accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Une décision contraignante du CEPD concernant directement une entreprise est susceptible de recours

Jurisprudence
CJUE gde ch., 10 févr. 2026, aff. C-97/23 P, WhatsApp Ireland/CEPD
[10.02.2026]

La grande chambre de la Cour de Justice de l'UE estime que le recours d'une entreprise contre une décision contraignante du Comité européen de la protection des données est recevable dans la mesure où cette dernière la concerne directement. Elle annule l'ordonnance du Tribunal et renvoie l'affaire pour qu'il statue sur le fond.

À la suite de l'entrée en vigueur du RGPD ( PE et Cons. UE, règl. (UE) 2016/679, 27 avr. 2016 ), l'autorité de contrôle irlandaise a reçu des plaintes d'utilisateurs et de non-utilisateurs de la messagerie « WhatsApp » concernant le traitement de données à caractère personnel par cette entreprise. Elle a saisi le Comité européen de la protection des données (CEPD) afin qu'il règle le litige entre les autorités de contrôle concernées, en prenant position sur les questions ayant fait l'objet d'objections pertinentes et motivées.

Le CEPD, dans sa décision 1/2021 du 28 juillet 2021, a constaté la violation de certaines dispositions du RGPD par Whatsapp, et a imposé, notamment, des amendes pour un montant cumulé de 225 M€.

Par son ordonnance du 7 décembre 2022, le Tribunal de l'UE a rejeté le recours de Whatsapp comme étant irrecevable, au motif que la décision du CEPD n'était pas un acte attaquable et que WhatsApp n'était pas directement concernée par cette décision. Selon le Tribunal, la décision du CEPD n'était qu'une mesure intermédiaire et WhatsApp ne pouvait attaquer que la décision finale de l'autorité de contrôle irlandaise devant un juge national ( Trib. UE, ord., aff. T-709/21, 7 déc. 2022 ).

Dans son arrêt du 10 février 2026, la Cour déclare que la décision du CEPD est bien un acte attaquable devant le juge de l'Union. En effet, cette décision est un acte qui émane d'un organe de l'Union et qui présente un caractère contraignant à l'égard de tiers, à savoir, en l'espèce, l'autorité de contrôle irlandaise et toutes les autres autorités de contrôle concernées. En outre, ladite décision fixe définitivement la position de cet organe et épuise toutes les questions dont il a été saisi. Par conséquent, une telle décision ne peut pas être considérée comme une mesure intermédiaire qui ne serait pas susceptible de recours.

En outre, la Cour constate que WhatsApp était directement concernée par cette même décision, car celle-ci a modifié de façon caractérisée la situation juridique de cette entreprise, sans laisser de marge d'appréciation à ses destinataires. En effet, cette décision lie inconditionnellement les autorités de contrôle concernées, notamment quant au constat de violation de certaines dispositions du RGPD, et ces autorités ne peuvent pas en modifier le résultat.

Le recours de WhatsApp est donc déclaré recevable et l'ordonnance du Tribunal est annulée. La Cour renvoie l'affaire au Tribunal afin qu'il statue sur le fond de l'affaire, notamment sur le point de savoir si WhatsApp a violé les dispositions concernées du RGPD.