Une décision du CEPD est désormais opposable au Tribunal de l'Union européenne

Dans son arrêt du 10 février 2026 WhatsApp Ireland Ltd c/ Comité européen de la protection des données (aff. C-97/23 P) ¹, la Cour de Juste de l'Union européenne (« CJUE ») déclare qu'une décision du Comité Européen à la Protection des Données (« CEPD ») est bien un acte attaquable devant le juge de l'Union.

En l'espèce, à la suite de plaintes relatives aux traitements de données opérés par WhatsApp, l'autorité irlandaise avait saisi le CEPD dans le cadre du mécanisme de règlement des différends prévu par le RGPD. Par sa décision du 28 juillet 2021, le CEPD a constaté plusieurs violations du RGPD et imposé des amendes cumulées de 225 M€.

Le Tribunal de l'Union européenne avait initialement déclaré le recours de WhatsApp irrecevable, considérant que la décision du CEPD n'était pas un acte attaquable et qu'elle constituait une simple mesure intermédiaire, seule la décision finale de l'autorité irlandaise pouvait être contestée devant les juridictions nationales.

La CJUE rejette cette analyse et annule la décision du Tribunal de l'Union européenne au motif que la décision du CEPD :

• est un acte émanant d'un organe de l'Union ;
• a un caractère contraignant à l'égard des tiers, en l'espèce les autorités de contrôle ;
• fixe définitivement la position du CEPD et épuise les questions que cet organe est appelé à trancher.

En conclusion, une telle décision ne peut pas être considérée comme une mesure intermédiaire qui ne serait pas susceptible de recours, notamment car elle modifie la situation juridique de l'entreprise sans laisser de marge d'appréciation à ses destinataires. En effet, cette décision « lie l'autorité de contrôle chef de file et toutes les autorités de contrôle concernées » qui doivent adopter leur décision finale en conformité avec cette dernière, à laquelle elles doivent faire référence.

Ainsi, le recours de WhatsApp est jugé recevable, l'ordonnance du Tribunal est annulée et l'affaire est renvoyée devant celui-ci pour l'examen au fond de l'existence des violations du RGPD.

Cet arrêt invite plus largement à s'interroger sur le poids normatif croissant du CEPD. Si ses lignes directrices constituent déjà la doctrine de référence pour l'ensemble des autorités de protection des données et des organisations soumises au RGPD, cet arrêt confirme que le CEPD dispose également du pouvoir d'adopter des décisions pleinement contraignantes à l'égard des autorités de contrôle qui sont désormais susceptibles de recours devant le Tribunal de l'UE.

Footnote

1. https://infocuria.curia.europa.eu/tabs/document/C/2023/C-0097-23-00000000PV-01-P-01/ARRET/315430-FR-1-html

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.