Vincent Gautrais

Anne Christelle Georget est étudiante dans le cadre du cours DRT 6929E (Vie privée + numérique)  

L’application du Règlement Général sur la Protection des Données (RGPD) est le théâtre de tensions croissantes entre les autorités nationales et européennes, révélant d’importants enjeux de pouvoir. Un arrêt récent du tribunal de l’Union Européenne (TUE) (affaires jointes T-70/23, T-84/23, et T-111/2)  vient clarifier les compétences du Comité européen de la protection des données (CEPD). Cette décision confirme son pouvoir d’exiger des enquêtes complémentaires des autorités nationales, notamment dans le cas de Meta, propriétaire de Facebook, Instagram et WhatsApp.

Cette affaire soulève des questions essentielles  sur la protection des données personnelles et l’équilibre entre autonomie nationale et supervision européenne. Elle met également en lumière les enjeux de la vie privée en ligne face aux géants de la tech.

1) Rappel des faits et de la procédure : Conflit autour de la protection des données chez Meta

Le contentieux résulte des plaintes déposées par l’association NOYB (None Of Your Business), fondée par Max Schrems. L’ONG contestait l’utilisation par Meta de la base légale de « l’exécution du contrat » pour justifier la collecte et l’utilisation massive de données personnelles à des fins de publicité ciblée. Selon NOYB, cette pratique viole le RGPD, qui exige un consentement explicite pour le traitement des données.

La Data Protection Commission (DPC), autorité irlandaise de contrôle, a soumis des projets de décision initiale. Cependant, plusieurs autorités nationales ont exprimé des objections, entrainant un blocage. Faute de consensus,  le mécanisme de contrôle de la cohérence (article 60, § 4 du RGPD) a été activé et le CEPD a adopté des mesures contraignantes (3/2022, 4/2022 et 5/2022) le 5 décembre 2022, enjoignant à la DPC d’élargir son enquête et de présenter un nouveau projet de décision.

Cette dernière a contesté ces mesures devant le TUE, arguant que le CEPD avait outrepassé ses compétences. Le 29 janvier 2025, le TUE a rejeté son recours, confirmant ainsi la validité des décisions du CEPD.

2) Arguments des parties : Autonomie nationale vs supervision européenne

La DPC, garante de son indépendance, présentait un ensemble d’arguments dont l’essentiel reposait sur une interprétation restrictive du rôle du CEPD. Selon elle, celui-ci se limitait à statuer sur les éléments déjà analysés dans le projet de décision initial, sans pouvoir exiger de nouvelles enquêtes. Elle interprétait les considérants 126 et 136 du RGPD comme cantonnant l’intervention du CEPD aux seuls cas de désaccord sur le fond.

« Selon la requérante, les trois dispositions (…) limitent la portée d’une décision contraignante du CEPD, adoptée sur le fondement de l’article 65, paragraphe 1, sous a), du règlement 2016/679, au champ des analyses effectuées dans le projet de décision de l’autorité de contrôle chef de file communiqué aux autres autorités de contrôle concernées par le dossier. En effet, une telle décision contraignante ne pourrait que donner suite à une objection pertinente et motivée, laquelle devrait porter sur le contenu du projet de décision et non sur ce qui n’y figure pas. »

Le TUE a cependant écarté cet argument et a, par conséquent confirmé la compétence de CEPD à exiger des enquêtes complémentaires. Cette décision repose sur une interprétation conjointe de l’article 65, paragraphe 1, point a) et de l’article 4, point 24 du RGPD. En effet, le TUE a estimé que le RGPD n’empêche pas le CEPD d’enjoindre à l’autorité de contrôle chef de file de combler un manque d’analyse et d’approfondir ou d’élargir l’enquête.

La DPC faisait également valoir que permettre au CEPD d’imposer une extension de l’enquête remettait en cause le principe du « guichet unique », un mécanisme visant à simplifier les procédures pour les entreprises et les citoyens en leur permettant de n’avoir qu’un seul interlocuteur. Selon elle, cette intervention excessive risquait de complexifier la prise de décision et d’alourdir la charge des autorités nationales, rendant le processus d’application du RGPD plus lent et coûteux.

Le TUE a rejeté cette argumentation, soulignant que l’objectif premier du RGPD est de garantir la protection des données personnelles, un droit fondamental inscrit dans la Charte des droits fondamentaux de l’Union européenne. Il a rappelé que :

« L’objectif essentiel du règlement 2016/679 [est] de faire respecter le droit fondamental des personnes physiques à la protection de leurs données à caractère personnel. Un élargissement d’enquête (…) constitue une mesure pour défendre leurs droits respectifs. »

Il a également insisté sur le fait que la simplification des procédures, incarnée par le principe du « guichet unique », ne saurait primer sur la nécessité de protéger les droits des individus. Selon lui, une enquête approfondie dès le départ est préférable à des investigations fragmentées, susceptibles de compromettre la vie privée des citoyens.

« Le premier considérant dudit règlement rappelle à ce propos que l’article 8, paragraphe 1, de la charte des droits fondamentaux et l’article 16, paragraphe 1, TFUE disposent que toute personne a droit à la protection des données à caractère personnel la concernant. »

Enfin, la DPC faisait valoir que cette approche compromettait sa capacité à hiérarchiser ses missions en tant qu’autorité indépendante, affaiblissant l’autonomie des régulateurs nationaux.

« Il doit également être ajouté que, contrairement à ce que la requérante soutient en troisième lieu, une décision contraignante du CEPD… lui imposant d’élargir son analyse et son enquête ne met pas en cause sa capacité à hiérarchiser l’accomplissement de ses différentes missions en tant qu’autorité indépendante… »

Le TUE a également écarté cet argument, précisant que l’indépendance des autorités nationales n’implique pas une absence totale de contrôle, surtout lorsqu’il s’agit de garantir une application uniforme du RGPD.

« Les dispositions de droit primaire qu’invoque la requérante n’impliquent pas une indépendance absolue, au sens d’absence de tout contrôle, des autorités des États membres chargées au premier chef de veiller à l’application des règles relatives à la protection des données à caractère personnel. »

3) Données personnelles : L’équilibre DPC/CEPD en question

D’une part, l’attitude de la DPC soulève des interrogations quant à la solidité de son engagement envers une application rigoureuse et cohérente du RGPD, ainsi que sur sa coopération avec les instances européennes. Son positionnement face aux décisions contraignantes du CEPD révèle une divergence d’approche, voire une certaine réticence.

En contestant la compétence du CEPD, le DPC adopte ainsi une interprétation restrictive de son rôle de supervision et de coordination et minimisant l’importance d’une application uniforme du RGPD. De plus, elle suggère que l’approche du CEPD compromettrait le principe du « guichet unique », ce qui pourrait impliquer une concession sur la protection des données au profit d’une simplification administrative.

Aussi, cette crainte pour son indépendance peut laisser penser que la DPC cherche avant tout à préserver une large autonomie, quitte à compromettre la coopération et la cohérence au niveau européen. En limitant le rôle du CEPD à l’arbitrage de conflits spécifiques plutôt qu’à une supervision active, la DPC suscite des inquiétudes quant à la capacité des États membres à assurer une application uniforme du RGPD. Cette position illustre les tensions persistantes entre les intérêts nationaux et l’impératif d’une protection des données véritablement européenne.

D’autre part, le TUE s’affirme avec fermeté en faveur d’une application stricte et harmonisée du RGPD. Il rejette sans ambiguïté l’argument d’incompétence du CEPD, confirmant son pouvoir d’exiger des enquêtes complémentaires des autorités nationales. Cette décision marque une opposition claire à l’interprétation restrictive défendue par la DPC.

Le TUE privilégie une lecture du RGPD qui place la protection des données personnelles au cœur des préoccupations, y compris au détriment d’une simplification excessive des procédures ou d’une autonomie nationale absolue. Il rappelle que le respect de ce droit fondamental est l’objectif central du règlement, imposant de facto des exigences élevées aux autorités de contrôle.

En rejetant l’argument selon lequel l’intervention du CEPD menacerait l’indépendance des autorités nationales, le TUE affirme que la coopération et le contrôle mutuel entre organismes indépendants sont non seulement possibles, mais nécessaires. Il promeut de ce fait une gouvernance européenne fondée sur la transparence et la responsabilité partagée.

Enfin, le raisonnement du TUE s’appuie sur une interprétation rigoureuse des textes et des principes du RGPD, affirmant avec force son engagement en faveur d’une protection renforcée des données personnelles. Par cette décision, il consolide le rôle du CEPD, réaffirme la primauté des droits des individus et impulse une mise en œuvre plus cohérente du RGPD à l’échelle européenne.

Conclusion

Pour conclure, cette affaire met en évidence les tensions persistantes dans l’application du RGPD, entre les pouvoirs nationaux et la supervision européenne. La DPC, attachée à son autonomie, interprète le rôle du CEPD de manière restrictive, craignant une supervision trop importante qui entraverait son efficacité et sa capacité à définir ses priorités.

À l’inverse, le TUE promeut une coopération renforcée et un contrôle rigoureux, indispensables pour assurer une protection efficace des données personnelles. En consolidant les pouvoirs du CEPD, il souligne l’objectif du RGPD : garantir une régulation stricte et harmonisée à l’échelle européenne. Cette approche est essentielle au maintien du « Brussels Effect », c’est-à-dire la capacité de l’Union Européenne à exporter ses normes en matière de protection des données et de vie privée en ligne à l’échelle mondiale. En renforçant le rôle du CEPD, l’Union Européenne envoie un message clair aux géants de la tech comme Meta : la protection des droits des citoyens est non négociable.

De plus, cette décision marque un tournant pour la gouvernance européenne des données personnelles. Si elle favorise une application plus cohérente du RGPD et renforce la protection des citoyens face aux violations de données, elle soulève aussi des interrogations sur l’équilibre entre l’indépendance des autorités nationales et le pouvoir de contrôle du CEPD.

La notion de « critères pertinents et objectifs » qui fonde l’intervention du CEPD reste sujette à interprétation et pourrait être source de nouvelles tensions. Dès lors, une clarification future, par des lignes directrices ou une jurisprudence consolidée, apparaît nécessaire afin d’assurer la prévisibilité et la légitimité de ses interventions, et d’éviter d’éventuelles tensions.

 

Mention :

Ce texte a été révisé, synthétisé et optimisé pour une meilleure fluidité à l’aide de ChatGPT. L’image a été générée avec Gamma.ai.

Sources :

• Comité Européen de la Protection des Données. (s.d.). Binding decisions. EDPB. https://www.edpb.europa.eu/our-work-tools/consistency-findings/binding-decisions_fr
• Comité Européen de la Protection des Données. (2022). Binding decision 3/2022 on dispute submitted under Article 65 GDPR. EDPB. https://www.edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-32022-dispute-submitted_fr
• Comité Européen de la Protection des Données. (2022). Binding decision 4/2022 on dispute submitted under Article 65 GDPR. EDPB. https://www.edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-42022-dispute-submitted_fr
• Comité Européen de la Protection des Données. (2022). Binding decision 5/2022 on dispute submitted under Article 65 GDPR. EDPB. https://www.edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-52022-dispute-submitted_fr
• Commission Nationale de l’Informatique et des Libertés. (s.d.). Règlement européen sur la protection des données – Article 65. CNIL. https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre7#Article65
• Dalloz Actualité. (2024). Quand l’Autorité de protection des données irlandaise conteste la mise en œuvre du mécanisme de… Dalloz Actualité. https://www.dalloz-actualite.fr/flash/quand-l-autorite-de-protection-des-donnees-irlandaise-conteste-mise-en-oeuvre-du-mecanisme-de-
• Dalloz Actualité. (2025). Affaire CELEX 62023TJ0070. Dalloz Actualité. https://www.dalloz-actualite.fr/sites/dalloz-actualite.fr/files/resources/2025/02/celex_62023tj0070_fr_txt.pdf
• DPO Partagé. (s.d.). RGPD : coopération et cohérence. DPO Partagé. https://www.dpo-partage.fr/rgpd-cooperation-et-coherence/
• Médiateur Européen. (s.d.). Décision du Médiateur Européen. Ombudsman Européen. https://www.ombudsman.europa.eu/et/decision/fr/164337
• NOYB. (2018). NOYB.eu filed complaints over « forced consent » against Google, Instagram, WhatsApp, and Facebook. NOYB. https://noyb.eu/en/noybeu-filed-complaints-over-forced-consent-against-google-instagram-whatsapp-and-facebook
• NOYB. (2024). EU Court: Irish DPC must investigate NOYB complaint. NOYB. https://noyb.eu/fr/eu-court-irish-dpc-must-investigate-noyb-complaint

Ce contenu a été mis à jour le 7 mars 2025 à 11 h 54 min.