ARRÊT DU TRIBUNAL (dixième chambre élargie)
29 janvier 2025 ( *1 )
« Protection des données à caractère personnel – Article 65, paragraphe 1, sous a), du règlement (UE) 2016/679 – Décision contraignante donnant instruction à une autorité de contrôle chef de file d’élargir le champ de l’enquête et d’élaborer un projet de décision complémentaire – Compétence du Comité européen de la protection des données »
Dans les affaires jointes T‑70/23, T‑84/23 et T‑111/23,
Data Protection Commission, établie à Dublin (Irlande), représentée par M. D. Young, Mmes A. Bateman, R. Minch, M. Delargy, K. Donnelly, solicitors, MM. B. Kennelly, SC, D. Fennelly, Mmes E. Synnott et R. Costello, barristers,
partie requérante,
contre
Comité européen de la protection des données, représenté par Mmes I. Vereecken, C. Foglia et M. Gufflet, en qualité d’agents, assistées de Mes G. Ryelandt, E. de Lophem et P. Vernet, avocats,
partie défenderesse,
LE TRIBUNAL (dixième chambre élargie),
composé de Mme O. Porchia, présidente, MM. M. Jaeger, L. Madise (rapporteur), P. Nihoul et S. Verschuur, juges,
greffier : Mme M. Zwozdziak-Carbonne, administratrice,
vu la phase écrite de la procédure,
à la suite de l’audience du 16 avril 2024,
rend le présent
Arrêt
1 Par ses recours fondés sur l’article 263 TFUE, la requérante, Data Protection Commission, l’autorité de contrôle irlandaise en matière de protection des données à caractère personnel, demande l’annulation partielle des décisions contraignantes 3/2022, 4/2022 et 5/2022, du 5 décembre 2022, du Comité européen de la protection des données (ci-après le « CEPD »), relatives aux litiges entre les autorités de contrôle concernées nés des projets de décision de la requérante concernant respectivement le
réseau social Facebook, le réseau social Instagram et la messagerie WhatsApp, dans la mesure où ces décisions contraignantes lui enjoignent de conduire de nouvelles enquêtes sur les traitements de données liés à l’utilisation de ces applications et d’élaborer des projets de décision complémentaires sur cette base.
Faits et procédure
[omissis]
6 Après des échanges avec les autres autorités de contrôle concernées, la requérante a constaté qu’un consensus ne se dégageait pas à propos des objections formulées à l’égard de ses projets de décision et a saisi le CEPD dans le cadre du mécanisme de contrôle de la cohérence instauré dans le règlement 2016/679, conformément à l’article 60, paragraphe 4, de celui-ci.
7 À la suite de l’examen des trois dossiers, le CEPD a adopté les décisions contraignantes 3/2022, 4/2022 et 5/2022 le 5 décembre 2022, sur le fondement de l’article 65, paragraphe 1, sous a), du règlement 2016/679. Dans ces trois décisions contraignantes, le CEPD a tout d’abord estimé que la plupart des objections formulées à l’égard des projets de décision de la requérante étaient pertinentes et motivées, au sens de l’article 4, point 24, du règlement 2016/679, et qu’il pouvait prendre position
sur les questions qu’elles soulevaient. À cet égard, le CEPD a approuvé sur le fond un certain nombre de ces objections qu’il avait jugées pertinentes et motivées.
[omissis]
Conclusions des parties
15 La requérante conclut à ce qu’il plaise au Tribunal :
– dans l’affaire T‑70/23, annuler la seconde phrase des points 198 et 487 de la décision contraignante 3/2022 du CEPD ;
– dans l’affaire T‑84/23, annuler la seconde phrase des points 203 et 454 de la décision contraignante 4/2022 du CEPD ;
– dans l’affaire T‑111/23, annuler les points 222 et 326.8, de la décision contraignante 5/2022 du CEPD ;
– dans les trois affaires, condamner le CEPD à supporter les frais qu’elle a engagés.
16 Le CEPD, dans les trois affaires, conclut à ce qu’il plaise au Tribunal :
– rejeter les recours ;
– à titre subsidiaire, limiter l’annulation des décisions attaquées à leurs parties pertinentes ;
– condamner la requérante aux dépens.
En droit
17 La requérante soulève dans les trois affaires un moyen unique, tiré de ce que le CEPD aurait outrepassé la compétence que lui confère l’article 65, paragraphe 1, sous a), du règlement 2016/679 en lui imposant, dans chacune des décisions contraignantes en cause, d’une part, de conduire une nouvelle enquête sur des aspects non encore examinés et, d’autre part, de présenter un projet de décision complémentaire, conformément à l’article 60, paragraphe 3, du même règlement, sur la base des résultats
de cette nouvelle enquête.
[omissis]
Sur le moyen unique tiré de l’incompétence du CEPD pour adopter les dispositions attaquées
[omissis]
29 Cela étant précisé, il convient de rappeler qu’il ressort d’une jurisprudence constante que, en principe, pour interpréter une disposition du droit de l’Union, il convient de tenir compte non seulement des termes de celle-ci, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie (voir, en ce sens, arrêt du 29 novembre 2018, Mensing, C‑264/17, EU:C:2018:968, point 24 et jurisprudence citée). En l’espèce, certains arguments de la requérante sont
aussi issus de considérations ou de principes puisés au-delà du règlement 2016/679 lui-même. Le Tribunal statuera donc sur la portée de la compétence du CEPD au titre de l’article 65, paragraphe 1, sous a), du règlement 2016/679 en examinant, en tant que de besoin, d’abord les arguments de la requérante avancés dans le cadre d’une analyse littérale, contextuelle, téléologique et historique de ce règlement, puis ceux tirés des conditions d’attribution d’une compétence à un organe de l’Union, des
caractéristiques du contrôle juridictionnel opéré au niveau national et de l’indépendance des autorités de contrôle chargées de la protection des données à caractère personnel.
Sur les arguments concernant la portée de la compétence du CEPD au titre de l’article 65, paragraphe 1, sous a), du règlement 2016/679 avancés dans le cadre d’une analyse littérale, contextuelle, téléologique et historique dudit règlement
30 La requérante s’appuie sur les libellés de l’article 65, paragraphe 1, sous a), de l’article 65, paragraphe 6, ainsi que de l’article 4, point 24, du règlement 2016/679 pour soutenir que le CEPD n’a pas compétence pour imposer à une autorité de contrôle chef de file, dans une décision contraignante adoptée au titre de la première de ces dispositions, d’élargir son enquête et de présenter un nouveau projet de décision pour tirer les conclusions de cette enquête complémentaire. Elle invoque aussi
en ce sens les considérants 126 et 136 de ce règlement.
31 L’article 65, paragraphe 1, sous a), du règlement 2016/679 dispose :
« En vue d’assurer l’application correcte et cohérente du présent règlement dans les cas d’espèce, le [CEPD] adopte une décision contraignante […] lorsque […] une autorité de contrôle concernée a formulé une objection pertinente et motivée à l’égard d’un projet de décision de l’autorité de contrôle chef de file et que l’autorité de contrôle chef de file n’a pas donné suite à l’objection ou a rejeté cette objection au motif qu’elle n’est pas pertinente ou motivée. La décision contraignante
concerne toutes les questions qui font l’objet de l’objection pertinente et motivée, notamment celle de savoir s’il y a violation du présent règlement. »
32 L’article 4, point 24, du règlement 2016/679 définit l’objection pertinente et motivée comme suit :
« [U]ne objection à un projet de décision quant à savoir s’il y a ou non violation du présent règlement ou si l’action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l’Union ».
33 L’article 65, paragraphe 6, du règlement 2016/679 indique notamment ce qui suit :
« L’autorité de contrôle chef de file ou, selon le cas, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte sa décision finale sur la base de la décision visée au paragraphe 1 du présent article, dans les meilleurs délais et au plus tard un mois après que le [CEPD] a notifié sa décision. […] La décision finale des autorités de contrôle concernées est adoptée aux conditions de l’article 60, paragraphes 7, 8 et 9. La décision finale fait référence à la décision visée au
paragraphe 1 du présent article et précise que celle-ci sera publiée sur le site internet du [CEPD] conformément au paragraphe 5 du présent article. La décision visée au paragraphe 1 du présent article est jointe à la décision finale. »
34 Selon la requérante, les trois dispositions citées aux points 31 à 33 ci-dessus limitent la portée d’une décision contraignante du CEPD, adoptée sur le fondement de l’article 65, paragraphe 1, sous a), du règlement 2016/679, au champ des analyses effectuées dans le projet de décision de l’autorité de contrôle chef de file communiqué aux autres autorités de contrôle concernées par le dossier. En effet, une telle décision contraignante ne pourrait que donner suite à une objection pertinente et
motivée, laquelle devrait porter sur le contenu du projet de décision et non sur ce qui n’y figure pas. L’effet juridique de la décision contraignante serait limité aux modifications que, selon l’article 65, paragraphe 6, du même règlement, l’autorité de contrôle compétente doit apporter, dans le délai d’un mois suivant sa notification, dans la décision finale par rapport au projet de décision. Ainsi, la décision contraignante ne pourrait porter que sur l’interprétation correcte du règlement
2016/679 par rapport à ce qui figure dans le projet de décision de l’autorité de contrôle chef de file et les dispositions en question ne conféreraient aucun pouvoir au CEPD pour donner à cette autorité des instructions concernant un autre sujet, par exemple pour l’obliger à enquêter ou à soumettre un nouveau projet de décision.
35 Toutefois, cette lecture est restrictive au regard du texte des dispositions citées aux points 31 à 33 ci-dessus. En effet, il convient de rappeler que l’article 4, point 24, du règlement 2016/679 inclut dans la notion d’« objection pertinente et motivée » une « objection à un projet de décision quant à savoir s’il y a ou non violation du présent règlement […] qui démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes
concernées ». Or, si l’article 65, paragraphe 1, sous a), du règlement 2016/679 prévoit qu’une décision contraignante adoptée à ce titre « concerne toutes les questions qui font l’objet de l’objection pertinente et motivée », rien n’interdit qu’une telle objection porte sur l’absence ou l’insuffisance d’analyse, dans ce projet de décision de l’autorité de contrôle chef de file, d’un aspect du dossier, qui empêche de savoir s’il y a ou non violation dudit règlement sur cet aspect. Les termes
« objection à un projet de décision » ne sont pas limités, contrairement à ce que soutient la requérante, aux objections à des considérations figurant dans le projet de décision. Par conséquent, dès lors que la décision contraignante du CEPD doit concerner toutes les questions faisant l’objet d’objections pertinentes et motivées, rien n’interdit que, lorsque le CEPD approuve une objection pertinente et motivée relative à une absence ou à une insuffisance de cette nature, cette décision comporte
une injonction à l’autorité de contrôle chef de file de combler ce manque d’analyse et, si cela apparaît nécessaire au vu du dossier en possession du CEPD, d’approfondir ou d’élargir à cet effet l’enquête effectuée jusqu’alors. En effet, s’il apparaît que le dossier est insuffisant pour effectuer pleinement l’analyse requise, cela doit conduire à ce que le CEPD puisse imposer à l’autorité de contrôle chef de file un complément d’enquête.
36 Il convient aussi de constater que le libellé des trois dispositions citées aux points 31, à 33 ci-dessus, considérées ensemble, ne limite pas la portée d’une décision contraignante aux seules modifications immédiates à apporter au projet de décision soumis par l’autorité de contrôle chef de file en vue d’adopter une décision finale dans les conditions précisées à l’article 65, paragraphe 6, du règlement 2016/679, c’est-à-dire aux seules modifications portant sur le contenu du projet de décision
et non sur ce qui n’y figure pas. À cet égard, contrairement à ce que soutient la requérante, cette dernière disposition ne vise qu’à préciser les modalités d’adoption de la décision finale lorsque celle-ci peut d’emblée suivre une décision contraignante du CEPD, en particulier lorsqu’il n’y a pas de nécessité de reprise d’enquête ou d’analyse plus large ou plus approfondie de certains aspects du dossier. Elle ne constitue pas une disposition concernant le contenu possible d’une décision
contraignante, lequel est déterminé par la base juridique au titre de laquelle cette décision est adoptée, en l’occurrence l’article 65, paragraphe 1, sous a), du règlement 2016/679, qui doit se lire lui-même conjointement avec l’article 4, point 24, de ce règlement pour ce qui concerne la définition de la notion d’« objection pertinente et motivée ». Il doit être souligné, à ce sujet, que l’article 65, paragraphe 1, du règlement 2016/679 prévoit différents types de décisions contraignantes du
CEPD qui n’impliquent pas nécessairement l’adoption consécutive et immédiate d’une décision finale d’une autorité de contrôle.
[omissis]
38 L’analyse littérale faite aux points 35 et 36 ci-dessus des trois dispositions citées aux points 31 à 33 ci-dessus ne saurait être infirmée par le libellé des considérants 126 et 136 du règlement 2016/679, contrairement à ce que soutient la requérante. En effet, au premier de ces considérants, en indiquant que « [l]a décision devrait être adoptée conjointement par l’autorité de contrôle chef de file et les autorités de contrôle concernées », le législateur ne soustrait aucunement la question du
champ d’analyse qu’une telle décision doit couvrir dans un cas particulier à l’appréciation des autorités de contrôle concernées autres que l’autorité de contrôle chef de file, au contraire, puisque « la décision » se matérialise non seulement par les appréciations qui y figurent, mais aussi par le champ des aspects qu’elle couvre. Par conséquent, s’il n’y a pas consensus sur ce point entre les autorités de contrôle concernées et que le CEPD est saisi à ce propos, le libellé de ce considérant
n’exclut pas que le CEPD puisse imposer un élargissement de l’analyse et, si nécessaire, de l’enquête. De même, le considérant 136 du règlement 2016/679 indique que le CEPD « devrait prendre […] des décisions juridiquement contraignantes dans des cas clairement définis, en cas de points de vue divergents parmi les autorités de contrôle, notamment dans le cadre du mécanisme de coopération entre l’autorité de contrôle chef de file et les autorités de contrôle concernées, sur le fond de l’affaire et
en particulier sur la question de savoir s’il y a ou non violation du présent règlement ». Contrairement à ce que soutient la requérante, le champ de l’enquête ne relève pas d’un aspect procédural, mais du fond du dossier, car il détermine l’étendue de ce qui doit être examiné pour évaluer si le ou les traitements de données en cause respectent le règlement 2016/679.
39 À ce propos, peut dès à présent être rejeté un autre argument de la requérante, selon lequel l’interprétation de la notion d’« objection pertinente et motivée », retenue au point 35 ci-dessus, donnerait la possibilité au CEPD d’adresser à l’autorité de contrôle chef de file des injonctions concernant l’ensemble des pouvoirs détenus par cette autorité à la seule condition que la question soulevée par une autorité de contrôle concernée soit qualifiée d’objection pertinente et motivée au sens ainsi
retenu. Comme l’indique l’article 4, point 24, du règlement 2016/679, une objection pertinente et motivée à un projet de décision de l’autorité de contrôle chef de file peut uniquement porter sur un aspect relatif à la question de savoir si ce règlement est respecté ou si les mesures correctrices envisagées à l’égard du responsable du traitement ou du sous-traitant y sont elles-mêmes conformes. Une telle objection peut donc uniquement porter sur le fond du dossier et sur les pouvoirs
décisionnaires finaux de l’autorité de contrôle chef de file, notamment prévus à l’article 58, paragraphe 2, du même règlement, qui relèvent aussi du fond. Par conséquent, une telle objection ne peut pas porter sur la conduite de l’enquête proprement dite (par opposition au champ de l’enquête), qui repose sur les pouvoirs d’enquête des autorités de contrôle mentionnés à l’article 58, paragraphe 1, du règlement 2016/679.
40 L’analyse littérale de l’article 65, paragraphe 1, sous a), du règlement 2016/679, faite en tenant compte des libellés de l’article 4, point 24, de l’article 65, paragraphe 6, et des considérants 126 et 136 du même règlement, va donc dans le sens de la compétence du CEPD pour adopter des dispositions, telles que les dispositions attaquées, donnant instruction à la requérante de conduire une nouvelle enquête sur certains aspects des dossiers en cause et d’adopter ensuite à cet égard de nouveaux
projets de décision. Il convient d’examiner si les arguments de la requérante avancés dans le cadre de ses interprétations contextuelle et téléologique du règlement 2016/679 sont de nature à contredire les résultats de cette première analyse.
[omissis]
43 À cet égard, contrairement à ce qu’avance la requérante, la procédure de coopération entre autorités de contrôle concernées par un cas, décrite à l’article 60 du règlement 2016/679, qui peut comporter le déclenchement du mécanisme de contrôle de la cohérence assuré par le CEPD, prévu au paragraphe 4, n’est pas une procédure « à sens unique » dans laquelle les étapes s’enchaîneraient toujours dans l’ordre des dispositions qui les prévoient, sans possibilité de retour à une étape précédente ou de
maintien temporaire au même stade. Ainsi, par exemple, en partant de la situation mise en avant par la requérante, prévue au paragraphe 5, dans laquelle l’autorité de contrôle chef de file a entendu suivre d’elle-même les objections d’autres autorités de contrôle concernées formulées à l’égard de son projet de décision présenté au titre du paragraphe 3, et dans laquelle elle a présenté à ces autorités un projet de décision révisé, la procédure peut évoluer de plusieurs manières. En l’absence
d’objection de ces autorités au projet révisé, la ou les décisions finales sont ensuite directement adoptées conformément aux paragraphes 6 à 9. Dans le cas contraire, à savoir en présence d’objections au projet révisé, si l’autorité de contrôle chef de file accepte ces dernières en tout ou partie, la phase prévue au paragraphe 5 se renouvelle, avec nécessité pour l’autorité de contrôle chef de file de présenter un nouveau projet révisé tenant compte des objections qu’elle a acceptées. Si
l’autorité de contrôle chef de file n’accepte pas tout ou partie des objections au projet révisé, elle doit, conformément au paragraphe 4, déclencher le mécanisme de contrôle de la cohérence en saisissant le CEPD sur la base du projet de décision révisé le plus abouti.
44 Le CEPD fournit dans son mémoire en défense un autre exemple illustrant que la procédure de coopération entre autorités de contrôle concernées par un cas, prévue à l’article 60 du règlement 2016/679, n’est pas nécessairement « à sens unique ». À la suite d’objections d’autres autorités de contrôle concernées formulées à l’égard de son projet de décision présenté au titre du paragraphe 3 de cet article, l’autorité de contrôle chef de file peut d’elle-même considérer que, au lieu de présenter
d’emblée un projet de décision révisé ou de déclencher le mécanisme de contrôle de la cohérence, il convient de revenir en arrière et d’approfondir l’examen avant de présenter à nouveau un projet de décision au titre du même paragraphe 3. Le CEPD indique que l’autorité de contrôle française a procédé de la sorte dans une affaire.
45 De la même façon, en cas d’intervention du CEPD au titre du paragraphe 4 du même article et d’adoption d’une décision contraignante, plusieurs hypothèses sont possibles. Si tous les aspects pertinents du cas ont été suffisamment abordés dans le projet de décision de l’autorité de contrôle chef de file, celle-ci ou, le cas échéant, l’autorité de contrôle auprès de laquelle la réclamation a été déposée, peuvent adopter, en application des paragraphes 6 à 9 du même article, une ou des décisions
finales clôturant le cas, en tenant notamment compte de la décision contraignante du CEPD. Si, en revanche, il est considéré dans la décision contraignante du CEPD, à la suite d’objections formulées en ce sens, que le projet de décision de l’autorité de contrôle chef de file ne traite pas, ou pas de manière suffisante, tous les aspects pertinents du cas et, le cas échéant, qu’une réouverture de l’enquête est dès lors nécessaire, une ou des décisions finales partielles peuvent éventuellement être
adoptées par l’autorité de contrôle chef de file ou par l’autorité de contrôle auprès de laquelle la réclamation a été déposée, en application des dispositions susmentionnées, mais l’autorité de contrôle chef de file doit parallèlement compléter son analyse, après avoir le cas échéant mené une nouvelle enquête, en vue de présenter, conformément au paragraphe 3, du même article un projet de décision complémentaire aux autres autorités de contrôle concernées.
46 La requérante avance un second argument au titre de l’interprétation contextuelle selon lequel, lu à la lumière du considérant 141 du règlement 2016/679, l’article 57, paragraphe 1, sous f), de ce même règlement, indiquant que l’autorité de contrôle traite les réclamations et examine leur objet dans la mesure nécessaire, démontre que le champ de l’enquête à conduire à la suite d’une réclamation relève de l’appréciation des autorités de contrôle nationales, sous la seule réserve d’un contrôle
juridictionnel national.
47 Le considérant 141 du règlement 2016/679 indique notamment ce qui suit :
« Toute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une seule autorité de contrôle, en particulier dans l’État membre où elle a sa résidence habituelle, et disposer du droit à un recours juridictionnel effectif […] si elle estime que les droits que lui confère le présent règlement sont violés ou si l’autorité de contrôle ne donne pas suite à sa réclamation, la refuse ou la rejette, en tout ou en partie, ou si elle n’agit pas alors qu’une action est nécessaire
pour protéger les droits de la personne concernée. L’enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par le cas d’espèce. […] »
48 L’article 57, paragraphe 1, sous f), du règlement 2016/679 et les considérations invoquées par la requérante ne conduisent cependant pas à soustraire la question du caractère approprié du champ de l’enquête aux mécanismes de coopération entre autorités de contrôle concernées et de contrôle de la cohérence par le CEPD.
49 En effet, l’article 57 du règlement 2016/679, qui porte sur l’ensemble des missions des autorités de contrôle, prévoit comme première mission, à son paragraphe 1, sous a), celle de contrôler l’application dudit règlement et de veiller au respect de celui-ci. Ainsi, contrairement à ce qu’a avancé en substance la requérante à l’audience, l’analyse des conditions dans lesquelles un traitement de données à caractère personnel est effectué et de sa conformité à ce règlement ne doit pas être limitée à
ce que la réclamation d’un plaignant met en exergue.
50 Surtout, assurer pleinement les missions prévues à l’article 57, paragraphe 1, sous a) et f), du règlement 2016/679, de veiller au respect de celui-ci et de traiter les réclamations dans la mesure nécessaire, implique de retenir un champ d’analyse approprié du dossier au regard de la réclamation qui en est à l’origine, mais aussi au regard des autres éléments qui peuvent la compléter. Cette analyse doit conduire, dès lors que le traitement de données à caractère personnel en cause est
transfrontalier, à l’adoption de décisions faisant l’objet de la procédure de coopération prévue à l’article 60 de ce règlement. Dans le cadre de cette procédure, le critère à satisfaire pour qu’une question puisse faire l’objet d’une décision contraignante du CEPD, adoptée sur le fondement de l’article 65, paragraphe 1, sous a), dudit règlement, est qu’elle ait donné lieu à une objection pertinente et motivée, telle que définie à l’article 4, point 24, du même règlement. Or, l’objection
pertinente et motivée, selon sa définition, porte sur des aspects dont l’analyse relève bien des deux missions susmentionnées. Par conséquent, le fait qu’une objection pertinente et motivée concerne le champ de l’analyse et, le cas échéant, le champ de l’enquête et que le CEPD y donne suite ne compromet nullement ces missions. Par ailleurs, le fait que les décisions intermédiaires des autorités de contrôle faisant suite à une réclamation puissent faire l’objet de recours devant les juridictions
nationales n’empêche pas que le projet de décision de l’autorité de contrôle chef de file puisse faire de son côté l’objet, dans les limites matérielles assignées au mécanisme du contrôle de la cohérence institué dans le règlement 2016/679, d’un contrôle du CEPD.
51 Les arguments de la requérante avancés au titre de l’interprétation contextuelle ne permettent donc pas de soutenir sa position sur l’incompétence du CEPD pour adopter les dispositions attaquées.
52 Au contraire, le contexte général de l’obligation de coopération entre les autorités de contrôle concernées par un cas, consacré dans le règlement 2016/679, confirme la compétence du CEPD à cet égard. En effet, l’article 60, paragraphe 1, dudit règlement dispose notamment que « [l]’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s’efforçant de parvenir à un consensus ». L’article 60, paragraphe 3, du même règlement
précise que « [l]’autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées » et qu’elle leur « soumet sans tarder un projet de décision […] en vue d’obtenir leur avis et tient dûment compte de leur point de vue ».
53 Il en ressort que la collaboration entre les autorités de contrôle concernées se rapporte notamment à l’analyse du cas dans son ensemble et à l’élaboration de la décision, et que l’autorité de contrôle chef de file doit rechercher l’accord des autres autorités de contrôle concernées à ce propos. Rien dans les dispositions susmentionnées ne permet d’écarter de cette obligation de coopération la question du champ de l’analyse à effectuer ni, le cas échéant, la question du champ de l’enquête
préalable à conduire. Dans l’arrêt du 15 juin 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, points 63 et 64), la Cour a rappelé le caractère indispensable du dialogue et de la coopération loyale et efficace entre autorités de contrôle concernées par un cas.
54 Il résulte des points 41 à 53 ci-dessus que l’examen du contexte résultant des dispositions du règlement 2016/679 confirme l’analyse littérale effectuée précédemment.
55 Au titre d’une interprétation téléologique, la requérante soutient, tout d’abord, que reconnaître au CEPD le pouvoir d’imposer à une autorité de contrôle chef de file d’élaborer un projet de décision complémentaire et d’élargir préalablement à cet effet le champ de son enquête est incompatible avec les finalités du mécanisme du « guichet unique » voulu par le législateur lorsqu’il a adopté le règlement 2016/679. L’instauration d’une autorité de contrôle unique pour les intéressés aurait notamment
visé à leur éviter des coûts superflus et des désagréments excessifs, ainsi que l’indiquerait le considérant 129 de ce règlement. Rouvrir une enquête en raison d’un simple désaccord entre autorités de contrôle méconnaîtrait cet objectif, en obligeant les auteurs de réclamations et les entreprises visées à faire face à la reprise de l’enquête, avec des coûts et des désagréments, alors que cette phase devait être terminée.
56 Cependant, sans qu’il soit nécessaire de se prononcer sur les intentions du législateur, il suffit de constater qu’un guichet unique répond à un objectif de simplification de nature procédurale qui ne saurait primer sur l’objectif essentiel du règlement 2016/679 de faire respecter le droit fondamental des personnes physiques à la protection de leurs données à caractère personnel. Le premier considérant dudit règlement rappelle à ce propos que l’article 8, paragraphe 1, de la charte des droits
fondamentaux et l’article 16, paragraphe 1, TFUE disposent que toute personne a droit à la protection des données à caractère personnel la concernant. Un élargissement d’enquête, nécessairement demandé par au moins la moitié des autorités de contrôle dans le cadre du CEPD, ne vise pas, contrairement à ce que soutient la requérante, à compliquer la tâche de la personne ayant déposé une réclamation ou celle du responsable de traitement visé par celle-ci, mais constitue une mesure pour défendre
leurs droits respectifs. Au demeurant, une enquête et une analyse de l’autorité de contrôle chef de file couvrant d’emblée l’ensemble des aspects nécessaires à l’élaboration d’une décision finale complète concernant le cas en cause permettent d’éviter les inconvénients mentionnés par la requérante.
57 L’argument de la requérante, selon lequel la réouverture d’une enquête retarde le règlement définitif des aspects déjà analysés et tranchés, doit aussi être rejeté.
58 En effet, comme l’a d’ailleurs fait en l’espèce la requérante, dans une telle situation, l’autorité compétente doit au contraire adopter une décision finale sur les aspects de fond analysés et tranchés après une décision contraignante du CEPD dans le délai prévu à l’article 65, paragraphe 6, du règlement 2016/679. Cela ne l’empêche pas de conduire une enquête complémentaire et d’analyser les aspects du cas qui n’ont pas encore été examinés.
59 La requérante avance encore que la non-intervention du CEPD dans la détermination du champ de l’analyse qu’un cas doit susciter, qui constituerait une question préalable ou procédurale, n’empêche pas le mécanisme de coopération entre autorités de contrôle de fonctionner.
60 Cependant, le mécanisme de coopération trouve ses limites lorsque les autorités de contrôle concernées ne parviennent pas à un consensus. C’est dans cette situation, expressément prévue à l’article 60, paragraphe 4, du règlement 2016/679, que la question non consensuelle doit être soumise par l’autorité de contrôle chef de file au mécanisme de contrôle de la cohérence, qui aboutit à une décision contraignante du CEPD, comme l’indique cette disposition.
61 La requérante argue enfin qu’une telle absence de consensus trouve une solution dans le recours au contrôle juridictionnel national. Elle rappelle que l’article 58, paragraphe 4, et le considérant 141 du règlement 2016/679 indiquent que l’enquête est sujette à un contrôle juridictionnel effectif.
62 Certes, si le CEPD ne pouvait pas trancher un problème lié au champ de l’analyse menée par l’autorité de contrôle chef de file, le juge national pourrait intervenir à cet égard. Toutefois, le règlement 2016/679 prévoit que les problèmes soulevés dans le cadre d’une objection pertinente et motivée d’une autorité de contrôle concernée, au sens de l’article 4, point 24, dudit règlement, sont réglés dans le cadre des mécanismes de coopération et, le cas échéant, de contrôle de la cohérence, entre
autorités de contrôle. Or, comme cela a été analysé précédemment, un problème concernant le champ de l’analyse et, le cas échéant, celui de l’enquête menées par l’autorité de contrôle chef de file peut susciter une objection pertinente et motivée au sens précité. Par conséquent, la possible saisine du juge national sur un problème de cette nature, qui d’ailleurs ne serait pas nécessairement aisée pour un plaignant résidant dans un autre État que celui de l’autorité de contrôle chef de file, ne
saurait impliquer que les désaccords persistants entre les autorités de contrôle concernées sur les questions ayant fait l’objet d’objections pertinentes et motivées ne puissent se régler au sein du CEPD.
63 Il résulte des points 55 à 62 ci-dessus que l’examen des finalités du règlement 2016/679 confirme aussi l’analyse littérale effectuée précédemment.
[omissis]
Sur les arguments tirés des conditions d’attribution d’une compétence à un organe de l’Union, des caractéristiques du contrôle juridictionnel opéré au niveau national et de l’indépendance des autorités de contrôle chargées de la protection des données à caractère personnel
65 En premier lieu, la requérante estime, en substance, que les principes régissant l’attribution d’une compétence à un organe de l’Union ne permettent pas d’interpréter le règlement 2016/679 dans le sens dégagé par les analyses précédentes, à savoir celui selon lequel il confère la compétence contestée au CEPD.
66 La requérante se réfère à l’article 5 TUE pour rappeler que l’Union ne peut agir que dans les limites des compétences qui lui ont été attribuées. Ce principe s’appliquerait aux institutions ainsi qu’aux organes de l’Union, comme le CEPD. Ces derniers seraient de plus soumis à la « doctrine Meroni » issue de l’arrêt du 13 juin 1958, Meroni/Haute Autorité (9/56, EU:C:1958:7), applicable aux organes de l’Union, comme la Cour l’a jugé à propos de l’Autorité européenne des marchés financiers (AEMF)
dans l’arrêt du 22 janvier 2014, Royaume-Uni/Parlement et Conseil (C‑270/12, EU:C:2014:18, points 53 et 54). Cette doctrine imposerait que les pouvoirs des organes de l’Union soient encadrés de façon précise et soient susceptibles d’un contrôle juridictionnel au regard des objectifs fixés à l’organe concerné. En particulier, au point 45 du second arrêt susmentionné, il aurait été constaté que le pouvoir de l’AEMF discuté dans cette affaire, finalement confirmé par la Cour, était encadré par
divers critères et conditions qui délimitent le champ d’action de cette autorité. Dans l’arrêt du 15 juillet 2021, FBF (C‑911/19, EU:C:2021:599, points 67 et 75), concernant l’Autorité bancaire européenne (ABE), la Cour aurait précisé qu’un pouvoir d’un organe de l’Union devait être explicitement prévu par le législateur et que le contrôle juridictionnel de ce pouvoir devait être rigoureux.
67 Ces principes appliqués dans la jurisprudence concernent en effet le CEPD qui a été institué en tant qu’organe de l’Union à l’article 68 du règlement 2016/679.
68 Il doit donc tout d’abord être vérifié si l’interprétation retenue, précédemment dans le présent arrêt, permet de considérer que l’exercice du pouvoir du CEPD, lorsqu’il impose à une autorité de contrôle chef de file d’élargir son analyse et, le cas échéant, son enquête, « est encadré par divers critères et conditions qui délimitent [son] champ d’action », ainsi que la Cour l’a constaté en ce qui concerne le pouvoir de l’AEMF qui était contesté dans l’affaire ayant donné lieu à l’arrêt du
22 janvier 2014, Royaume-Uni/Parlement et Conseil (C‑270/12, EU:C:2014:18).
69 À cet égard, ainsi qu’il résulte de l’article 65, paragraphe 1, sous a), du règlement 2016/679, lu conjointement avec l’article 4, point 24, dudit règlement, ce pouvoir d’imposer à une autorité de contrôle chef de file d’élargir son analyse et, le cas échéant, son enquête ne peut être mis en œuvre qu’à la suite de la formulation, par une autorité de contrôle concernée, d’une objection pertinente et motivée au projet de décision de l’autorité de contrôle chef de file sur le cas en cause, relative
à l’absence d’analyse d’un aspect de la question de « savoir s’il y a ou non violation du [...] règlement [2016/679] ou si l’action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte [ce] règlement » et qui démontre « clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l’Union ».
70 En outre, en vertu de l’article 65, paragraphes 2 et 3, du règlement 2016/679, la mise en œuvre du pouvoir susmentionné suppose qu’au sein du CEPD, une majorité des deux tiers, ou au moins la moitié de ses membres dans certaines circonstances, dont, en cas d’égalité des voix, le président, aient, en substance, approuvé cette objection pertinente et motivée et les suites à y apporter. Il faut donc qu’un nombre significatif d’autorités de contrôle confirment le défaut ou l’insuffisance d’analyse
d’un aspect important du cas en cause et s’accordent sur les suites à donner par l’autorité de contrôle chef de file pour y remédier. Il doit être tenu compte à ce propos de ce que le CEPD est lui-même composé d’un nombre important d’autorités indépendantes spécialisées en la matière, et, par conséquent, de ce qu’une opinion convergente majoritaire de celles-ci en son sein apporte des garanties quant à l’exercice de ce pouvoir. Par ailleurs, si la notion d’« objection pertinente et motivée »,
rappelée au point 69 ci-dessus, laisse certes place à une marge d’appréciation, en particulier pour déterminer s’il y a violation du règlement 2016/679 par le responsable de traitement ou le sous-traitant concerné ou si tel aspect doit être examiné afin de le savoir, ces questions renvoient cependant toutes à des règles juridiques précises figurant dans ce règlement, ce qui ne permet pas l’exercice d’un « large pouvoir discrétionnaire ».
71 Pour résumer, en ce qui concerne la question de l’encadrement du pouvoir du CEPD, contesté par la requérante, il doit donc être constaté, d’une part, que ce pouvoir n’est mis en œuvre qu’en cas d’insuffisance bien identifiée de l’analyse de l’autorité de contrôle chef de file dans le traitement du cas, pouvant avoir des conséquences importantes, ainsi qu’il résulte de la définition de l’objection pertinente et motivée figurant à l’article 4, point 24, du règlement 2016/679, et, d’autre part, que
ce pouvoir résulte de l’appréciation collective des autorités de contrôle composant le CEPD qui intervient dans les conditions soulignées au point 70 ci-dessus.
72 S’agissant de la question de savoir si le pouvoir en cause est « explicitement » prévu par le législateur, il doit être souligné que l’adverbe « explicitement » ainsi que les adverbes « expressément » et « clairement », qui sont synonymes et qui renvoient respectivement aux adjectifs « explicite », « exprès » et « clair », signifient qu’il n’y a pas de doute sur la portée de ce qui est exprimé. Or, il résulte de l’interprétation sur des bases littérale, contextuelle et téléologique faite
ci-dessus qu’il n’y a pas de doute sur le fait que le CEPD dispose de la compétence contestée et donc sur le fait que celle-ci est explicitement prévue par le législateur. Il peut être observé que, dans l’arrêt du 15 juillet 2021, FBF (C‑911/19, EU:C:2021:599), concernant l’ABE, les orientations de cette autorité dont il était contesté qu’elle ait la compétence pour les adopter portaient sur « les modalités de gouvernance et de surveillance des produits bancaires de détail ». Aucun des textes
applicables à cette autorité n’indiquait en toutes lettres que celle-ci pouvait adopter des orientations à ce sujet. C’est par une analyse d’ensemble de ces textes, c’est-à-dire du règlement instituant l’ABE, qui prévoyait de manière générale sa compétence pour adopter des orientations à certaines fins, et de différentes directives concernant les établissements et les produits financiers, que la Cour a considéré que les orientations litigieuses relevaient de cette compétence.
73 En outre, il doit être constaté que l’exercice du pouvoir du CEPD d’imposer à une autorité de contrôle chef de file d’élargir son analyse et, si nécessaire, son enquête est bien soumis à un contrôle juridictionnel. Certes, en l’espèce, la requérante a choisi de contester les dispositions attaquées uniquement en raison de l’incompétence du CEPD sans mettre en cause l’appréciation concrète qu’a portée ce dernier sur les objections formulées par certaines autorités de contrôle à l’égard de ses
projets de décision, appréciation qui a conduit à l’adoption de ces dispositions. Cependant, dans la limite des moyens qui seraient invoqués devant lui, le juge de l’Union serait en mesure de vérifier la légalité au fond de telles dispositions en fonction des circonstances de l’espèce. Notamment, il pourrait, dans un premier temps, vérifier si le CEPD, en adoptant des dispositions de cette nature, a bien donné une suite à une objection pertinente et motivée d’une autorité de contrôle, au sens de
l’article 4, point 24, du règlement 2016/679. Il pourrait, dans un second temps, vérifier la légalité de la substance même de telles dispositions donnant des instructions aux autorités de contrôle.
74 Un tel type de contrôle juridictionnel est « rigoureux », au sens employé dans l’arrêt du 15 juillet 2021, FBF (C‑911/19, EU:C:2021:599, point 67). En effet, le juge de la légalité est, d’une manière générale, tenu par son office ainsi que par les règles du procès et son contrôle est nécessairement rigoureux s’il remplit pleinement son office dans le cadre de ces règles. Sur les questions de fond, c’est selon la marge d’appréciation dont dispose, ou non, l’auteur de l’acte attaqué que le juge de
la légalité exerce un contrôle normal (en principe en ce qui concerne les aspects juridiques, l’établissement des faits et les cas de compétence liée) ou un contrôle restreint (en principe sur les aspects techniques complexes ou lorsque l’autorité dispose d’une marge d’appréciation, cas dans lesquels le juge ne sanctionne que l’erreur manifeste d’appréciation) [voir, en ce sens et par analogie en ce qui concerne le contrôle du juge national sur les décisions des autorités nationales en matière de
protection des données à caractère personnel, arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, points 68 et 69].
75 Il résulte des points 67 à 74 ci-dessus que les conditions d’attribution d’une compétence à un organe de l’Union ne s’opposent pas à l’analyse effectuée précédemment dans le présent arrêt.
76 En deuxième lieu, la requérante avance différentes raisons pour démontrer que les juridictions nationales constituent le « for approprié » pour traiter des contestations liées à l’enquête, c’est-à-dire qu’elles sont les mieux placées pour le faire.
77 Toutefois, comme il est exposé au point 62 ci-dessus, le législateur de l’Union a choisi que les désaccords persistants entre autorités de contrôle concernées, relatifs au champ de l’analyse d’un cas et, le cas échéant, au champ de l’enquête conduite à son propos, soient arbitrés dans le cadre du mécanisme de contrôle de la cohérence au sein du CEPD. Par conséquent, les arguments de la requérante visant à démontrer que les juridictions nationales constituent le « for approprié » pour traiter des
contestations liées à l’enquête sont inopérants.
78 Il doit être ajouté, dans la mesure où tant le juge national que le CEPD peuvent être appelés à se prononcer sur le champ de l’analyse et de l’enquête, que, dans le domaine d’application des règles de concurrence stipulées aux articles 101 et 102 TFUE, où les responsabilités sont aussi partagées entre le niveau national et le niveau de l’Union pour mettre en œuvre une politique de l’Union, un certain nombre de principes ont été dégagés dans la jurisprudence de la Cour pour coordonner l’action des
juges nationaux et de l’entité de l’Union chargée d’assurer la cohérence dans l’application de la politique en question, à savoir la Commission (arrêts du 28 février 1991, Delimitis, C‑234/89, EU:C:1991:91, et du 14 décembre 2000, Masterfoods et HB, C‑344/98, EU:C:2000:689). S’il n’est pas exclu que, en application de ces principes, un juge national estime préférable de surseoir à statuer en attendant une décision de l’entité compétente de l’Union ou qu’il puisse, lorsque cette décision est
intervenue, être lié par elle, sauf à douter de sa validité et à demander à la Cour, dans le cadre préjudiciel, son appréciation à cet égard, ces situations sont inhérentes à un tel partage des responsabilités et à la nécessité d’assurer dans l’ensemble de l’Union la cohérence dans l’application de la politique concernée.
79 Il doit également être ajouté que, contrairement à ce que la requérante soutient en troisième lieu, une décision contraignante du CEPD, adoptée sur le fondement de l’article 65, paragraphe 1, sous a), du règlement 2016/679, lui imposant d’élargir son analyse et son enquête ne met pas en cause sa capacité à hiérarchiser l’accomplissement de ses différentes missions en tant qu’autorité indépendante, tâche dont le contrôle relèverait du seul juge national. Elle ne met pas non plus en cause, d’une
manière plus générale, son indépendance consacrée à l’article 39 TUE, à l’article 16, paragraphe 2, TFUE et à l’article 8, paragraphe 3, de la charte des droits fondamentaux.
80 En effet, d’une part, que ce soit de sa propre initiative, au stade de la coopération entre autorités de contrôle concernées à la suite d’interventions en ce sens de ses homologues ou après une telle décision contraignante, si l’autorité de contrôle chef de file est amenée à devoir compléter son analyse et son enquête sur un cas, elle n’est pas obligée de le faire toutes affaires cessantes, prioritairement par rapport à ses autres missions. Elle peut, par exemple, annoncer qu’un premier projet de
décision ou qu’une première décision qu’elle aura adoptés ne traitent qu’une partie des questions induites par le cas en cause et qu’elle poursuivra ultérieurement ses analyses et son enquête.
81 Ce n’est que dans les circonstances prévues à l’article 66 du règlement 2016/679, lorsqu’une autre autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, qu’une décision contraignante d’urgence du CEPD peut obliger l’autorité de contrôle chef de file à revoir sans délai l’ordre de ses priorités pour traiter un cas. Le législateur a donc prévu cette possibilité pour de seuls cas exceptionnels. En effet, les décisions
contraignantes 3/2022, 4/2022 et 5/2022 n’ont pas été adoptées sur le fondement dudit article 66 et, par conséquent, elles n’imposaient pas à la requérante un ordre de priorité entre ses différentes missions.
82 D’autre part, les dispositions de droit primaire qu’invoque la requérante n’impliquent pas une indépendance absolue, au sens d’absence de tout contrôle, des autorités des États membres chargées au premier chef de veiller à l’application des règles relatives à la protection des données à caractère personnel. Ces dispositions indiquent seulement que le contrôle du respect desdites règles est confié à des autorités indépendantes, ce qui n’empêche donc nullement un système de contrôle mutuel entre
autorités indépendantes, comme les mécanismes de coopération et de contrôle de la cohérence prévus dans le règlement 2016/679, ni, bien entendu, le contrôle juridictionnel à l’égard des décisions adoptées par les différentes autorités impliquées. L’important est que les contrôleurs des contrôleurs soient eux-mêmes indépendants. C’est le cas du CEPD, puisqu’il est composé des autorités de contrôle des États membres et du contrôleur européen à la protection des données, lui-même autorité
indépendante vis-à-vis des institutions et des autres entités de l’Union qu’il contrôle.
[omissis]
Sur les dépens
84 Aux termes de l’article 134, paragraphe 1, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. La requérante ayant succombé, il y a lieu de la condamner aux dépens, conformément aux conclusions du CEPD.
Par ces motifs,
LE TRIBUNAL (dixième chambre élargie)
déclare et arrête :
1) Les recours dans les affaires T‑70/23, T‑84/23 et T‑111/23 sont rejetés.
2) Data Protection Commission est condamnée aux dépens.
Porchia
Jaeger
Madise
Nihoul
Verschuur
Ainsi prononcé en audience publique à Luxembourg, le 29 janvier 2025.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’anglais.
