Skip to content
Retour
RETOUR

CJUE, 10 février 2026, C-97/23 P, WhatsApp Ireland c/ CEPD : un tournant procédural majeur en matière de RGPD 

Le 10 février 2026, la Cour de justice de l’Union européenne (« CJUE ») a jugé recevable le recours en annulation formé par WhatsApp Ireland Ltd contre la décision contraignante du Comité européen de la protection des données (« CEPD »), annulant l’ordonnance d’irrecevabilité du Tribunal de l’Union et renvoyant l’affaire devant celui-ci pour examen au fond.

Cet arrêt marque un tournant procédural majeur dans le contentieux du Règlement général sur la protection des données (« RGPD »).

Origine du litige

L’affaire trouve son origine dans une enquête de la Data Protection Commission (autorité irlandaise de contrôle) concernant le respect par WhatsApp de ses obligations de transparence et d’information au titre du RGPD.

A la suite de désaccords survenus entre les autorités de contrôle européennes, le mécanisme de règlement des litiges prévu à l’article e du RGPD a été activé.

Le CEPD a alors adopté une décision contraignante (décision 1/2021) conduisant l’autorité irlandaise à porter le montant de l’amende à 225 millions d’euros dans sa décision finale de 2021.

C’est à ce titre que WhatsApp a décidé d’attaquer directement la décision du CEPD devant le Tribunal de l’UE.

La question n’était pas encore de savoir si WhatsApp avait effectivement violé le RGPD mais si une entreprise peut contester directement une décision contraignante du CEPD devant le juge de l’Union.

Le Tribunal avait répondu par la négative, qualifiant la décision du CEPD d’acte intermédiaire, mais la CJUE censure cette analyse.

La solution de la Cour 

La décision du CEPD est bien un « acte attaquable » (article 263 TFUE)

La Cour raisonne classiquement : un acte est attaquable s’il émane d’un organe de l’UE et produit des effets juridiques contraignants vis-à-vis de tiers. Or, la décision adoptée par le CEPD :

  • est contraignante pour l’autorité chef de file et les autorités concernées
  • fixe définitivement la position du CEPD sur les points en litige
  • ne laisse aucune marge d’appréciation sur les éléments tranchés.  

Elle ne peut donc être regardée comme une simple mesure intermédiaire.

WhatsApp est directement concernée 

La Cour rappelle les deux critères de l’affectation directe :

  • Effet direct sur la situation juridique du requérant
  • Absence de marge d’appréciation des destinataires chargés de la mise en œuvre, celle-ci devant être automatiques pour des points tranchés

En l’espèce, la décision du CEPD liait inconditionnellement les autorités nationales quant au constat de violation et aux éléments correctifs à adopter, modifiant ainsi de manière caractérisée la situation juridique de WhatsApp.

Le recours est donc déclaré recevable. L’affaire est renvoyée devant le Tribunal pour examen au fond.

Conséquence immédiate 

L’entreprise peut obtenir un contrôle juridictionnel de l’acte du CEDP lui-même, sans attendre uniquement l’issue d’un recours national contre la décision finale de l’autorité chef de fil.

Ainsi, les décisions contraignantes du CEPD ne sont plus un simple passage procédural, elles peuvent, dans certaines conditions, faire l’objet d’un recours direct devant le juge de l’Union. Cette décision consacre l’autonomie juridique des décisions contraignantes du CEPD.

Cet arrêt renforce donc indirectement le rôle du CEPD comme organe décisionnel européen dont les décisions peuvent avoir un effet direct sur les entreprises, et qui peuvent désormais être soumises à un contrôle juridictionnel de l’Union.

FAQ 

Qu’est-ce que le CEPD ?

Le Comité européen de la protection des données (« CEPD ») est l’organe européen chargé de garantir l’application cohérente du RGPD au sein de l’Union européenne. Il intervient notamment pour résoudre les litiges entre autorités de contrôles nationale, (article 65 RGPD).

Qu’est-ce qu’une « décision contraignante » du CEPD ?

Une décision contraignante est une décision adoptée par le CEPD dans le cadre du mécanisme de règlement des litiges (art. 65 RGPD). Elle s’impose aux autorités nationales concernées, qui doivent s’y conformer dans leur décision finale.

Qu’est-ce qu’un acte attaquable au sens de l’article 263 du TFUE ?

Un acte attaquable est un acte émanant d’une institution ou d’un organe de l’UE qui est destiné à produire des effets juridiques obligatoires à l’égard des tiers.

Quelle est la différence entre un recours national et un recours devant la CJUE ?

Le recours national vise la décision finale adoptée par l’autorité de contrôle chef de file.
Le recours devant le juge de l’Union vise directement la décision du CEPD en tant qu’acte autonome au sens de l’article 263 TFUE.

CELEX_62023CJ0097_FR_TXT

[pc-login-form redirect= »https://www.lecoindudpo.com/dpo/ »]

[pc-logout-box redirect= » »]

CGA | Politique de confidentialité

Contactez-nous...

Ce formulaire de contact est uniquement disponible pour les comptes enregistrés.

Contactez-nous




    La gestion de vos données et vos droits par Le Coin du DPO

    Recevez nos actualités

    Abonnez-vous à notre newsletter

    Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.

    Recevez nos actualités

    Abonnez-vous à notre newsletter