Portée de l’arrêt WhatsApp Ireland/CEPD (C-97/23 P) : recours direct des entreprises dans le cadre du RGPD

Portée de l’arrêt WhatsApp Ireland/CEPD (C-97/23 P) : recours direct des entreprises dans le cadre du RGPD

Commentaires 0 Commentaire

INTRODUCTION

L’arrêt rendu le 10 février 2026 par la Cour de justice de l’Union européenne (ci-après, « CJUE ») dans l’affaire C-97/23 P1 marque une évolution décisive dans l’architecture juridictionnelle de l’Union européenne.

Pour la première fois, la CJUE précise les voies de recours dont dispose une entreprise pour contester une décision contraignante adoptée par le Comité européen de la protection des données (ci-après, « CEPD ») dans le cadre du règlement général sur la protection des données (ci-après, « RGPD »)2.

CJUE, arrêt WhatsApp Ireland/CEPD (C-97/23 P)

Après l’entrée en vigueur du RGPD et après avoir reçu de nombreuses plaintes, l’autorité de contrôle irlandaise (Data Protection Commission) a ouvert une enquête sur WhatsApp concernant ses obligations de transparence et d’information en matière de données personnelles. Faute de consensus entre autorités européennes, le Comité européen de la protection des données a adopté une décision contraignante en 2021, conduisant à une décision finale infligeant à WhatsApp une amende de 225 millions d’euros pour violation du RGPD. Contestant cette décision, WhatsApp a saisi le Tribunal de l’Union européenne.

Le Tribunal de l’Union avait jugé son recours irrecevable, considérant que la décision du CEPD n’était pas un acte « attaquable » au sens de l’article 263 du Traité sur le fonctionnement de l’Union européenne (ci-après, « TFUE »), et que WhatsApp n’était pas directement concernée.

Il convient de souligner que le RGPD a instauré un mécanisme de cohérence qui vise à garantir une application uniforme du droit de la protection des données au sein de l’Union, en conférant au CEPD un rôle central dans la résolution des désaccords entre autorités nationales.

Dans l’affaire précitée, C‑97/23 P (WhatsApp Ireland Ltd c. CEPD), la CJUE a examiné, en grande chambre, la recevabilité du recours en annulation formé par WhatsApp contre la décision contraignante 1/2021 du CEPD. En l’espèce, elle annule l’ordonnance attaquée, en affirmant que la décision du CEPD constitue un acte juridiquement contraignant produisant des effets obligatoires à l’égard des tiers (notamment l’autorité nationale « chef de file » irlandaise) et que ses conditions de recevabilité (ouverture du recours) sont remplies.

En l’occurrence, la problématique juridique vise à déterminer dans quelle mesure une décision contraignante du CEPD peut être qualifiée d’acte attaquable au sens de l’article 263 TFUE, ouvrant ainsi un recours direct aux entreprises concernées, bien qu’elles n’en soient pas les destinataires formels.

Dans cette perspective, la Cour consacre, d’une part, l’existence d’un recours direct contre les décisions du CEPD en procédant à une extension de la notion d’acte attaquable et en assouplissant la condition d’affectation directe (I). D’autre part, elle confère à cet arrêt une portée structurelle, révélant la transformation du CEPD en véritable organe décisionnel et consacrant l’émergence d’un contentieux européen autonome en matière de régulation des données (II).

I. La consécration d’un recours direct contre les décisions du CEPD

Cette consécration s’opère à travers, d’une part, une extension décisive de la notion d’acte attaquable (A) et, d’autre part, un assouplissement de la condition d’affectation directe (B).

A. Une extension décisive de la notion d’acte attaquable

Tout d’abord, la Cour rappelle que seul compte la substance de l’acte contesté : un acte est susceptible de recours en annulation dès lors qu’il produit des effets juridiques obligatoires modifiant de façon caractérisée la situation juridique d’un tiers. À l’inverse, les mesures purement préparatoires ne sont en principe pas attaquables.

En l’espèce, la décision litigieuse du CEPD, prise au terme du mécanisme de cohérence prévu par le RGPD, « fixe définitivement la position de cet organe » et lie l’autorité nationale irlandaise (qui doit s’y conformer) ainsi que les autres autorités de contrôle concernées. Bien qu’elle intervienne dans une procédure « composite » à plusieurs étapes (et précède la décision finale de l’organe national), cette décision épuisait les questions soumises au CEPD et produisait des effets contraignants « autonomes » vis-à-vis des tiers.

Partant, contrairement à ce qu’avait retenu le Tribunal, la Cour juge que l’acte du CEPD est bel et bien attaquable : le Tribunal avait commis une erreur de droit en confondant les conditions cumulatives des premier et quatrième alinéas de l’article 263 TFUE et en ajoutant un critère erroné (le fait que la décision « n’est pas opposable directement à WhatsApp »). Dans sa formulation moderne, la CJUE rappelle que : « le caractère attaquable d’un acte doit être apprécié objectivement, en fonction de la substance de celui-ci, et non en fonction de la partie requérante ». Elle confirme ainsi la doctrine IBM3/Deutsche Post4 : seules sont contestables les mesures définitives produisant des effets contraignants (en modifiant la situation du destinataire).

Cette qualification doit être comprise à la lumière de l’architecture du RGPD, qui organise une prise de décision en plusieurs niveaux, dans laquelle l’intervention du CEPD constitue une étape décisive du processus normatif.

B. L’assouplissement de la condition d’affectation directe issue de l’article 263 TFUE

La Cour précise les conditions de « l’intéressé directement concerné » au sens de l’article 263(4) du TFUE. Conformément à sa jurisprudence,5 la Cour rappelle que le requérant non destinataire doit satisfaire deux conditions cumulatives :

  • primo, l’acte attaqué doit produire directement une modification caractérisée de sa situation juridique (résultant de la substance même de l’acte) ;
  • secundo, les destinataires chargés de mettre en œuvre cet acte ne doivent disposer d’aucune marge d’appréciation permettant d’en modifier l’issue.

En l’espèce, la Cour souligne que la décision du CEPD constate qu’« WhatsApp avait méconnu certaines dispositions du RGPD », ce qui amène WhatsApp à devoir modifier son régime contractuel et ses pratiques de traitement. Il existe donc un lien direct entre la décision litigieuse et l’impact sur l’entreprise. Par ailleurs, ladite décision lie entièrement l’autorité de contrôle irlandaise (et les autres autorités concernées) sur les points essentiels (constats de violation, rehaussement des montants d’amende, etc.), sans que celles-ci puissent s’écarter du résultat fixé par le CEPD.

En conséquence, la CJUE juge, en l’espèce, que WhatsApp, bien qu’elle ne soit pas le destinataire formel de la décision du CEPD, est directement concernée par celle-ci. Le Tribunal avait donc fait une fausse application de la condition d’«opposabilité» et du caractère ultime de la mesure. La Cour annule l’ordonnance attaquée et déclare le recours recevable (et renvoie l’affaire au Tribunal pour juger le fond).

II. La portée pratique de l’arrêt C-97/23 P : vers une transformation structurelle du contentieux européen des données

Cette transformation se manifeste, d’une part, par la reconnaissance implicite du CEPD comme organe décisionnel central (A) et, d’autre part, par l’émergence d’un contentieux européen autonome du numérique (B).

A. Le recours direct contre les décisions du CEPD : la reconnaissance implicite du CEPD comme organe décisionnel central

Nous sommes en présence d’un arrêt où la CJUE se prononce, pour la première fois, sur les voies de recours ouvertes à une entreprise à l’égard d’une décision contraignante prise par le Comité européen de la protection des données en vertu du règlement général sur la protection des données.

Ce revirement pratique signifie que les entreprises peuvent dès maintenant exercer un recours direct contre les décisions contraignantes du CEPD (mécanisme de cohérence)6, sous réserve du respect des conditions strictes de recevabilité posées par l’article 263 du TFUE.

Selon une jurisprudence constante, le recours en annulation prévu à l’article 263 TFUE est ouvert aux seuls actes produisant des effets juridiques obligatoires. Si, en principe, les mesures préparatoires ne sont pas attaquables, la CJUE adopte une approche matérielle fondée sur les effets de l’acte : ainsi, dans les arrêts IBM et Deutsche Post7 précités, elle a précisé que la qualification d’un acte dépend de sa substance et de ses effets juridiques, et non de sa place dans la procédure. La Cour dépasse ainsi la logique issue de IBM relative aux actes préparatoires, en reconnaissant qu’une mesure intermédiaire peut être attaquable si elle produit des effets autonomes.

L’arrêt en l’espèce C-97/23 P s’inscrit dans cette ligne en admettant qu’une décision intermédiaire peut être attaquable dès lors qu’elle produit des effets contraignants et ne laisse aucune marge d’appréciation à ses destinataires.

En outre, l’arrêt met en lumière la véritable nature du CEPD. Initialement conçu comme un organe de coordination, il apparaît désormais comme un organe doté d’une fonction décisionnelle contraignante dans le cadre du mécanisme de cohérence.

L’un des apports les plus structurants de l’arrêt réside dans l’acceptation d’un double contentieux :

  • recours national contre la décision finale ;
  • recours européen contre la décision du CEPD.

Cette dualité, explicitement validée par la Cour, implique un renforcement du rôle du juge de l’Union, une articulation nouvelle entre juridictions nationales et européennes, mais aussi une complexification du contentieux et un allongement des procédures. Partant, elle consacre l’émergence d’un contentieux européen autonome de la régulation numérique.

Pour les acteurs privés (notamment, les entreprises du numérique), cet arrêt renforce l’accès effectif au juge de l’Union8 : à l’avenir, ils pourront contester directement devant le juge européen les décisions du CEPD qui leur sont défavorables, sans attendre la décision nationale finale.

L’arrêt contribue également à renforcer l’effectivité du RGPD, en assurant un contrôle juridictionnel direct des décisions adoptées dans le cadre du mécanisme de cohérence, élément central du système de régulation européen des données.

B. La portée jurisprudentielle de l’arrêt C-97/23 P : l’émergence d’un contentieux européen autonome du numérique

L’arrêt C-97/23 P présente un intérêt particulier en ce qu’il corrige une lecture excessivement formaliste d’une jurisprudence par laquelle le juge de l’Union avait assimilé le caractère intermédiaire de la décision du CEPD à une absence d’effets juridiques, méconnaissant ainsi l’approche fonctionnelle consacrée de longue date par la Cour. Elle précise ici qu’une décision du CEPD, même dans le cadre d’une procédure en plusieurs étapes, revêt un caractère irrévocable une fois adoptée (elle « fixe la position du Comité » et épuise les points en litige).

L’arrêt Plaumann9 constitue le fondement classique de la condition d’affectation directe dans le cadre de l’article 263 TFUE, en exigeant que l’acte produise directement des effets sur la situation juridique du requérant et ne laisse aucune marge d’appréciation à ses destinataires. Dans l’arrêt C-97/23 P, la CJUE s’inscrit dans cette logique, tout en l’adaptant aux procédures composites du RGPD, en reconnaissant que même un acte intermédiaire peut satisfaire ces critères dès lors qu’il lie totalement les autorités nationales et affecte concrètement la situation de l’entreprise concernée.

Au niveau de l’ordre juridique national, les États membres doivent tenir compte des implications de cet arrêt, compte tenu du principe de primauté10 de l’Union. Par exemple, dans le cadre des procédures nationales, le juge national saisi d’une contestation de la décision finale devra sans doute suspendre l’instance en attendant l’issue du contentieux européen (principe de coopération loyale11).

Sur le plan jurisprudentiel, l’arrêt confirme le primat de l’« Union de droit » (arrêt Les Verts, 198612) en élargissant le champ d’application des recours prévus par l’article 263 TFUE. La Cour opère une lecture matérielle de l’article 263 TFUE, dans la continuité de la jurisprudence fondatrice Les Verts, selon laquelle l’Union est une « Union de droit ». Il inscrit la protection du RGPD dans la continuité des principes du droit de l’UE : en particulier le considérant 143 du RGPD rappelle le droit pour « toute personne physique ou morale » à former un recours en annulation contre une décision du CEPD la concernant.

L’arrêt C-97/23 P constitue une étape déterminante dans l’évolution du droit de l’Union européenne. En reconnaissant la recevabilité d’un recours direct contre une décision du CEPD, la Cour consacre à la fois l’extension de la notion d’acte attaquable et la centralisation du pouvoir décisionnel en matière de protection des données.

Au-delà de son apport procédural, cette décision annonce l’émergence d’un modèle européen de régulation des technologies numériques, notamment en matière d’intelligence artificielle, fondé sur l’intervention directe d’organes de l’Union, sous le contrôle du juge européen.

Tatiana Vârlan
Juriste spécialisée en droit de l’Union européenne
Fondatrice de Europe Sui Generis – Analyses et commentaires du droit de l’UE

1CJUE, arrêt du 10 février 2026, WhatsApp Ireland Ltd c/ CEPD, aff. C-97/23 P.

2RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

3CJUE, arrêt du 11 novembre 1981, IBM c/ Commission, aff. 60/81.

4CJUE, arrêt du 13 octobre 2011, Deutsche Post c/ Commission, aff. C-463/10 P.

5CJUE, arrêt du 11 novembre 1981, IBM c/ Commission, aff. 60/81.

6Article 65 du RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

7V. en ce sens, CJUE, arrêt du 11 novembre 1981, IBM c/ Commission, aff. 60/81, selon lequel seuls les actes produisant des effets juridiques obligatoires sont susceptibles de recours, à l’exclusion des mesures préparatoires dépourvues d’effets autonomes ; CJUE, arrêt du 13 octobre 2011, Deutsche Post c/ Commission, aff. C-463/10 P, précisant que la qualification d’un acte dépend de sa substance et des effets juridiques qu’il produit, indépendamment de son insertion dans une procédure en plusieurs étapes.

8Article 47 de la Charte des droits fondamentaux de l’Union européenne.

9CJUE, arrêt du 15 juillet 1963, Plaumann c/ Commission, aff. 25/62.

10CJUE, avis 2/13 du 18 décembre 2014, Adhésion de l’Union européenne à la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, ECLI:EU:C:2014:2454, point 166.
CJUE, arrêt du 26 janvier 2013, Melloni, C‑399/11, ECLI:EU:C:2013:107, point 59.
CJUE, avis 1/09 du 8 mars 2011, ECLI:EU:C:2011:123, point 65.
CJUE, avis 1/91 du 14 décembre 1991, ECLI:EU:C:1991:490, point 21.
CJUE, arrêt du 17 décembre 1970, Internationale Handelsgesellschaft, 11-70, ECLI:EU:C:1970:114, point 3.

11Article 4, paragraphe 3, du Traité sur l’Union européenne (TUE).
CJCE, arrêt du 9 mars 1978, Amministrazione delle finanze dello Stato c/ Simmenthal SpA, aff. 106/77, ECLI:EU:C:1978:49.
CJUE, arrêt du 4 décembre 2018, Minister for Justice and Equality (Défaillances du système judiciaire), aff. C-216/18 PPU, ECLI:EU:C:2018:586.

12CJUE, arrêt du 23 avril 1986, Les Verts c/ Parlement, aff. 294/83.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.