Affaire T‑709/21

WhatsApp Ireland Ltd

contre

Comité européen de la protection des données

Ordonnance du Tribunal (quatrième chambre élargie) du 7 décembre 2022

« Recours en annulation – Protection des données à caractère personnel – Projet de décision de l’autorité de contrôle chef de file – Règlement des litiges entre autorités de contrôle par le Comité européen de la protection des données – Décision contraignante – Article 60, paragraphe 4, et article 65, paragraphe 1, sous a), du règlement (UE) 2016/679 – Acte non susceptible de recours – Acte préparatoire – Défaut d’affectation directe »

1. Recours en annulation – Actes susceptibles de recours – Actes produisant des effets juridiques obligatoires – Décision contraignante du Comité européen de la protection des données (CEPD), relative à un litige entre autorités de contrôle – Acte ne modifiant pas la situation juridique du requérant – Irrecevabilité – Respect du système des voies de recours juridictionnelles établi par le droit primaire

   (Art. 2, 6, § 1, et 19 TUE ; art. 263 et 267 TFUE ; charte des droits fondamentaux de l’Union européenne, art. 47 ; règlement du Parlement européen et du Conseil 2016/679, art. 58, § 2, 60, 63, 64, 65, 68, § 1, et 78)

   (voir points 35-39, 41, 42, 63, 64, 66-70)

2. Recours en annulation – Actes susceptibles de recours – Actes préparatoires – Exclusion – Décision contraignante du Comité européen de la protection des données (CEPD), relative à un litige entre autorités de contrôle – Acte ne produisant pas d’effets juridiques autonomes

   (Art. 263 TFUE ; règlement du Parlement européen et du Conseil 2016/679)

   (voir points 43-47)

3. Recours en annulation – Personnes physiques ou morales – Actes les concernant directement et individuellement – Décision contraignante du Comité européen de la protection des données (CEPD), relative à un litige entre autorités de contrôle – Absence d’affectation directe du requérant

   (Art. 263 TFUE ; règlement du Parlement européen et du Conseil 2016/679)

   (voir points 49, 51-53)

4. Actes des institutions – Préambule – Valeur juridique contraignante – Absence – Considérant non supporté par une autre disposition de l’acte concerné

   (Règlement du Parlement européen et du Conseil 2016/679, considérant 143)

   (voir point 71)

Résumé

Le Tribunal rejette comme irrecevable le recours de WhatsApp contre une décision du Comité européen de protection des données.

La validité de la décision du CEPD peut cependant être contestée devant le juge national, qui est en mesure de s’adresser à la Cour de justice à titre préjudiciel

Après l’entrée en vigueur du RGPD ( 1 ), la Data Protection Commission (autorité de surveillance en matière de protection des données à caractère personnel des personnes physiques, Irlande) a reçu des plaintes d’utilisateurs et de non-utilisateurs de la messagerie « WhatsApp » concernant le traitement des données à caractère personnel par WhatsApp Ireland Ltd (ci-après « WhatsApp »). Dans ce contexte, cette autorité de contrôle irlandaise, en sa qualité d’autorité de contrôle chef de file ( 2 ), a entamé d’office une enquête à caractère général sur le respect par WhatsApp des obligations de transparence et d’information à l’égard des particuliers.

À l’issue de cette enquête, dans le cadre du mécanisme de coopération, instauré par le RGPD, l’autorité de contrôle irlandaise a présenté à l’ensemble des autres autorités de contrôle des États membres concernées par le traitement de données à caractère personnel en cause un projet de décision en vue d’obtenir leur avis. Dès lors qu’un consensus sur ce projet ne se dégageait pas, l’autorité de contrôle irlandaise a saisi le Comité européen de la protection des données (CEPD) ( 3 ) comme le prévoit le RGPD. Ce dernier a adopté, le 28 juillet 2021, une décision contraignante à l’égard de l’ensemble des autorités de contrôle concernées, dans laquelle il se prononçait sur les questions ayant fait, selon lui, l’objet d’objections pertinentes et motivées de certaines de ces autorités (ci-après la « décision attaquée ») ( 4 ). Après avoir reçu cette décision, l’autorité de contrôle irlandaise a adopté, le 20 août 2021, une décision finale, par laquelle elle a notamment constaté que WhatsApp avait méconnu certaines dispositions du RGPD et lui a imposé des mesures correctives, notamment des amendes administratives d’un montant cumulé de 225 millions d’euros.

En parallèle, WhatsApp a attaqué la décision finale devant une juridiction irlandaise et demandé au Tribunal l’annulation de la décision attaquée.

Dans cette affaire, le Tribunal se prononce, pour la première fois, sur une demande d’annulation d’une décision contraignante du CEPD, adoptée sur le fondement du RGPD. Statuant en chambre élargie, il rejette comme irrecevable le recours de WhatsApp au motif qu’il n’est pas dirigé contre un acte attaquable au titre de l’article 263 TFUE et que WhatsApp n’est pas directement concernée par la décision attaquée, au sens des critères de la qualité à agir définis au même article. Il précise que la validité de la décision attaquée peut être examinée par le juge national saisi d’un recours contre la décision finale ultérieure clôturant la procédure et adoptée au niveau national.

Appréciation du Tribunal

À titre liminaire, le Tribunal rappelle que, pour qu’un acte soit attaquable par une partie requérante autre que les requérants « privilégiés » ( 5 ), cet acte doit produire des effets juridiques obligatoires de nature à affecter les intérêts de la partie requérante, en modifiant de façon caractérisée la situation juridique de celle-ci. Cette condition se chevauche, lorsque la partie requérante n’est pas destinataire d’un acte individuel qu’elle attaque, comme en l’espèce, avec la nécessité qu’elle soit directement et individuellement concernée par cet acte pour avoir qualité à agir.

À cet égard, le Tribunal considère, tout d’abord, que la décision attaquée ne modifie pas en elle-même la situation juridique de WhatsApp, car, contrairement à la décision finale de l’autorité de contrôle irlandaise, elle ne lui est pas directement opposable et constitue un acte préparatoire dans une procédure qui doit se clore par l’adoption d’une décision finale d’une autorité de contrôle nationale dont cette entreprise est destinataire.

De plus, la décision attaquée n’a, à l’égard de WhatsApp, aucun effet juridique autonome par rapport à la décision finale émanant de l’autorité de contrôle irlandaise. En effet, toutes les appréciations figurant dans la première décision sont reprises dans la seconde et la première n’a aucun effet qui serait indépendant du contenu de la seconde. Ainsi, le fait qu’un acte intermédiaire exprime la position définitive d’une autorité qui devra être reprise dans la décision finale clôturant la procédure en cause, comme en l’espèce, puisque la décision attaquée contient une analyse définitive sur certains aspects de la décision finale, ne signifie pas nécessairement que cet acte intermédiaire modifie lui-même de façon caractérisée la situation juridique de la partie requérante.

Ensuite, le Tribunal relève que WhatsApp n’est pas directement concernée par la décision attaquée. En effet, pour concerner directement une partie requérante non destinataire d’un acte, cet acte doit, premièrement, produire directement des effets juridiques sur la situation de cette partie requérante et, deuxièmement, ne laisser aucun pouvoir d’appréciation à ses destinataires chargés de sa mise en œuvre, celle-ci ayant un caractère automatique et découlant de la seule réglementation de l’Union, sans application d’autres règles intermédiaires.

S’agissant de la première de ces conditions, le Tribunal rappelle que la décision attaquée n’a pas un caractère opposable à WhatsApp qui permettrait, sans étape supplémentaire dans la procédure, d’être source d’obligations pour elle ou, le cas échéant, de droits pour d’autres particuliers. En l’occurrence, la décision attaquée n’est pas l’ultime étape de la procédure complète prévue par le RGPD.

S’agissant de la seconde de ces conditions, le Tribunal constate que la décision attaquée, même si elle liait l’autorité de contrôle irlandaise en ce qui concerne les aspects sur lesquels elle portait, lui a laissé une marge d’appréciation quant au contenu de la décision finale qui vise aussi d’autres aspects, notamment en ce qui concerne le montant des amendes administratives.

Enfin, le Tribunal souligne que l’irrecevabilité du recours porté à l’encontre de la décision attaquée devant lui par WhatsApp s’inscrit dans la logique du système des voies de recours juridictionnelles établi par les traités UE et FUE. Plus concrètement, le traité FUE, notamment en prévoyant une possibilité d’introduire un recours direct en annulation devant la Cour de justice de l’Union européenne ou de saisir cette dernière à titre préjudiciel, a établi un système complet de voies de recours destiné à assurer le contrôle de la légalité des actes de l’Union, auquel participent également les juridictions nationales. Dans ce système, des personnes ne pouvant pas, en raison des conditions de recevabilité, attaquer directement des actes de l’Union devant le juge de l’Union, ont la possibilité de faire valoir, par exception d’illégalité, l’invalidité d’un tel acte devant le juge national qui, à son tour, est en mesure de s’adresser à la Cour de justice à titre préjudiciel.

Le Tribunal précise que la logique de ce système, qui explique notamment l’interprétation des conditions de recevabilité des recours directs ( 6 ), est que l’action juridictionnelle de la Cour de justice de l’Union européenne et celle des juridictions nationales se complètent de manière efficace et que le juge de l’Union et le juge national ne soient pas conduits à se prononcer concurremment, à l’occasion de procédures parallèles, sur la validité d’un même acte de l’Union, que ce soit directement ou, en ce qui concerne le juge national s’il s’interroge sur la validité de l’acte en cause, à la suite d’une question préjudicielle.

( 1 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

( 2 ) En vertu de l’article 56, paragraphe 1, du RGPD, qui accorde notamment la compétence pour agir à l’autorité de contrôle de l’établissement principal du responsable du traitement dans le cas du traitement transfrontalier effectué par ce dernier.

( 3 ) Aux termes de l’article 68, paragraphe 3, du RGPD, le CEPD est composé du chef d’une autorité de contrôle de chaque État membre et du Contrôleur européen de la protection des données, ou de leurs représentants respectifs.

( 4 ) Décision contraignante 1/2021 du CEPD.

( 5 ) En vertu de l’article 263, deuxième alinéa, TFUE, les requérants dits « privilégiés » sont les États membres, le Parlement européen, le Conseil et la Commission européenne.

( 6 ) Énoncées à l’article 263 TFUE.