des langues et des systèmes administratifs différents, un format commun est la condition de la fluidité. Ensuite, la traçabilité : l’IMI horodate et archive chaque échange, ce qui constitue un élément probant en cas de contentieux ultérieur sur le respect des délais procéduraux — le délai d’un mois de l’article 61(2) pour l’assistance mutuelle, le délai de quatre semaines de l’article 60(4) pour formuler une objection, les délais de l’article 64(3) et de l’article 65(2) pour les avis et décisions du Comité.

Cette traçabilité n’est pas neutre pour l’opérateur. Lorsqu’une sanction est contestée devant le juge national au titre de l’article 78, la régularité de la procédure de coopération — donc le respect des délais et des formes d’échange via l’IMI — peut être discutée. Un vice dans la circulation de l’information entre autorités, par exemple une objection formulée hors délai ou une consultation incomplète du Comité, peut constituer un moyen de légalité externe.

L’IMI, colonne vertébrale des articles 60 à 66

L’article 67 ne prend tout son sens qu’au regard des dispositions qu’il sert. L’ensemble du dispositif de coopération et de cohérence du chapitre VII repose, opérationnellement, sur l’échange d’informations qu’il fonde.

Le mécanisme de coopération entre l’autorité chef de file et les autorités concernées de l’article 60 suppose la circulation des projets de décision, des observations et des objections « pertinentes et motivées » — tous transmis via l’IMI. L’assistance mutuelle de l’article 61 impose un échange d’informations dans un délai d’un mois, sous peine de présomption d’urgence : l’IMI en est le support, et l’article 61(6) renvoie expressément à la transmission par voie électronique. Les opérations conjointes de l’article 62, les avis de l’article 64, les décisions contraignantes de l’article 65 et la procédure d’urgence de l’article 66 reposent toutes, in fine, sur ce canal commun.

Sans cette colonne vertébrale technique, le « guichet unique » de l’article 56 resterait théorique. C’est l’IMI qui permet à une entreprise établie en Irlande de relever d’une autorité chef de file unique tout en restant exposée aux objections de toutes les autorités concernées au sens de l’article 4(22). L’article 67 est, en ce sens, la condition d’effectivité du modèle européen d’enforcement transfrontalier.

Transposition et pratique française

L’article 67 n’appelle pas de transposition au sens strict, puisqu’il habilite la Commission et non les États membres. Mais il s’inscrit dans le cadre des missions de coopération européenne de la CNIL, ancrées à l’article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée (LIL) et à l’article 51 de la même loi, qui confie à la CNIL la mission de contribuer à l’application cohérente du règlement, notamment en coopérant avec les autorités des autres États membres.

En pratique, la CNIL utilise quotidiennement l’IMI. Ses services participent aux échanges sur les dossiers transfrontaliers, transmettent et reçoivent les projets de décision via le système, et formulent leurs objections au titre de l’article 60(4) par ce canal. La CNIL a ainsi mobilisé l’IMI dans la plupart des grands dossiers européens récents — coopération Google Analytics en 2022, dossiers Meta, contributions aux décisions contraignantes du Comité. Le système est devenu un outil de travail ordinaire des autorités, au point que sa dimension juridique — le fondement de l’article 67 — en est presque oubliée.

Plan opérationnel : ce que l’opérateur doit en tirer

Pour un responsable de traitement ou un sous-traitant, l’article 67 n’est pas une disposition purement institutionnelle. Quatre enseignements pratiques s’en dégagent.

1. Comprendre que tout circule. Dès qu’un traitement est transfrontalier au sens de l’article 4(23), toute information transmise à une autorité concernée est susceptible d’être partagée, via l’IMI, avec l’ensemble des autorités impliquées et avec le Comité. Une réponse adressée à la CNIL dans un dossier à dimension européenne ne reste pas confinée à la France. La stratégie de défense doit être pensée d’emblée à l’échelle européenne, et non autorité par autorité.

2. Exploiter la traçabilité dans la défense. Les échanges via l’IMI sont horodatés et archivés. En cas de contentieux au titre de l’article 78, la régularité de la procédure de coopération — respect des délais, complétude de la consultation du Comité, motivation des objections — peut être discutée. Demander l’accès au dossier de procédure et vérifier la chronologie des échanges fait partie d’une stratégie contentieuse rigoureuse.

3. Anticiper le principe de spécialité. Les informations transmises par une autorité à une autre dans le cadre de l’assistance mutuelle de l’article 61 sont en principe réservées à la finalité de la demande. Cette protection — le principe de spécialité — doit guider la manière dont l’opérateur structure les pièces qu’il communique : il est prudent de documenter clairement le périmètre et la destination de chaque pièce.

4. Suivre l’agenda comitologique. Toute évolution des modalités d’échange passe par le comité de l’article 93. Les fédérations sectorielles européennes ont intérêt à suivre cet agenda, car les choix techniques de format et de procédure conditionnent la prévisibilité des dossiers transfrontaliers.

Ce qu’il faut retenir

  • L’article 67 RGPD habilite la Commission à adopter des actes d’exécution précisant les modalités de l’échange d’informations par voie électronique entre autorités de contrôle, et entre autorités et Comité européen de la protection des données, notamment le format standardisé de l’article 64.
  • L’infrastructure réelle est le système IMI (règlement (UE) n° 1024/2012), étendu au RGPD par la décision d’exécution (UE) 2018/743 du 16 mai 2018 — un projet pilote, et non un acte d’exécution autonome fondé sur le seul article 67.
  • La compétence de la Commission s’exerce sous la procédure d’examen de l’article 93(2), qui réserve un pouvoir de contrôle aux États membres réunis en comité.
  • L’article 67 est la colonne vertébrale technique des mécanismes de coopération (Art. 60, Art. 61, Art. 62) et de cohérence (Art. 63 à Art. 66) : sans lui, le guichet unique de l’article 56 resterait théorique.
  • Pour l’opérateur, l’enseignement est double : tout ce qui est transmis à une autorité dans un dossier transfrontalier circule à l’échelle européenne, et la traçabilité de l’IMI peut nourrir la défense procédurale au titre de l’article 78.

FAQ

Qu’est-ce que le système IMI dans le RGPD ?

L’IMI (Internal Market Information System) est l’application sécurisée par laquelle les autorités européennes de protection des données échangent leurs informations dans les dossiers transfrontaliers. Institué par le règlement (UE) n° 1024/2012, il a été étendu au RGPD par la décision d’exécution (UE) 2018/743 du 16 mai 2018. C’est le support technique des mécanismes de coopération (Art. 60) et de cohérence (Art. 63) prévus par le règlement.

La Commission a-t-elle adopté un acte d’exécution sur le fondement de l’article 67 ?

Pas au sens strict. L’article 67 habilite la Commission à adopter des actes d’exécution de portée générale, mais la solution opérationnelle a transité par un véhicule préexistant : le règlement IMI de 2012 et la décision pilote (UE) 2018/743 de 2018. À ce jour, aucun acte d’exécution autonome n’a été pris sur le seul fondement de l’article 67 — l’habilitation reste donc partiellement inexploitée, à l’image de l’article 61(9).

Pourquoi l’article 67 renvoie-t-il à la procédure d’examen de l’article 93(2) ?

Parce que les modalités d’échange d’informations engagent la sécurité juridique et la souveraineté des autorités nationales. La procédure d’examen, prévue par le règlement (UE) n° 182/2011, est la plus contraignante des procédures de comitologie : elle réserve aux États membres réunis en comité un pouvoir de blocage. Le législateur a voulu éviter que la Commission impose unilatéralement une architecture technique sans contrôle des États membres.

L’article 67 crée-t-il des droits pour les personnes concernées ou les entreprises ?

Non. L’article 67 organise une infrastructure d’échange entre autorités et ne crée aucun droit subjectif direct au profit des personnes concernées, des responsables de traitement ou des sous-traitants. Il produit toutefois des effets indirects importants : la traçabilité des échanges via l’IMI peut être invoquée pour contester la régularité d’une procédure de coopération devant le juge national au titre de l’article 78.

Une information transmise à la CNIL peut-elle être partagée avec d’autres autorités ?

Oui, dans les dossiers transfrontaliers. Dès qu’un traitement relève du mécanisme de coopération de l’article 60, les informations transmises à la CNIL circulent, via l’IMI, vers l’autorité chef de file et les autres autorités concernées, ainsi que vers le Comité européen. Le principe de spécialité issu de l’article 61 encadre cette circulation, mais l’opérateur doit intégrer que sa défense se joue d’emblée à l’échelle européenne.

Ce billet fait partie de notre série commentaire article par article du RGPD : article 56 (autorité chef de file), article 60 (coopération chef de file / concernées), article 61 (assistance mutuelle), article 62 (opérations conjointes), article 63 (mécanisme de cohérence), article 64 (avis du CEPD), article 65 (décision contraignante), article 66 (procédure d’urgence), article 78 (recours contre l’autorité), article 83 (sanctions administratives). Pour une vue d’ensemble, voir notre analyse sanctions CNIL 2026 et transferts hors UE.

Recevez chaque semaine notre analyse de la conformité RGPD, des décisions CNIL et de l’enforcement européen. S’abonner à la newsletter.

Articles lies

RGPD

Article 74 RGPD : les missions du président du CEPD

4 juin 2026 · 8 min
RGPD

Article 75 RGPD : le secrétariat du CEPD expliqué

4 juin 2026 · 7 min
RGPD

Airtable et RGPD : guide de conformité 2026

3 juin 2026 · 9 min