L’arrêt WhatsApp Ireland Ltd. c. Comité européen de la protection des données
Aziz Fatnassi est étudiant dans le cadre du cours DRT6929 (Vie privée + Numérique) (Hiver 2026)
Après cinq longues années de contentieux opposant WhatsApp Ireland Ltd (ci-après « WhatsApp ») au Comité européen de la protection des données (CEPD), à l’origine d’une amende de 225 millions d’euros infligée à la filiale de Meta, la Cour de justice de l’Union européenne (CJUE) a jugé, le 10 février 2026, que l’entreprise est fondée à introduire un recours devant les juridictions de l’Union contre la décision du CEPD, quand bien même celle-ci serait adressée aux autorités nationales chargées de la protection des données, dès lors qu’elle affecte directement ses activités, et a renvoyé, en conséquence, le dossier devant le Tribunal de première instance des Communautés européennes (TPICE) pour statuer sur le fond de l’affaire.
Histoire des origines, origine de l’histoire
Peu après l’entrée en vigueur du Règlement européen de protection des données (RGPD), et pour donner suite à plusieurs plaintes concernant le traitement de données à caractère personnel opéré par l’application de messagerie WhatsApp, le régulateur irlandais chargé de la protection des données pour la plupart des géants technologiques américains (leurs sièges européens étant situés en Irlande) a ouvert le 10 décembre 2018 une enquête à caractère général sur le respect par l’entreprise des obligations de transparence et d’information à l’égard des particuliers en vertu des articles 12, 13 et 14 du RGPD.
Comme le veut la procédure, dès la clôture de l’enquête menée par l’autorité irlandaise, celle-ci a présenté le 24 décembre 2020 à ses homologues des différents États membres concernés par le traitement des données personnelles de WhatsApp un projet de décision qui a soulevé plusieurs objections, notamment de la part des autorités allemande, française, hongroise, néerlandaise et portugaise concernant, entre autres, les atteintes identifiées et le caractère approprié des mesures correctives envisagées. S’ensuivit une phase d’échanges de commentaires entre les autorités concernées, au terme de laquelle aucun consensus ne se dégagea.
L’autorité irlandaise n’ayant retenu aucune des objections, saisit en conséquence le CEPD conformément à la procédure instaurée par le RGPD, qui procède le 23 avril 2021 à l’audition de WhatsApp et rend le 28 juillet 2021 une décision contraignante à l’égard de l’ensemble des autorités concernées dans laquelle il constate des violations du RGPD et ordonne à l’autorité irlandaise de modifier notamment le montant du projet d’amende, qui s’élève désormais à 225 millions d’euros.
Ce n’est que le 2 septembre 2021 que l’autorité irlandaise, se conformant à la décision contraignante du CEPD, infligea à WhatsApp une amende de 225 millions d’euros, l’une des amendes les plus élevées jamais prononcées au titre du RGPD, considérant que la filiale de Meta avait failli à ses obligations de transparence à la fois envers ses utilisateurs et les non-utilisateurs dont le numéro de téléphone avait fait l’objet d’un traitement.
Insatisfait, WhatsApp a introduit un recours en annulation de la décision du CEPD devant le Tribunal de première instance des Communautés européennes qui, par ordonnance du 7 décembre 2022, l’a déclaré irrecevable au motif qu’elle ne constitue pas un acte attaquable et que WhatsApp n’était pas directement concernée, estimant qu’elle ne revêtait qu’un caractère intermédiaire et que seule la décision finale de l’autorité irlandaise pouvait être contestée devant le juge national, seul habilité à saisir la CJUE à titre préjudiciel. En d’autres termes, seule la décision finale de l’autorité irlandaise pouvait faire l’objet d’un recours.
WhatsApp s’est donc pourvu devant la CJUE, qui a tranché le 10 février 2026 en faveur de la recevabilité en jugeant que
Il en découle que les décisions du CEPD prises sur le fondement de l’article 65 du RGPD constituaient bien des actes attaquables.
Notion d’acte attaquable au sens de l’article 263, premier alinéa, du TFUE
Dans son arrêt du 10 février 2026, la haute juridiction européenne vient préciser la notion d’acte attaquable, en rappelant le rôle du juge de l’Union dans le contrôle de la légalité des actes des organismes de l’Union destinés à produire des effets juridiques à l’égard des tiers. À cet effet, le caractère attaquable d’un acte s’apprécie objectivement, par référence à son contenu indépendamment de l’identité du requérant. Il suffit donc que l’acte produise des effets juridiques à l’égard de tiers, entendus comme toute personne distincte de son auteur, à savoir le CEPD.
En l’espèce, la Cour a considéré que la décision litigieuse constitue un acte émanant d’un organe de l’Union, revêtant un caractère contraignant à l’égard des tiers en ce qu’elle s’impose tant à l’autorité irlandaise appelée à l’adopter qu’aux autorités de contrôle concernées.
“Ainsi, la Cour constate que la décision litigieuse constitue un acte attaquable et que le Tribunal a commis une erreur de droit, d’une part, en opérant une confusion entre les exigences résultant, respectivement, des premier et quatrième alinéas de l’article 263 TFUE et, d’autre part, en formulant un critère erroné, relatif à l’absence d’opposabilité directe de l’acte en cause à l’égard de WhatsApp, et en qualifiant la décision litigieuse de mesure intermédiaire dénuée d’effets juridiques autonomes.”
Sur le bien-fondé du recours de WhatsApp contre la décision du CEPD devant le Tribunal de première instance des Communautés européennes
Pour qu’il soit recevable, la Cour rappelle qu’un recours en annulation introduit par une personne non-destinataire d’un acte est subordonné à la condition que cet acte la concerne directement et individuellement au sens des dispositions de l’article 263, alinéa 4, du TFUE.
La haute juridiction ajoute que l’affectation directe suppose la réunion de deux conditions, la mesure contestée doit, d’une part, produire directement des effets sur la situation juridique du requérant et, d’autre part, ne laisser aucun pouvoir d’appréciation aux autorités.
S’agissant de la première condition
“En l’espèce, la Cour constate que, le Comité ayant décidé notamment que WhatsApp avait méconnu certaines dispositions du RGPD, la décision litigieuse modifie la situation juridique de cette entreprise, celle-ci étant en particulier amenée, en raison de l’intervention du Comité, à modifier sa relation contractuelle avec les utilisateurs du service de messagerie fourni par elle. Partant, il existe un lien direct entre cette décision et ses effets sur la situation de WhatsApp.”
S’agissant de la deuxième condition
“Dans ce contexte, la Cour rappelle que la décision litigieuse lie l’autorité de contrôle chef de file et les autorités de contrôle concernées, celles-ci ne pouvant pas s’écarter de la position retenue par le Comité dans cette décision. En effet, ladite décision tranche les questions de droit faisant l’objet de la saisine de celui-ci et lie inconditionnellement ces autorités, s’agissant en particulier du constat de violation de certaines dispositions du RGPD, de la qualification des données soumises à une compression avec perte en tant que données à caractère personnel ainsi que de l’obligation de rehausser le montant des amendes envisagées. Lesdites autorités n’ont pas la possibilité de modifier le résultat des appréciations portées, pour ce qui est de ces questions, par le Comité. ”
La Cour en déduit que WhatsApp est directement concerné par la décision litigieuse.
“Par conséquent, la Cour conclut que WhatsApp est directement concernée par la décision litigieuse. ”
Portée de l’arrêt
En jugeant que les entreprises peuvent désormais être considérées comme directement concernées par les décisions du CEPD même si celles-ci ne sont pas formellement adressées à elles, reconnaissant qu’elles peuvent introduire des recours en annulation contre ces décisions sans avoir à saisir préalablement les juridictions nationales, la haute juridiction européenne consacre ainsi un précédent judiciaire ouvrant la voie à un contrôle juridictionnel des actes du Comité, ce qui pourrait encourager davantage de recours, en particulier de la part des grands acteurs du numérique.
L’évolution du contentieux en précisera les contours.
Affaire à suivre !
Ce contenu a été mis à jour le 4 mars 2026 à 11 h 37 min.
Commentaires