ORDONNANCE DU TRIBUNAL (quatrième chambre élargie)
7 décembre 2022 ( *1 )
« Recours en annulation – Protection des données à caractère personnel – Projet de décision de l’autorité de contrôle chef de file – Règlement des litiges entre autorités de contrôle par le Comité européen de la protection des données – Décision contraignante – Article 60, paragraphe 4, et article 65, paragraphe 1, sous a), du règlement (UE) 2016/679 – Acte non susceptible de recours – Acte préparatoire – Défaut d’affectation directe »
Dans l’affaire T‑709/21,
WhatsApp Ireland Ltd, établie à Dublin (Irlande), représentée par Mes H.-G. Kamann, F. Louis, A. Vallery, avocats, MM. P. Nolan, B. Johnston, C. Monaghan, solicitors, MM. P. Sreenan, D. McGrath, SC, Mmes C. Geoghegan et E. Egan McGrath, barristers,
partie requérante,
contre
Comité européen de la protection des données, représenté par Mme I. Vereecken et M. G. Le Grand, en qualité d’agents, assistés de Mes G. Ryelandt, E. de Lophem et P. Vernet, avocats,
partie défenderesse,
LE TRIBUNAL (quatrième chambre élargie),
composé, lors des délibérations, de MM. S. Gervasoni, président, L. Madise (rapporteur), P. Nihoul, Mme R. Frendo et M. J. Martín y Pérez de Nanclares, juges,
greffier : M. E. Coulon,
vu la phase écrite de la procédure, à savoir :
–la requête déposée au greffe du Tribunal le 1er novembre 2021,
–le mémoire en défense déposé au greffe du Tribunal le 1er février 2022,
–la réplique déposée au greffe du Tribunal le 9 mai 2022,
–la duplique déposée au greffe du Tribunal le 18 juillet 2022,
–la mesure d’organisation de la procédure par laquelle le Tribunal a invité les parties à ne pas négliger, dans la réplique et la duplique, de prendre position sur l’ensemble des questions importantes concernant la compétence du Tribunal et la recevabilité du recours,
rend la présente
Ordonnance
1 Par son recours fondé sur l’article 263 TFUE, la requérante, WhatsApp Ireland Ltd (ci-après « WhatsApp »), demande l’annulation de la décision contraignante 1/2021 du Comité européen de la protection des données (ci-après le « CEPD »), du 28 juillet 2021, relative au litige entre les autorités de contrôle concernées né du projet de décision concernant WhatsApp élaboré par la Data Protection Commission (autorité de surveillance en matière de protection des données à caractère personnel des
personnes physiques, Irlande, ci-après l’« autorité de contrôle irlandaise ») (ci-après la « décision attaquée »).
Faits antérieurs et postérieurs à la décision attaquée et procédure
2 À la suite de l’entrée en vigueur du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1), l’autorité de contrôle irlandaise a reçu des plaintes d’utilisateurs et de non-utilisateurs de la messagerie « WhatsApp »
concernant le traitement des données à caractère personnel par WhatsApp. L’autorité de contrôle fédérale allemande a par ailleurs demandé l’assistance de l’autorité de contrôle irlandaise à propos du respect par WhatsApp des obligations de transparence pesant sur les responsables de traitement de données à caractère personnel en ce qui concerne un éventuel partage de telles données avec d’autres entités du groupe Facebook (renommé en septembre 2021 Meta).
3 L’autorité de contrôle irlandaise a entamé d’office en décembre 2018 une enquête à caractère général sur le respect par WhatsApp des obligations de transparence et d’information à l’égard des particuliers (par opposition aux entreprises) énoncées aux articles 12, 13 et 14 du règlement 2016/679, sans préjudice des suites qu’elle pourrait donner aux saisines individuelles dont elle avait fait l’objet. L’autorité de contrôle irlandaise a agi à cet égard en tant qu’« autorité de contrôle chef de
file », ainsi que cela est prévu à l’article 56, paragraphe 1, du règlement 2016/679, dès lors que WhatsApp avait en Irlande son principal établissement en tant que responsable du traitement pour les opérations de la messagerie « WhatsApp » en Europe, ce traitement ayant un caractère transfrontalier.
4 Après que la phase d’enquête a été achevée en septembre 2019 par la présentation d’un rapport final de l’enquêteur, la personne décisionnaire de l’autorité de contrôle irlandaise a, à l’issue de phases procédurales intermédiaires au cours desquelles WhatsApp a fait part de ses observations, présenté en décembre 2020 à l’ensemble des autres autorités de contrôle concernées par l’affaire, à savoir à l’ensemble des autres autorités de contrôle des États membres, un projet de décision en vue d’obtenir
leur avis à son propos, conformément à ce qui est prévu à l’article 60, paragraphe 3, du règlement 2016/679.
5 En janvier 2021, huit de ces autorités de contrôle, les autorités de contrôle fédérale allemande, du Bade-Wurtemberg, hongroise, néerlandaise, polonaise, française, italienne et portugaise ont exprimé des objections sur certains aspects de ce projet de décision. De simples commentaires ont, en outre, été faits par différentes autorités de contrôle. L’autorité de contrôle irlandaise a répondu de manière groupée aux autres autorités de contrôle concernées en proposant des solutions de compromis. Si,
à la suite de cette réponse, une de ces autorités a retiré une de ses objections, l’autorité de contrôle irlandaise a constaté qu’un consensus ne se dégageait pas entre les autorités de contrôle concernées sur ses propositions concernant les autres aspects ayant fait l’objet d’objections et elle a décidé de rejeter toutes ces objections afin d’en saisir le CEPD pour qu’il règle le litige entre les autorités de contrôle concernées sur ces aspects, conformément aux dispositions de l’article 60,
paragraphe 4, et de l’article 65, paragraphe 1, sous a), du règlement 2016/679.
6 En mai 2021, l’autorité de contrôle irlandaise a recueilli par écrit les observations de WhatsApp sur les éléments débattus entre les autorités de contrôle concernées, après lui avoir transmis toutes les pièces échangées à cet égard, et a elle-même transmis au CEPD lesdites observations pour qu’il en prenne connaissance dans le cadre de la procédure de règlement des litiges, qui a été lancée par elle en juin 2021.
7 Le CEPD qui, aux termes de l’article 68, paragraphe 3, du règlement 2016/679, est composé « du chef d’une autorité de contrôle de chaque État membre et du Contrôleur européen de la protection des données, ou de leurs représentants respectifs », a adopté le 28 juillet 2021 la décision attaquée à la majorité des deux tiers, selon ce qui est prévu à l’article 65, paragraphe 2, du règlement 2016/679. La décision attaquée est une décision adressée à l’autorité de contrôle chef de file et à toutes les
autorités de contrôle concernées, contraignante à leur égard, ainsi que cela est prévu par la même disposition, et elle concerne toutes les questions ayant fait l’objet d’objections pertinentes et motivées, comme en dispose l’article 65, paragraphe 1, sous a), du règlement 2016/679. À cet égard, dans la décision attaquée, le CEPD a, pour chaque objection exprimée par une autorité de contrôle concernée, d’abord examiné si elle était pertinente et motivée. Il n’a pris position sur une objection
qu’en cas de réponse affirmative à cette question préalable.
8 Après que l’autorité de contrôle irlandaise a reçu la décision attaquée et qu’elle a recueilli de WhatsApp ses observations sur les sanctions pécuniaires qu’il était en définitive envisagé de lui infliger à la lumière de la décision attaquée, la personne décisionnaire de cette autorité a adopté, le 20 août 2021, conformément à l’article 65, paragraphe 6, du règlement 2016/679, une décision finale, adressée à WhatsApp (ci-après la « décision finale »). Dans la décision finale, il est estimé que
WhatsApp a méconnu le principe et les obligations de transparence énoncés à l’article 5, paragraphe 1, sous a), à l’article 12, paragraphe 1, à l’article 13, paragraphe 1, sous c), d), e) et f), à l’article 13, paragraphe 2, sous a), c) et e), et à l’article 14 du règlement 2016/679. Il y est, en revanche, indiqué que WhatsApp s’est conformé aux obligations énoncées à l’article 13, paragraphe 1, sous a) et b), et à l’article 13, paragraphe 2, sous b) et d), du règlement 2016/679. À titre de
mesures correctives adoptées sur le fondement de l’article 58, paragraphe 2, sous b), d) et i), du règlement 2016/679, il est imposé dans la décision finale à WhatsApp un rappel à l’ordre, la mise en œuvre d’un certain nombre d’actions, énumérées dans une annexe, visant à se mettre dans un délai de trois mois en conformité avec les dispositions du règlement 2016/679 qui ont été méconnues, ainsi que quatre amendes administratives relatives aux infractions constatées à l’article 5, paragraphe 1,
sous a), et aux articles 12, 13 et 14 du règlement 2016/679, d’un montant cumulé de 225 millions d’euros.
9 Dans la décision finale, la personne décisionnaire de l’autorité de contrôle irlandaise a identifié les aspects pour lesquels la décision attaquée lui imposait de revoir l’appréciation exposée dans le projet de décision évoqué au point 4 ci-dessus. Elle a fait le choix, sur ces aspects, de reproduire tels quels, dans des encadrés en grisé, les motifs retenus par le CEPD dans la décision attaquée et d’en tirer simplement les conséquences à chaque fois dans un point conclusif. Elle a précisé que,
dans la décision finale, d’une part, elle ne se référait pas aux objections que le CEPD avait jugées non pertinentes ou non motivées, et dont il n’avait par conséquent pas apprécié le bien-fondé, ni aux objections que le CEPD avait jugées comme ne requérant pas une modification de l’appréciation figurant dans le projet de décision et, d’autre part, qu’elle ne prenait pas position sur ces objections.
10 Conformément à l’article 65, paragraphe 6, du règlement 2016/679, la décision attaquée a été jointe à la décision finale de l’autorité de contrôle irlandaise.
11 À cet égard, il apparaît que, dans la décision attaquée, le CEPD a successivement pris position sur les seuls aspects qui suivent, ayant fait selon lui l’objet d’objections pertinentes et motivées :
– sur l’existence d’une méconnaissance par WhatsApp des obligations d’information énoncées à l’article 13, paragraphe 1, sous d), du règlement 2016/679, relatif à certaines informations à fournir aux personnes concernées lorsque des données personnelles ont été collectées auprès d’elles. Une telle méconnaissance n’avait pas été identifiée par l’autorité de contrôle irlandaise dans son projet de décision. Le CEPD a estimé, au contraire, que cette disposition avait été méconnue par WhatsApp ;
– sur la qualification de données à caractère personnel des éléments issus d’une procédure appelée « Lossy Hashing Procedure », appliquée aux données concernant les « contacts » non utilisateurs de WhatsApp figurant dans les carnets d’adresse des terminaux des utilisateurs de WhatsApp. L’autorité de contrôle irlandaise n’avait pas qualifié ces éléments comme tels dans son projet de décision. Le CEPD a estimé, au contraire, qu’ils constituaient toujours des données à caractère personnel. Cet
aspect avait, d’après la décision attaquée, un possible impact sur l’éventuel constat d’une méconnaissance par WhatsApp de l’article 5, paragraphe 1, sous c), et de l’article 6, paragraphe 1, du règlement 2016/679, et un impact sur l’étendue de la méconnaissance par WhatsApp de l’article 14 du règlement 2016/679 ainsi que sur le niveau de la sanction pécuniaire encourue à ces titres ;
– sur l’existence d’une méconnaissance par WhatsApp du principe de transparence énoncé à l’article 5, paragraphe 1, sous a), du règlement 2016/679, que l’autorité de contrôle irlandaise n’avait pas identifiée dans son projet de décision. Le CEPD a estimé, au contraire, que ce principe avait été méconnu par WhatsApp ;
– sur le constat d’une infraction de WhatsApp à l’article 13, paragraphe 2, sous e), du règlement 2016/679, relatif à certaines informations à fournir aux personnes concernées lorsque des données personnelles ont été collectées auprès d’elles, que l’autorité de contrôle irlandaise n’avait pas estimé être en mesure de faire, car l’enquêteur n’avait pas pris position sur la question pendant l’enquête, et pour laquelle elle avait estimé uniquement pouvoir émettre une recommandation. Le CEPD a
estimé, au contraire, que l’enquête couvrait l’ensemble des dispositions de l’article 13 du règlement 2016/679 et qu’une infraction à la disposition précitée devait être constatée ;
– sur l’existence d’une infraction de WhatsApp à l’article 6, paragraphe 1, du règlement 2016/679, relatif aux conditions de licéité d’un traitement de données à caractère personnel, sur laquelle l’autorité de contrôle irlandaise ne s’était pas prononcée. Le CEPD a estimé que, pour des raisons procédurales, il n’était, en effet, pas possible de se prononcer et de constater une telle infraction ;
– sur l’élargissement des motifs de la méconnaissance par WhatsApp des obligations d’information énoncées à l’article 14 du règlement 2016/679, relatif aux informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, en raison de l’analyse relative au deuxième tiret ci-dessus. Le CEPD a confirmé l’impact que devait avoir cet élargissement sur les mesures correctives comportementales et la sanction imposées à WhatsApp ;
– sur l’existence d’une méconnaissance par WhatsApp du principe énoncé à l’article 5, paragraphe 1, sous c), du règlement 2016/679, de ne collecter que les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités de leur traitement, sur laquelle l’autorité de contrôle irlandaise ne s’était pas prononcée. Le CEPD a estimé qu’une telle méconnaissance n’était pas démontrée sur la base du dossier, en particulier compte tenu du champ d’investigation retenu pour la
procédure à l’égard de WhatsApp ;
– sur le délai, fixé à six mois par l’autorité de contrôle irlandaise, dans lequel, au titre des mesures correctives, WhatsApp devait se mettre en conformité avec les exigences qu’elle avait méconnues du règlement 2016/679. Le CEPD a réduit ce délai à trois mois ;
– au titre des mesures correctives, sur les modalités d’information des non-utilisateurs de WhatsApp concernant le traitement de leurs données personnelles par WhatsApp, le CEPD confirmant l’appréciation formulée par l’autorité de contrôle irlandaise à cet égard dans son projet de décision ;
– au titre des mesures correctives, sur la mention des motifs supplémentaires de la méconnaissance par WhatsApp des obligations énoncées à l’article 14 du règlement 2016/679 (voir le deuxième tiret ci-dessus), le CEPD exposant que cette mention était nécessaire pour garantir que WhatsApp adopte les mesures correctives adéquates à cet égard ;
– au regard de l’article 83 du règlement 2016/679, relatif aux « conditions générales pour imposer des amendes administratives », sur les critères du quantum des amendes à infliger à WhatsApp. Le CEPD a estimé que l’autorité de contrôle irlandaise avait mal interprété le critère lié au chiffre d’affaires annuel mondial de l’entreprise concernée, qu’elle avait bien interprété la notion d’« exercice précédent », qu’elle avait mal interprété la règle selon laquelle, si plusieurs dispositions du
règlement 2016/679 sont violées dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave, qu’elle avait bien interprété certains critères de détermination de l’amende mentionnés à l’article 83, paragraphes 1 et 2, du règlement 2016/679 (caractère intentionnel ou négligent des manquements, gravité de ceux-ci), mais mal interprété d’autres de ces critères
(prise en compte du chiffre d’affaires pour quantifier la sanction indépendamment du calcul de son plafond et, plus globalement, nécessité que la sanction soit effective, proportionnée et dissuasive) ;
– sur le niveau des amendes, le CEPD estimant que, au regard des erreurs d’interprétation de certains critères du quantum de l’amende faites par l’autorité de contrôle irlandaise (voir le onzième tiret ci-dessus) et des manquements supplémentaires de WhatsApp à constater (voir les premier, troisième, quatrième et sixième tirets ci-dessus), les montants des amendes envisagés par l’autorité de contrôle irlandaise à un niveau total compris entre 30 et 50 millions d’euros devaient être augmentés.
12 WhatsApp a, parallèlement, attaqué la décision finale devant une juridiction irlandaise et demandé au Tribunal l’annulation de la décision attaquée.
13 Dans le cadre de la présente procédure, la Computer & Communication Industry Association a demandé à intervenir au soutien de la requérante, tandis que la République de Finlande, la Commission européenne et le Contrôleur européen de la protection des données ont demandé à intervenir au soutien du CEPD. Dans la perspective de leurs interventions, les parties principales ont demandé que des éléments du dossier ne soient pas communiqués à certaines parties intervenantes, en raison de leur caractère
confidentiel. À ce stade, il n’a pas été statué sur ces demandes.
14 La mesure d’organisation de la procédure adoptée à la suite du dépôt du mémoire en défense, invitant les parties principales à ne pas négliger, dans la réplique et la duplique, de prendre position sur l’ensemble des questions importantes concernant la compétence du Tribunal et la recevabilité du recours, mentionnait à ce propos la qualification d’acte d’un organe de l’Union européenne de la décision attaquée, la qualification d’acte attaquable de la décision attaquée, la qualité à agir de la
requérante et son intérêt à agir.
Conclusions des parties
15 WhatsApp conclut à l’annulation totale de la décision attaquée ou, à titre subsidiaire, à celle de ses parties pertinentes ainsi qu’à la condamnation du CEPD aux dépens.
16 Le CEPD conclut au rejet du recours comme irrecevable et, à titre subsidiaire, à ce qu’il soit rejeté comme non fondé et, à titre encore plus subsidiaire, à ce que l’annulation de la décision attaquée soit limitée à ses parties pertinentes. Le CEPD demande également la condamnation de la requérante aux dépens.
En droit
17 En vertu de l’article 129 du règlement de procédure du Tribunal, sur proposition du juge rapporteur, le Tribunal peut, à tout moment, d’office, les parties principales entendues, décider de statuer par voie d’ordonnance motivée sur les fins de non-recevoir d’ordre public.
18 Dans la présente affaire, le Tribunal s’estime suffisamment éclairé par les pièces du dossier et décide, en application de cet article, de statuer sur la recevabilité du recours sans poursuivre la procédure.
19 En effet, la vérification de la compétence du Tribunal et celle de la qualité à agir d’une partie requérante sont des questions d’ordre public, comme la vérification d’autres éléments liés à la recevabilité d’un recours, et, en l’espèce, les parties principales ont été mises en mesure de développer leurs observations à cet égard à la suite de la mesure d’organisation de la procédure évoquée au point 14 ci-dessus, après que le CEPD a d’ailleurs lui-même soulevé dans le mémoire en défense
l’irrecevabilité du recours.
20 En l’espèce, il convient, à titre liminaire, de rappeler le cadre juridique institutionnel dans lequel s’inscrit la décision attaquée.
Le cadre juridique institutionnel
21 Le chapitre VI du règlement 2016/679 s’intitule « Autorités de contrôle indépendantes ». En son sein, l’article 51 dispose que chaque État membre « prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement », que chacune de ces autorités « contribue à l’application cohérente du présent règlement dans l’ensemble de l’Union » et que, à cette fin, « les autorités de contrôle coopèrent entre elles et avec la Commission conformément au
chapitre VII ».
22 L’article 55 prévoit que chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au règlement 2016/679 sur le territoire de l’État membre dont elle relève et l’article 56 indique que, sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le
traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l’article 60. Comme cela est indiqué au point 3 ci-dessus, dans la présente affaire, l’autorité de contrôle irlandaise a agi à l’égard de WhatsApp en tant qu’autorité chef de file.
23 L’article 58, paragraphe 2, du règlement 2016/679 dispose que chaque autorité de contrôle a le pouvoir d’adopter des mesures correctives à l’égard d’un responsable du traitement ou d’un sous-traitant et notamment, en ses points b), d) et i), de les rappeler à l’ordre lorsque les opérations de traitement ont entraîné une violation des dispositions du règlement 2016/679, de leur ordonner de mettre leurs opérations de traitement en conformité avec les dispositions du règlement 2016/679, le cas
échéant, de manière spécifique et dans un délai déterminé, et de leur imposer une amende administrative.
24 Le chapitre VII du règlement 2016/679, qui suit les dispositions précitées aux points 21 à 23 ci-dessus, s’intitule « Coopération et cohérence ».
25 Dans la section « Coopération » de ce chapitre, l’article 60, lui-même intitulé « Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées », prévoit notamment :
« 1. L’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s’efforçant de parvenir à un consensus. L’autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.
[…]
3. L’autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et tient dûment compte de leur point de vue.
4. Lorsqu’une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection pertinente et motivée à l’égard du projet de décision, l’autorité de contrôle chef de file, si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que cette objection n’est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l’article 63.
5. Lorsque l’autorité de contrôle chef de file entend suivre l’objection pertinente et motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d’obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines.
6. Lorsqu’aucune des autres autorités de contrôle concernées n’a formulé d’objection à l’égard du projet de décision soumis par l’autorité de contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l’autorité de contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui.
7. L’autorité de contrôle chef de file adopte la décision, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L’autorité de contrôle auprès de laquelle une réclamation a été introduite informe de la décision l’auteur de la réclamation.
[…]
10. Après avoir été informé de la décision de l’autorité de contrôle chef de file […] le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de cette décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l’Union. Le responsable du traitement ou le sous-traitant notifie les mesures prises pour assurer le respect de la décision à l’autorité de contrôle chef de file, qui informe les autres
autorités de contrôle concernées. »
26 Dans la section « Cohérence » du même chapitre VII du règlement 2016/679, l’article 63, intitulé « Mécanisme de contrôle de la cohérence », prévoit :
« Afin de contribuer à l’application cohérente du présent règlement dans l’ensemble de l’Union, les autorités de contrôle coopèrent entre elles et, le cas échéant, avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente section. »
27 Le CEPD intervient dans ledit mécanisme. Le statut du CEPD est fixé dans la troisième et dernière section du chapitre VII du règlement 2016/679, intitulée « Comité européen de la protection des données ».
28 Dans cette section, l’article 68 indique :
« 1. Le comité européen de la protection des données (ci-après dénommé “comité”) est institué en tant qu’organe de l’Union et possède la personnalité juridique.
[…]
3. Le comité se compose du chef d’une autorité de contrôle de chaque État membre et du Contrôleur européen de la protection des données, ou de leurs représentants respectifs.
[…] »
29 Dans la même section, l’article 70, intitulé « Missions du comité », prévoit :
« 1. Le comité veille à l’application cohérente du présent règlement. À cet effet, le comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, a notamment pour missions :
a) de surveiller et garantir la bonne application du présent règlement dans les cas prévus aux articles 64 et 65, sans préjudice des missions des autorités de contrôle nationales ;
[…] »
30 Le même article 70 énumère par ailleurs en détail les autres missions du CEPD, qui sont pour l’essentiel des missions de conseil qu’il doit exercer au moyen d’avis, de lignes directrices, de recommandations et de recommandations de « bonnes pratiques ».
31 Dans la section « Cohérence », évoquée au point 26 ci-dessus, après l’article 64 qui énumère les cas dans lesquels le CEPD rend un avis, l’article 65, intitulé « Règlement des litiges par le comité », dispose notamment :
« 1. En vue d’assurer l’application correcte et cohérente du présent règlement dans les cas d’espèce, le comité adopte une décision contraignante dans les cas suivants :
a) lorsque, dans le cas visé à l’article 60, paragraphe 4, une autorité de contrôle concernée a formulé une objection pertinente et motivée à l’égard d’un projet de décision de l’autorité de contrôle chef de file et que l’autorité de contrôle chef de file n’a pas donné suite à l’objection ou a rejeté cette objection au motif qu’elle n’est pas pertinente ou motivée. La décision contraignante concerne toutes les questions qui font l’objet de l’objection pertinente et motivée, notamment celle de
savoir s’il y a violation du présent règlement ;
[…]
2. La décision visée au paragraphe 1 est adoptée à la majorité des deux tiers des membres du comité […] La décision visée au paragraphe 1 est motivée et est adressée à l’autorité de contrôle chef de file et à toutes les autorités de contrôle concernées et est contraignante à leur égard.
[…]
5. Le président du comité notifie, dans les meilleurs délais, la décision visée au paragraphe 1 aux autorités de contrôle concernées. Il en informe la Commission. La décision est publiée sur le site internet du comité sans tarder après que l’autorité de contrôle a notifié la décision finale visée au paragraphe 6.
6. L’autorité de contrôle chef de file ou, selon le cas, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte sa décision finale sur la base de la décision visée au paragraphe 1 du présent article, dans les meilleurs délais et au plus tard un mois après que le comité a notifié sa décision […] La décision finale fait référence à la décision visée au paragraphe 1 du présent article et précise que celle-ci sera publiée sur le site internet du comité conformément au
paragraphe 5 du présent article. La décision visée au paragraphe 1 du présent article est jointe à la décision finale. »
32 Le chapitre VIII du règlement 2016/679, intitulé « Voies de recours, responsabilité et sanctions », aborde le « droit à un recours juridictionnel effectif contre une autorité de contrôle » à l’article 78 et le « droit à un recours juridictionnel effectif contre un responsable de traitement ou un sous-traitant » à l’article 79. Il ne comporte aucune disposition concernant d’éventuelles voies de recours contre les décisions contraignantes du CEPD adoptées sur le fondement de l’article 65,
paragraphe 1, précité. L’article 78, paragraphe 4, indique cependant que « [d]ans le cas d’une action intentée contre une décision d’une autorité de contrôle qui a été précédée […] d’une décision du comité dans le cadre du mécanisme de contrôle de la cohérence, l’autorité de contrôle transmet […] la décision en question à la juridiction concernée. »
33 Dans les motifs du règlement 2016/679, le considérant 143 indique :
« Toute personne physique ou morale a le droit de former un recours en annulation des décisions du comité devant la Cour de justice dans les conditions prévues à [l’article 263 TFUE]. Dès lors qu’elles reçoivent de telles décisions, les autorités de contrôle concernées qui souhaitent les contester doivent le faire dans un délai de deux mois à compter de la notification qui leur en a été faite, conformément à [l’article 263 TFUE]. Lorsque des décisions du comité concernent directement et
individuellement un responsable du traitement, un sous-traitant ou l’auteur de la réclamation, ces derniers peuvent former un recours en annulation de ces décisions dans un délai de deux mois à compter de leur publication sur le site internet du comité, conformément à [l’article 263 TFUE]. Sans préjudice de ce droit prévu à [l’article 263 TFUE], toute personne physique ou morale devrait disposer d’un recours juridictionnel effectif, devant la juridiction nationale compétente, contre une décision
d’une autorité de contrôle qui produit des effets juridiques à son égard. Une telle décision concerne en particulier l’exercice, par l’autorité de contrôle, de pouvoirs d’enquête, d’adoption de mesures correctrices et d’autorisation ou le refus ou le rejet de réclamations. Toutefois, ce droit à un recours juridictionnel effectif ne couvre pas des mesures prises par les autorités de contrôle qui ne sont pas juridiquement contraignantes, telles que les avis émis ou les conseils fournis par une
autorité de contrôle. Les actions contre une autorité de contrôle devraient être portées devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie et être menées conformément au droit procédural de cet État membre. Ces juridictions devraient disposer d’une pleine compétence, et notamment de celle d’examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies.
Lorsqu’une réclamation a été rejetée ou refusée par une autorité de contrôle, l’auteur de la réclamation peut intenter une action devant les juridictions de ce même État membre. Dans le cadre des recours juridictionnels relatifs à l’application du présent règlement, les juridictions nationales qui estiment qu’une décision sur la question est nécessaire pour leur permettre de rendre leur jugement peuvent ou, dans le cas prévu à [l’article 267 TFUE], doivent demander à la Cour de justice de statuer
à titre préjudiciel sur l’interprétation du droit de l’Union, y compris le présent règlement. En outre, lorsqu’une décision d’une autorité de contrôle mettant en œuvre une décision du comité est contestée devant une juridiction nationale et que la validité de la décision du comité est en cause, ladite juridiction nationale n’est pas habilitée à invalider la décision du comité et doit, dans tous les cas où elle considère qu’une décision est invalide, soumettre la question de la validité à la Cour
de justice, conformément à [l’article 267 TFUE] tel qu’il a été interprété par la Cour de justice. Toutefois, une juridiction nationale peut ne pas soumettre une question relative à la validité d’une décision du comité à la demande d’une personne physique ou morale qui a eu la possibilité de former un recours en annulation de cette décision, en particulier si elle était concernée directement et individuellement par ladite décision, et ne l’a pas fait dans le délai prévu à [l’article 263 TFUE]. »
Sur la recevabilité du recours
34 L’article 263 TFUE, dont les premier, deuxième, quatrième et cinquième alinéas sont reproduits ci-après, stipule :
« La Cour de justice de l’Union européenne contrôle la légalité des actes législatifs, des actes du Conseil, de la Commission et de la Banque centrale européenne, autres que les recommandations et les avis, et des actes du Parlement européen et du Conseil européen destinés à produire des effets juridiques à l’égard des tiers. Elle contrôle aussi la légalité des actes des organes ou organismes de l’Union destinés à produire des effets juridiques à l’égard des tiers.
À cet effet, la Cour est compétente pour se prononcer sur les recours pour incompétence, violation des formes substantielles, violation des traités ou de toute règle de droit relative à leur application, ou détournement de pouvoir, formés par un État membre, le Parlement européen, le Conseil ou la Commission.
[…]
Toute personne physique ou morale peut former, dans les conditions prévues aux premier et deuxième alinéas, un recours contre les actes dont elle est le destinataire ou qui la concernent directement et individuellement, ainsi que contre les actes réglementaires qui la concernent directement et qui ne comportent pas de mesures d’exécution.
Les actes créant les organes et organismes de l’Union peuvent prévoir des conditions et modalités particulières concernant les recours formés par des personnes physiques ou morales contre des actes de ces organes ou organismes destinés à produire des effets juridiques à leur égard.
[…] »
35 Il ressort de l’article 263 TFUE, premier alinéa, que le juge de l’Union est compétent pour contrôler la légalité d’un acte d’un organe de l’Union destiné à produire des effets juridiques à l’égard des tiers. Il ressort de plus du même article, quatrième alinéa, que, pour être recevable à introduire un recours contre un acte individuel d’un organe de l’Union dont elle n’est pas destinataire, une personne morale doit en principe être directement et individuellement concernée par celui-ci. En
l’occurrence, comme cela est exposé au point 32 ci-dessus, aucune disposition correspondant à la prévision de l’article 263 TFUE, cinquième alinéa, ne figure dans le règlement 2016/679, si bien que, en l’espèce, WhatsApp est effectivement soumise aux conditions prévues au quatrième alinéa de cet article d’être directement et individuellement concernée par la décision attaquée pour que son recours à l’encontre de cette décision puisse être recevable.
36 Tout d’abord, il doit être constaté que la décision attaquée, adoptée par le CEPD, est bien un acte d’un organe de l’Union. Certes, le dispositif institutionnel prévu par le règlement 2016/679, exposé aux points 21 à 31 ci-dessus, notamment la compétence exclusive des autorités de contrôle nationales pour adopter des mesures correctives à l’égard des responsables de traitement et des sous-traitants ainsi que les mécanismes de coopération et de cohérence entre ces autorités, y compris au sein du
CEPD qui pour l’essentiel regroupe de telles autorités, pourrait laisser penser que ce dernier n’est qu’une instance de coordination entre autorités nationales. Toutefois, aux termes de l’article 68, paragraphe 1, du règlement 2016/679, le CEPD a été institué en tant qu’organe de l’Union et il possède la personnalité juridique. Il est de plus habilité, en cette qualité, à adopter sur le fondement des articles 64 et 65 du règlement 2016/679, des avis et, dans le cadre du règlement de litiges entre
autorités de contrôle nationales, des décisions telles que la décision attaquée, contraignantes à l’égard des autorités de contrôle concernées, ces avis et ces décisions étant donc des actes d’un organe de l’Union.
37 Ensuite, il doit être constaté que la décision attaquée est destinée à produire des effets juridiques à l’égard des tiers, puisqu’elle est une « décision contraignante » à l’égard des autorités de contrôle concernées, adoptée sur le fondement de l’article 65 du règlement 2016/679.
38 Néanmoins, lorsqu’une partie requérante n’est pas l’un des requérants, dits « privilégiés », nommément mentionnés à titre individuel à l’article 263 TFUE, deuxième alinéa, il est jugé de façon constante que, pour constituer un acte attaquable par cette partie requérante, cet acte doit produire des effets juridiques obligatoires de nature à affecter les intérêts de la partie requérante, en modifiant de façon caractérisée la situation juridique de celle-ci (arrêt du 11 novembre 1981,
IBM/Commission, 60/81, EU:C:1981:264, point 9 ; voir, également, arrêt du 18 novembre 2010, NDSHT/Commission, C‑322/09 P, EU:C:2010:701, point 45 et jurisprudence citée).
39 La Cour a également jugé que, lorsqu’une telle partie requérante n’est pas destinataire de l’acte qu’elle attaque, la condition selon laquelle l’acte doit modifier de façon caractérisée la situation juridique de la partie requérante se chevauche avec les conditions posées à l’article 263, quatrième alinéa, TFUE, c’est-à-dire, quand l’acte attaqué n’est pas un acte réglementaire ne comportant pas de mesures d’exécution, avec la nécessité que le requérant soit directement et individuellement
concerné par cet acte (voir, en ce sens, arrêt du 13 octobre 2011, Deutsche Post et Allemagne/Commission, C‑463/10 P et C‑475/10 P, EU:C:2011:656, point 38).
40 En l’occurrence, il peut d’emblée être observé, au regard de la nature de l’acte attaqué qui est un acte individuel, que WhatsApp est individuellement concernée par la décision attaquée, puisque celle-ci porte sur certains aspects d’un projet de décision finale de l’autorité de contrôle irlandaise la concernant spécifiquement. Contrairement à ce qu’avance le CEPD dans la duplique, la décision attaquée n’est pas limitée à l’énoncé de principes ou à l’interprétation de certaines dispositions du
règlement 2016/679 qui pourraient concerner n’importe quel responsable de traitement. Dans la décision attaquée, ainsi que cela est exposé au point 11 ci-dessus, le CEPD se prononce sur le respect par WhatsApp de certaines de ses obligations au regard du règlement 2016/679, qualifie de données à caractère personnel des éléments issus de la procédure appelée « Lossy Hashing Procedure », qui est un traitement opéré seulement par WhatsApp, et se prononce sur certaines mesures correctives à imposer à
WhatsApp, notamment sur certains aspects de la détermination des amendes administratives à lui infliger. La décision attaquée est ainsi spécifique à WhatsApp, même si elle comporte, comme très fréquemment dans les actes individuels, l’énoncé ou le rappel de principes et des interprétations de nature générale.
41 Doit ensuite être examinée la question de savoir si la décision attaquée produit des effets juridiques modifiant de façon caractérisée la situation juridique de WhatsApp et si elle la concerne directement, au sens de l’article 263, quatrième alinéa, TFUE.
42 De ce point de vue, il doit être observé, comme le souligne cette fois à juste titre le CEPD, que la décision attaquée ne modifie pas en elle-même la situation juridique de WhatsApp. En effet, contrairement à la décision finale de l’autorité de contrôle irlandaise, elle ne lui est pas directement opposable et elle constitue à son égard un acte préparatoire, ou intermédiaire, dans une procédure qui, conformément aux dispositions de l’article 58, paragraphe 2, et de articles 60, 63 et 65 du
règlement 2016/679, citées aux points 23 à 26 ainsi qu’au point 31 ci-dessus, doit précisément se clore par l’adoption d’une décision finale d’une autorité de contrôle nationale dont cette entreprise est destinataire (voir, en ce sens et par analogie, arrêt du 24 juin 1986, AKZO Chemie et AKZO Chemie UK/Commission, 53/85, EU:C:1986:256, point 19).
43 À cet égard, il a été jugé à de nombreuses reprises que, dans les procédures conduisant à l’élaboration d’actes en plusieurs phases, en principe ne constituent pas des actes attaquables les mesures intermédiaires dont l’objectif est de préparer la décision finale (voir, en ce sens, arrêts du 11 novembre 1981, IBM/Commission, 60/81, EU:C:1981:264, point 10, et du 26 janvier 2010, Internationaler Hilfsfonds/Commission, C‑362/08 P, EU:C:2010:40, point 52 et jurisprudence citée).
44 Les exceptions au principe rappelé au point 43 ci-dessus concernent les cas où la mesure intermédiaire a des effets juridiques autonomes à l’égard desquels une protection juridictionnelle suffisante ne peut pas être assurée dans le cadre d’un recours contre la décision mettant fin à la procédure (voir, en ce sens, arrêts du 11 novembre 1981, IBM/Commission, 60/81, EU:C:1981:264, points 11 et 12, et du 13 octobre 2011, Deutsche Post et Allemagne/Commission, C‑463/10 P et C‑475/10 P, EU:C:2011:656,
points 53 et 54). À titre d’exemples, de telles exceptions ont été identifiées dans le cadre d’une procédure de contrôle du respect des règles de concurrence applicables aux entreprises (voir, en ce sens, arrêt du 24 juin 1986, AKZO Chemie et AKZO Chemie UK/Commission, 53/85, EU:C:1986:256, point 20), dans le cadre d’une procédure de contrôle du respect des règles en matière d’aides d’État (voir, en ce sens, arrêt du 9 octobre 2001, Italie/Commission, C‑400/99, EU:C:2001:528, points 55 à 63) et,
s’agissant d’une mesure accessoire ou conservatoire précédant une décision définitive, pour la suspension d’un fonctionnaire visé par une procédure disciplinaire (voir, en ce sens, arrêt du 5 mai 1966, Gutmann/Commission, 18/65 et 35/65, EU:C:1966:24, p. 168).
45 En l’occurrence, une protection juridictionnelle effective à l’égard de la décision attaquée est au contraire assurée à WhatsApp au travers de la voie de recours dont elle dispose devant le juge national contre la décision finale de l’autorité de contrôle irlandaise, qui permet d’apprécier la validité de la décision attaquée. Ainsi que le prévoient les dispositions de l’article 78, paragraphe 1, du règlement 2016/679, indiquant que le droit à un recours juridictionnel effectif doit être assuré à
toute personne dans chaque État membre contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne, WhatsApp a attaqué devant une juridiction irlandaise la décision finale édictée par l’autorité de contrôle irlandaise et peut faire valoir dans le cadre de ce recours l’illégalité des appréciations contraignantes figurant dans la décision attaquée, reprises dans cette décision finale. Il y a lieu de rappeler à cet égard que l’article 267 TFUE permet de soulever devant
le juge national l’invalidité des actes pris par les institutions, organes et organismes de l’Union, en prévoyant que, lorsque le juge national estime qu’une décision sur ce point est nécessaire pour rendre son jugement, il peut ou doit saisir la Cour de justice de l’Union européenne d’une question préjudicielle en appréciation de validité. Si celle-ci constate, au terme de la procédure préjudicielle, qu’un tel acte, s’il est préparatoire à une décision émanant d’une autorité d’un État membre,
est invalide, le juge national doit en tirer les conséquences quant à la légalité de cette décision qui fait grief à l’intéressé (voir, en ce sens, arrêts du 30 octobre 1975, Rey Soda e.a., 23/75, EU:C:1975:142, point 51, et du 20 mars 2018, Šroubárna Ždánice/Conseil, T‑442/16, non publié, EU:T:2018:159, point 34).
46 De plus, la décision attaquée n’a, à l’égard de WhatsApp, aucun effet juridique autonome par rapport à la décision finale émanant de l’autorité de contrôle irlandaise : toutes les appréciations figurant dans la première sont reprises dans la seconde et la première n’a aucun effet qui serait indépendant du contenu de la seconde, contrairement à ce qui était le cas dans les situations ayant donné lieu aux arrêts du 5 mai 1966, Gutmann/Commission (18/65 et 35/65, EU:C:1966:24), du 24 juin 1986, AKZO
Chemie et AKZO Chemie UK/Commission (53/85, EU:C:1986:256), et du 9 octobre 2001, Italie/Commission (C‑400/99, EU:C:2001:528), mentionnés au point 44 ci-dessus.
47 À cet égard, si les principes rappelés aux points 43 et 44 ci-dessus ont été dégagés à propos de procédures relevant, pour la décision finale, de la compétence d’institutions ou d’autres entités de l’Union, aucune raison ne justifie qu’il en soit différemment lorsque, comme en l’espèce, la législation de l’Union confie la surveillance de l’application de règles particulières de l’Union à des autorités nationales spécifiques dans le cadre de procédures comportant plusieurs phases et qu’est en
question une mesure intermédiaire adoptée par un organe de l’Union à l’occasion d’une telle procédure clôturée par une décision d’une autorité nationale.
48 WhatsApp fait, certes, valoir que la décision attaquée consiste en une position définitive du CEPD qui devait être suivie par l’autorité de contrôle irlandaise dans la décision finale. Cet argument se comprend en ce sens que la décision attaquée serait de ce fait nécessairement un acte attaquable et qu’elle se distinguerait des mesures intermédiaires n’exprimant qu’une opinion provisoire qui seraient seules des actes non attaquables.
49 Néanmoins, comme il a été rappelé au point 38 ci-dessus, pour qu’un acte soit attaquable par une partie requérante autre que les requérants, dits privilégiés, mentionnés à l’article 263 TFUE, deuxième alinéa, cet acte doit notamment modifier de façon caractérisée la situation juridique de celle-ci. Or, le fait qu’un acte intermédiaire exprime la position définitive d’une autorité qui devra être reprise dans la décision finale clôturant la procédure en cause, comme en l’espèce, puisque la décision
attaquée contient une analyse définitive sur certains aspects de la décision finale, ne signifie pas nécessairement que cet acte intermédiaire modifie lui-même de façon caractérisée la situation juridique de la partie requérante, ainsi qu’il est démontré en l’espèce aux points 42 à 47 ci-dessus. Dans la mesure où, comme il a été rappelé au point 39 ci-dessus, cette condition se chevauche avec les conditions posées à l’article 263, quatrième alinéa, TFUE, c’est-à-dire notamment avec la nécessité
que la partie requérante soit directement concernée par cet acte, il peut être vérifié en l’espèce ce qu’il en est en examinant si WhatsApp est directement concernée par la décision attaquée.
50 Or, ainsi que le soutient à juste titre le CEPD, WhatsApp n’est pas directement concernée par la décision attaquée.
51 En effet, il est jugé de façon constante que, pour concerner directement une partie requérante non destinataire d’un acte, cet acte doit, premièrement, produire directement des effets juridiques sur la situation de cette partie requérante et, deuxièmement, ne laisser aucun pouvoir d’appréciation à ses destinataires chargés de sa mise en œuvre, celle-ci ayant un caractère automatique et découlant de la seule réglementation de l’Union, sans application d’autres règles intermédiaires (arrêts du
13 mai 1971, International Fruit Company e.a./Commission, 41/70 à 44/70, EU:C:1971:53, points 23 à 28, du 5 mai 1998, Dreyfus/Commission, C‑386/96 P, EU:C:1998:193, point 43, et du 17 septembre 2009, Commission/Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, point 48).
52 S’agissant de la première de ces conditions, comme il a déjà été dit au point 42 ci-dessus, la décision attaquée n’a pas un caractère opposable à WhatsApp qui permettrait, sans étape supplémentaire dans la procédure, d’être source d’obligations pour elle, ou, le cas échéant, de droits pour d’autres particuliers. Elle diffère ainsi, par exemple, des actes ayant fait l’objet de l’arrêt du 23 avril 1986, Les Verts/Parlement (294/83, EU:C:1986:166), dont il a été observé, au point 31 de cet arrêt,
pour conclure qu’ils concernaient directement l’association requérante, qu’« [ils constituaient] une réglementation complète qui se [suffisait] à elle-même et qui [n’appellait] aucune disposition d’application ». En l’occurrence, la décision attaquée n’est pas l’ultime étape de la procédure complète prévue aux articles 58, 60 et 65 du règlement 2016/679.
53 S’agissant de la seconde de ces conditions, relative au pouvoir d’appréciation de l’autorité chargée de la mise en œuvre de l’acte en cause, il doit être constaté, que, même si la décision attaquée liait l’autorité de contrôle irlandaise en ce qui concerne les aspects sur lesquels elle portait, elle lui a laissé une marge d’appréciation quant au contenu de la décision finale.
54 En effet, ainsi qu’il ressort d’une comparaison du contenu de la décision attaquée exposé au point 11 ci-dessus, adressant aux autorités de contrôle concernées des instructions, et du contenu de la décision finale adressée à WhatsApp, exposé au point 8 ci-dessus, la décision attaquée a un contenu partiel par rapport à la décision finale.
55 Ainsi, les deux décisions ont en commun la constatation d’une méconnaissance par WhatsApp du principe de transparence énoncé à l’article 5, paragraphe 1, sous a), et des obligations énoncées à l’article 13, paragraphe 1, sous d), et à l’article 13, paragraphe 2, sous e), du règlement 2016/679, la qualification de données à caractère personnel des éléments issus de la procédure appelée « Lossy Hashing Procedure », appliquée aux données concernant les « contacts » non utilisateurs de WhatsApp
figurant dans les carnets d’adresse des terminaux des utilisateurs de WhatsApp, la constatation d’une méconnaissance par WhatsApp d’obligations énoncées à l’article 14 du règlement 2016/679 du fait de cette qualification, le délai de trois mois accordé à WhatsApp pour se mettre en conformité avec les exigences énoncées dans le règlement 2016/679, certains aspects des mesures correctives, à savoir celles relatives aux données personnelles des non-utilisateurs de WhatsApp et à l’obligation de
fournir aux utilisateurs de WhatsApp les informations énoncées à l’article 13, paragraphe 2, sous e), du règlement 2016/679 l’interprétation des critères du quantum des amendes administratives infligées à WhatsApp et l’augmentation du montant de ces amendes par rapport au niveau total de 30 à 50 millions d’euros envisagé dans le projet de décision de l’autorité de contrôle irlandaise.
56 En revanche, sur les aspects suivants, la décision finale résulte de l’appréciation de l’autorité de contrôle irlandaise sans que le CEPD ait exprimé, dans la décision attaquée, une position à cet égard : la constatation d’une méconnaissance par WhatsApp d’obligations énoncées à l’article 12, paragraphe 1, à l’article 13, paragraphe 1, sous c), e) et f) ainsi qu’à l’article 13, paragraphe 2, sous a) et c), du règlement 2016/679 ; la constatation du respect par WhatsApp des obligations énoncées à
l’article 13, paragraphe 1, sous a) et b) ainsi qu’à l’article 13, paragraphe 2, sous b) et d), du règlement 2016/679 ; la qualité de WhatsApp lorsqu’elle traite les données personnelles des non-utilisateurs de sa messagerie ; l’essentiel du contenu des mesures correctives imposées à WhatsApp, à savoir celles visant à assurer le respect des obligations figurant à l’article 12, paragraphe 1, à l’article 13, paragraphe 1, sous c), d), e) et f), et à l’article 13, paragraphe 2, sous a) et c), du
règlement 2016/679; la détermination concrète du niveau des amendes administratives infligées à WhatsApp, aboutissant à un total de 225 millions d’euros.
57 Il y a lieu d’observer, en particulier, que l’autorité de contrôle irlandaise a exercé sa marge d’appréciation pour tirer les conséquences des instructions qui ont été données dans la décision attaquée en ce qui concerne la qualification de données à caractère personnel des éléments issus de la procédure appelée « Lossy Hashing Procedure » et en ce qui concerne les amendes administratives.
58 Sur le premier aspect, c’est-à-dire la question du traitement des données personnelles des non-utilisateurs de WhatsApp, notamment des éléments issus de la procédure appelée « Lossy Hashing Procedure », ainsi qu’il ressort du point 111 de la décision finale, l’étape suivante de l’analyse visant à déterminer si WhatsApp avait méconnu, à l’égard de ces personnes, les obligations énoncées à l’article 14 du règlement 2016/679, était de savoir si, en ce qui concerne le traitement des données
personnelles en question, WhatsApp agissait en tant que responsable du traitement ou en tant que simple sous-traitant agissant pour le compte d’un utilisateur de sa messagerie ayant activé la fonction « Contacts ». Or cette étape de l’analyse, conclue en retenant la première hypothèse, résulte d’une appréciation de l’autorité de contrôle irlandaise sans que le CEPD ait exprimé dans la décision attaquée une position à cet égard.
59 En ce qui concerne la détermination des amendes administratives, si la décision attaquée contient des instructions en ce qui concerne l’interprétation des critères du quantum des amendes administratives prononcées sur le fondement du règlement 2016/679 et quant au relèvement du montant total des amendes à infliger en l’espèce à WhatsApp par rapport à ce qui était envisagé dans le projet de décision de l’autorité de contrôle irlandaise, celle-ci a conservé sa marge d’appréciation pour fixer le
montant concret des amendes à infliger à WhatsApp. D’ailleurs, ainsi qu’il a été indiqué au point 8 ci-dessus, avant d’adopter la décision finale, l’autorité de contrôle irlandaise a demandé à WhatsApp ses observations sur les nouvelles amendes administratives qu’elle envisageait de lui infliger, ce qui est cohérent avec le constat que cette autorité conservait une marge d’appréciation à cet égard. En l’occurrence, il peut être observé que, dans la décision finale, c’est le bas de la fourchette
des nouvelles amendes envisagées par l’autorité de contrôle irlandaise qui a au bout du compte été retenu.
60 Or, la décision finale constitue un tout dont on ne peut pas détacher les parties correspondant aux instructions figurant dans la décision attaquée en en faisant une « sous-décision » finale pour laquelle l’autorité de contrôle n’aurait disposé d’aucune marge d’appréciation. En effet, l’enquête et la décision finale de l’autorité de contrôle irlandaise ont porté sur le respect par WhatsApp du principe de transparence et de toutes les obligations concrètes qui y sont liées énoncés dans le
règlement 2016/679. C’est donc la pratique globale de WhatsApp à cet égard qui a été analysée dans la décision finale et un même aspect de cette pratique a fait l’objet d’un examen au regard de plusieurs dispositions pertinentes du règlement 2016/679, par exemple au regard de l’article 5, paragraphe 1, sous a), de l’article 12, paragraphe 1, et des multiples dispositions de l’article 13 du règlement 2016/679, la décision attaquée ne portant, elle, que sur l’analyse au regard de certaines de ces
dispositions. Il n’y aurait aucun sens à détacher de l’analyse globale effectuée dans la décision finale certains éléments particuliers alors que la procédure engagée à l’égard de WhatsApp, à l’initiative et sous la responsabilité de l’autorité de contrôle irlandaise en tant qu’autorité de contrôle chef de file, portait sur l’appréciation générale du respect par WhatsApp du principe de transparence. En particulier, s’agissant de la détermination des sanctions pécuniaires, c’est au regard de
l’ensemble des manquements constatés, respectivement, à l’article 5, paragraphe 1, sous a), aux articles 12, 13 et 14 du règlement 2016/679 que le montant de chacune des quatre amendes administratives a été fixé par l’autorité de contrôle irlandaise.
61 Par conséquent, aucune des deux conditions rappelées au point 51 ci-dessus, qui permettraient, si elles étaient réunies, de considérer que WhatsApp est directement concernée par la décision attaquée, n’est remplie.
62 Il résulte de ce qui précède que le recours de WhatsApp n’est pas recevable.
63 Le résultat de cette analyse est cohérent avec ce qui a pu être jugé s’agissant d’autres procédures dans lesquelles un acte de l’Union à caractère contraignant concernant des entreprises est adressé à un État membre.
64 Ainsi, en matière de contrôle des aides d’État, il est jugé que, lorsque la Commission adopte une décision déclarant illégale et incompatible avec le marché intérieur une aide déjà octroyée et ordonne à l’État membre pourvoyeur de récupérer les aides versées, les bénéficiaires de ces aides versées sont directement et individuellement concernés par cette décision (voir, en ce sens, arrêt du 19 octobre 2000, Italie et Sardegna Lines/Commission, C‑15/98 et C‑105/99, EU:C:2000:570, points 33 à 36). À
cet égard, il a été observé que, dès le moment de l’adoption d’une décision de cette nature, ces bénéficiaires sont exposés à la récupération des avantages qu’ils ont reçus et se trouvent ainsi affectés dans leur situation juridique (arrêt du 9 juin 2011, Comitato Venezia vuole vivere e.a./Commission, C‑71/09 P, C‑73/09 P et C‑76/09 P, EU:C:2011:368, point 56). Cela s’explique, parce que la procédure de contrôle est à ce stade terminée, qu’aucune appréciation supplémentaire au fond n’est à
apporter, puisque les montants à récupérer sont mécaniquement déterminés en fonction de la décision de la Commission et des aides précédemment apportées aux entreprises concernées, que l’État membre est tenu d’engager lui-même la récupération de ces aides et de la mener à bien sauf circonstances très exceptionnelles (voir, en ce sens, arrêts du 7 juin 1988, Commission/Grèce, 63/87, EU:C:1988:285, du 20 septembre 1990, Commission/Allemagne, C‑5/89, EU:C:1990:320, points 15 et 16 et du 20 mars
1997, Alcan Deutschland, C‑24/95, EU:C:1997:163) et que des tiers peuvent agir sur la base de la décision de la Commission devant l’administration concernée ou devant le juge national pour que les aides en question soient remboursées, sans avoir eux-mêmes à supporter la charge de la preuve qu’elles ont été illégalement accordées (voir, par analogie, arrêt du 12 février 2008, CELF et ministre de la Culture et de la Communication, C‑199/06, EU:C:2008:79, points 23 et 39 à 41). En l’occurrence, la
décision attaquée ne se situe pas à un stade analogue, puisque la procédure de contrôle n’était pas terminée avec son adoption, que des appréciations supplémentaires concernant le respect par WhatsApp des dispositions du règlement 2016/679 et la sanction encourue devaient encore être confirmées ou apportées par l’autorité de contrôle chef de file et que la décision attaquée ne pouvait elle-même servir de titre ayant force juridique pour imposer des obligations à WhatsApp.
65 Il a été également jugé qu’une décision de la Commission, adressée à un État membre, lui indiquant qu’un financement européen au profit d’une entreprise était réduit par rapport à ce qui avait été prévu en raison de la non-éligibilité à ce financement de certaines dépenses présentées par cette entreprise concernait directement et individuellement cette dernière, car la décision en cause la privait d’une partie de l’assistance financière qui lui avait initialement été accordée sans que l’État
membre ne dispose d’un pouvoir d’appréciation à cet égard (arrêt du 4 juin 1992, Infortec/Commission, C‑157/90, EU:C:1992:243, point 17). Cependant, en l’espèce, contrairement à la décision de la Commission ayant donné lieu à cette appréciation, la décision attaquée n’est pas, comme il a été constaté au point 52 ci-dessus, l’ultime étape de la procédure complète en cause et, comme il a été constaté aux points 56 et 57 ci-dessus, elle a laissé une marge d’appréciation à l’autorité de contrôle
irlandaise.
66 D’une manière plus globale, l’irrecevabilité du recours de WhatsApp porté devant le Tribunal à l’encontre de la décision attaquée s’inscrit dans la logique du système des voies de recours juridictionnelles établi par le traité UE et le traité FUE.
67 Ainsi que le stipule l’article 2 du traité UE, l’Union est notamment fondée sur le respect de l’État de droit. L’article 6, paragraphe 1, du traité UE dispose que l’Union reconnaît les droits, libertés et principes énoncés dans la charte des droits fondamentaux de l’Union européenne et l’article 47 de cette dernière garantit le droit à un recours effectif et à accéder à un tribunal impartial. L’article 19 du traité UE précise que la Cour de justice de l’Union européenne assure le respect du droit
dans l’interprétation et l’application des traités et, notamment, qu’elle statue conformément aux traités sur les recours formés par un État membre, une institution ou des personnes physiques ou morales et à titre préjudiciel, à la demande des juridictions nationales, sur l’interprétation du droit de l’Union ou sur la validité d’actes adoptés par les institutions ainsi que dans les autres cas prévus par les traités. Le même article prévoit que les États membres établissent les voies de recours
nécessaires pour assurer une protection juridictionnelle effective dans les domaines couverts par le droit de l’Union.
68 Plus précisément, le traité FUE, notamment par son article 263, concernant les recours directs devant la Cour de justice de l’Union européenne, et son article 267, relatif aux cas dans lesquels cette dernière statue à titre préjudiciel, en particulier sur la validité et l’interprétation des actes pris par les institutions, organes ou organismes de l’Union, a établi un système complet de voies de recours destiné à assurer le contrôle de la légalité des actes de l’Union (voir, en ce sens, arrêt du
25 juillet 2002, Unión de Pequeños Agricultores/Conseil, C‑50/00 P, EU:C:2002:462, point 40). Participent à ce système tant la Cour de justice de l’Union européenne, dont fait partie le Tribunal, que les juridictions nationales. Dans ce système, des personnes ne pouvant pas, en raison des conditions de recevabilité visées à l’article 263 TFUE, attaquer directement des actes de l’Union devant la Cour de justice de l’Union européenne ont la possibilité de faire valoir, par exception d’illégalité,
l’invalidité d’un tel acte devant le juge national en présentant à celui-ci un recours contre les mesures nationales d’application de cet acte. Dans cette situation, il appartient au juge national, s’il estime qu’une décision sur ce point est nécessaire pour rendre son jugement et a un doute sur la validité de cet acte, de saisir à titre préjudiciel la Cour de justice de l’Union européenne (voir encore, en ce sens et par analogie, arrêt du 25 juillet 2002, Unión de Pequeños Agricultores/Conseil,
C‑50/00 P, EU:C:2002:462, point 40).
69 La logique de ce système, qui explique notamment l’interprétation des conditions de recevabilité des recours directs énoncées à l’article 263 TFUE, qui a été rappelée au cours de l’analyse figurant aux points 35 à 62 ci-dessus, est que l’action juridictionnelle de la Cour de justice de l’Union européenne et celle des juridictions nationales se complètent de manière efficace et que le juge de l’Union et le juge national ne soient pas conduits à se prononcer concurremment, à l’occasion de
procédures parallèles, sur la validité d’un même acte de l’Union, que ce soit directement ou, en ce qui concerne le juge national s’il s’interroge sur la validité de l’acte en cause, à la suite d’une question préjudicielle. Cette logique a notamment pu justifier qu’il soit jugé qu’une partie requérante qui aurait pu sans aucun doute attaquer directement une décision de l’Union devant la Cour de justice de l’Union européenne ne puisse plus mettre en cause ultérieurement la validité de cette
décision, notamment à l’occasion d’une procédure subséquente devant le juge national (voir, en ce sens, arrêt du 9 mars 1994, TWD Textilwerke Deggendorf, C‑188/92, EU:C:1994:90, point 17 ; voir, également, en ce sens, arrêt du 9 juin 2011, Comitato Venezia vuole vivere e.a./Commission, C‑71/09 P, C‑73/09 P et C‑76/09 P, EU:C:2011:368, point 58 et jurisprudence citée). Inversement, il est jugé de façon constante que l’illégalité d’un acte de l’Union non attaquable servant de fondement à un autre
acte peut être invoquée à l’occasion d’un recours contre ce second acte (arrêt du 11 novembre 1981, IBM/Commission, 60/81, EU:C:1981:264, point 12 et a contrario les références jurisprudentielles précédentes).
70 En l’occurrence, admettre la recevabilité du recours de WhatsApp contre la décision attaquée conduirait à ce que deux procédures juridictionnelles parallèles se poursuivent, ayant des recoupements importants, l’une devant le Tribunal mettant en cause la décision attaquée, l’autre devant une juridiction irlandaise, mettant en cause la décision finale, dont une partie des motifs repose sur la décision attaquée. WhatsApp a d’ailleurs avancé, pour obtenir un délai pour le dépôt de la réplique devant
le Tribunal, la charge de travail parallèle que lui demandait la procédure devant la juridiction irlandaise saisie. Sauf à ce que l’une ou l’autre des juridictions saisies suspende la procédure engagée devant elle, ce qui pourrait se traduire par un allongement du temps nécessaire pour obtenir une solution définitive concernant la légalité de la décision finale, ces procédures parallèles pourraient même conduire à la situation dans laquelle, simultanément, la Cour, à titre préjudiciel, et le
Tribunal, par le biais du recours direct de WhatsApp, seraient invités à se prononcer sur la validité de la décision attaquée. Compte tenu du système de voies de recours évoqué aux points 68 et 69 ci-dessus et compte tenu des dispositions de l’article 78 du règlement 2016/679 concernant le droit à un recours juridictionnel effectif contre une autorité de contrôle, il appartiendra le cas échéant à la juridiction irlandaise saisie, seule compétente à cet égard, de contrôler la légalité de la
décision finale opposable à WhatsApp en posant une question préjudicielle en appréciation de validité à la Cour de justice de l’Union européenne en ce qui concerne la décision attaquée si elle l’estime nécessaire pour statuer sur le litige opposant WhatsApp à l’autorité de contrôle irlandaise. La juridiction irlandaise saisie pourrait, à cet égard, régler le litige qui lui est soumis soit en écartant l’exception d’illégalité qui pourrait être soulevée à l’encontre de la décision attaquée sans
s’adresser à la Cour, si elle n’éprouve pas de doutes sur la validité de cette décision, soit au contraire saisir la Cour si elle éprouve de tels doutes, soit encore régler le litige indépendamment de la question de la validité de la décision attaquée compte tenu des moyens soulevés devant elle. Cette solution est conforme à l’intérêt d’une bonne administration de la justice compte tenu des risques engendrés par des procédures juridictionnelles parallèles évoqués au début du présent point.
71 Enfin, il y a lieu de relever, s’agissant du considérant 143 du règlement 2016/679, cité au point 33 ci-dessus, qui peut laisser entendre qu’un recours tel que celui de WhatsApp devant le Tribunal serait recevable, qu’un considérant d’un règlement, s’il peut permettre d’éclairer l’interprétation à donner à une règle de droit, ne saurait constituer par lui-même une telle règle et que le préambule d’un acte de l’Union n’a pas de valeur juridique contraignante (voir arrêt du 26 octobre 2017, Marine
Harvest/Commission, T‑704/14, EU:T:2017:753, point 150 et jurisprudence citée ; voir également, en ce sens, arrêt du 24 novembre 2005, Deutsches Milch-Kontor, C‑136/04, EU:C:2005:716, point 32 et jurisprudence citée). Or, en l’occurrence, ce considérant ne constitue le support d’aucune disposition du règlement 2016/679, ainsi qu’il a été relevé aux points 32 et 35 ci-dessus. En outre, une explication figurant dans les motifs d’un règlement ne saurait prévaloir sur les règles de droit primaire
applicables figurant dans les traités, en l’occurrence sur celles des premier et quatrième alinéas de l’article 263 TFUE, dont la substance est d’ailleurs en partie rappelée dans le considérant en question avec l’indication, dans la première phrase, que « [t]oute personne physique ou morale a le droit de former un recours en annulation des décisions du comité devant la Cour de justice dans les conditions prévues à [l’article 263 TFUE] ».
72 Il résulte de tout ce qui précède que le recours doit être rejeté comme irrecevable.
Sur les demandes en intervention
73 Conformément à l’article 142, paragraphe 2, du règlement de procédure, l’intervention est accessoire au litige principal et perd son objet, notamment, lorsque la requête est déclarée irrecevable.
74 Par conséquent, il n’y a plus lieu de statuer sur les demandes en intervention, ni sur les demandes de protection de la confidentialité d’éléments du dossier qu’elles ont suscitées.
Sur les dépens
75 Aux termes de l’article 134, paragraphe 1, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. WhatsApp ayant succombé, il y a lieu de la condamner aux dépens, conformément aux conclusions du CEPD, sous réserve de ce qui est indiqué au point 76 ci-après.
76 Par ailleurs, en application de l’article 144, paragraphe 10, du règlement de procédure, s’il est mis fin à l’instance dans l’affaire principale avant qu’il ne soit statué sur une demande d’intervention, le demandeur en intervention et les parties principales supportent chacun leurs propres dépens afférents à la demande d’intervention. En l’espèce, WhatsApp, le CEPD, la République de Finlande, la Commission, le Contrôleur européen de la protection des données et la Computer & Communication
Industry Association supporteront chacun leurs propres dépens afférents aux demandes d’intervention.
Par ces motifs,
LE TRIBUNAL (quatrième chambre élargie)
ordonne :
1) Le recours est rejeté comme irrecevable.
2) Il n’y a plus lieu de statuer sur les demandes en intervention de la République de Finlande, de la Commission européenne, du Contrôleur européen de la protection des données et de la Computer & Communication Industry Association, ni sur les demandes de confidentialité qu’elles ont suscitées.
3) WhatsApp Ireland Ltd supportera ses propres dépens ainsi que ceux exposés par le Comité européen de la protection des données, à l’exception des dépens de ce dernier afférents aux demandes d’intervention.
4) Le Comité européen de la protection des données, la République de Finlande, la Commission, le Contrôleur européen de la protection des données et la Computer & Communication Industry Association supporteront chacun leurs propres dépens afférents aux demandes d’intervention.
Fait à Luxembourg, le 7 décembre 2022.
Le greffier
E. Coulon
Le président
S. Gervasoni
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’anglais.
