ORDONNANCE DU TRIBUNAL (dixième chambre)
29 avril 2025 ( *1 )
« Recours en annulation – Protection des données à caractère personnel – Avis du Comité européen de la protection des données relatif à la validité du consentement dans le cadre des modèles “consentir ou payer” mis en œuvre par les grandes plateformes en ligne – Article 64, paragraphe 2, du règlement (UE) 2016/679 – Acte non susceptible de recours – Irrecevabilité – Responsabilité – Préjudice – Lien de causalité – Recours manifestement dépourvu de tout fondement en droit »
Dans l’affaire T‑319/24,
Meta Platforms Ireland Ltd, établie à Dublin (Irlande), représentée par Mes H.-G. Kamann, F. Louis, M. Braun, A. Vallery, avocats, MM. P. Nolan, B. Johnston, D. Breatnach, Mme L. Joyce, solicitors, M. D. McGrath, Mmes E. Egan McGrath, SC, S. Horan et H. Godfrey, barristers,
partie requérante,
contre
Comité européen de la protection des données, représenté par Mmes I. Vereecken, M. Gufflet, C. Foglia et N. Peris Brines, en qualité d’agents, assistées de Mes G. Ryelandt, E. de Lophem, P. Vernet et G. Haumont, avocats,
partie défenderesse,
LE TRIBUNAL (dixième chambre),
composé de Mme O. Porchia, présidente, MM. L. Madise (rapporteur) et S. Verschuur, juges,
greffier : M. V. Di Bucci,
vu la phase écrite de la procédure, notamment :
– la requête déposée au greffe du Tribunal le 27 juin 2024,
– l’exception d’irrecevabilité soulevée par le Comité européen de la protection des données par acte séparé déposé au greffe du Tribunal le 18 septembre 2024,
– les observations de la requérante sur l’exception d’irrecevabilité déposées au greffe du Tribunal le 31 octobre 2024,
– les demandes d’intervention du Conseil de l’Union européenne, du Parlement européen et de Chamber of Progress déposées au greffe du Tribunal, respectivement, le 19 septembre, le 1er et le 2 octobre 2024,
rend la présente
Ordonnance
1 Par son recours, la requérante, Meta Platforms Ireland Ltd (ci-après « Meta »), demande, d’une part, sur le fondement de l’article 263 TFUE, l’annulation de l’avis 8/2024, du 17 avril 2024, du Comité européen de la protection des données (ci-après le « CEPD ») relatif à la validité du consentement dans le cadre des modèles « consentir ou payer » mis en œuvre par les grandes plateformes en ligne (ci-après l’« avis attaqué ») et, d’autre part, sur le fondement de l’article 268 TFUE, la réparation du
préjudice qu’elle aurait subi du fait de cet avis.
Antécédents du litige
2 L’avis attaqué a été adopté par le CEPD, sur le fondement de l’article 64, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1), à la demande de trois autorités de contrôle en matière de protection des
données à caractère personnel, à savoir la Datatilsynet (autorité chargée de la protection des données, Norvège), l’Autoriteit Persoonsgegevens (autorité chargée de la protection des données, Pays-Bas) et le Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (commissaire à la protection des données et à la liberté de l’information de Hambourg, Allemagne). Ces autorités souhaitaient obtenir un avis sur la question de savoir dans quelles circonstances et dans quelles conditions les
pratiques mises en œuvre par les « grandes plateformes en ligne », consistant à offrir aux utilisateurs le choix entre, d’une part, consentir au traitement de données à caractère personnel à des fins de publicité comportementale et, d’autre part, verser une rémunération pour bénéficier du service sans que leurs données à caractère personnel soient traitées à ces fins (ci-après les « modèles “consentir ou payer” »), pouvaient être considérées comme satisfaisant à l’exigence d’un consentement
valide, au sens du règlement 2016/679.
3 Dans l’avis attaqué, le CEPD fournit une liste d’éléments à apprécier, au cas par cas, pour déterminer si un responsable du traitement, au sens de l’article 4, point 7, du règlement 2016/679, doit être considéré comme étant une « grande plateforme en ligne » aux fins de cet avis, tout en soulignant que cette liste n’est pas exhaustive et que ces éléments ne sont pas d’application cumulative. Ces éléments incluent le fait que la plateforme attire un grand nombre de personnes concernées en tant
qu’utilisateurs, la position de l’entreprise sur le marché, le nombre de personnes concernées, le volume des données traitées ou l’étendue géographique de l’activité de traitement. Il est précisé que la notion de « plateforme en ligne » peut couvrir, sans s’y limiter, les « plateformes en ligne », telles que définies à l’article 3, sous i), du règlement (UE) 2022/2065 du Parlement européen et du Conseil, du 19 octobre 2022, relatif à un marché unique des services numériques et modifiant la
directive 2000/31/CE (règlement sur les services numériques) (JO 2022, L 277, p. 1), et que les « grandes plateformes en ligne » peuvent aussi être des responsables du traitement des « très grandes plateformes en ligne », telles que définies à l’article 33, paragraphe 1, du même règlement, ou des « contrôleurs d’accès », tels que définis à l’article 3, paragraphe 1, du règlement (UE) 2022/1925 du Parlement européen et du Conseil, du 14 septembre 2022, relatif aux marchés contestables et équitables
dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) (JO 2022, L 265, p. 1).
4 Sur le fond, dans l’avis attaqué, le CEPD expose que, lorsqu’il est demandé aux utilisateurs de consentir au traitement de leurs données personnelles en vue de leur adresser des publicités comportementales, ce consentement, pour être valide, doit être obtenu dans le respect des principes et des règles énoncés dans le règlement 2016/679. Il doit, notamment, être libre, spécifique, éclairé et univoque, et porter sur des traitements de données effectués dans le respect des principes de nécessité, de
proportionnalité, de limitation des finalités, de minimisation des données et de loyauté. Le CEPD souligne que l’appréciation, par les autorités de contrôle nationales compétentes, du respect de ces conditions doit être effectuée au cas par cas.
5 Le CEPD estime que, dans la plupart des cas, il ne sera pas possible pour une « grande plateforme en ligne », telle que visée dans l’avis attaqué, de respecter les exigences relatives à la validité du consentement si elle se limite à offrir à l’utilisateur le choix « binaire » entre donner son consentement au traitement de données à caractère personnel à des fins de publicité comportementale et verser une rémunération pour pouvoir bénéficier du service concerné sans recevoir de la publicité
comportementale. Il indique que, lorsqu’elles élaborent une « option alternative » à la version du service fondée sur la publicité comportementale, les grandes plateformes en ligne devraient envisager de proposer aux utilisateurs une « option équivalente » qui n’implique pas le versement d’une rémunération. Si, toutefois, elles décident de demander une rémunération pour l’accès à l’« option équivalente », elles devraient également envisager de proposer une option supplémentaire, gratuite et sans
publicité comportementale, assortie, par exemple, d’une forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel, telle que la publicité contextuelle, la publicité ciblée sur des thèmes choisis par l’utilisateur ou la publicité générale. Selon le CEPD, dans la plupart des cas, le fait qu’une autre option sans publicité comportementale soit proposée ou non, gratuitement, par le responsable du traitement aura une incidence considérable sur
l’appréciation de la validité du consentement, notamment en ce qui concerne la question de savoir si la personne concernée peut refuser ou retirer son consentement sans subir de préjudice.
6 S’agissant de ce dernier point, le CEPD expose notamment qu’il importe que le montant de la rémunération réclamée pour la version payante du service ne soit pas de nature à empêcher les personnes concernées de faire un libre choix et de refuser de donner leur consentement. Il souligne que les données à caractère personnel ne sauraient être considérées comme étant une marchandise négociable et que le droit à la protection de ces données est un droit qui s’applique à tous, indépendamment du
versement d’une rémunération ou de la situation financière. Un préjudice pourrait également survenir lorsque des personnes concernées non consentantes ne versent pas de rémunération et se voient donc exclues du service, en particulier lorsque celui-ci joue un rôle essentiel dans leur vie quotidienne ou leur participation à la vie sociale ou qu’il est déterminant pour l’accès aux réseaux professionnels.
7 Par ailleurs, le CEPD indique qu’il est également nécessaire de prendre en considération la position du responsable du traitement et le pouvoir dont il dispose vis-à-vis de la personne concernée. Si, dans une situation donnée, il existe un déséquilibre manifeste entre le premier et la seconde, cette dernière pourrait se sentir contrainte de prendre une décision qu’elle n’aurait pas prise autrement. Il ajoute que, lorsqu’elle est confrontée à un modèle « consentir ou payer », la personne concernée
devrait être libre de choisir la ou les différentes finalités de traitement des données qu’elle accepte, plutôt qu’être obligée de consentir à un ensemble de finalités.
8 L’avis attaqué comporte également des considérations sur les conditions dans lesquelles le consentement recueilli auprès de l’utilisateur par les grandes plateformes en ligne dans le cadre de modèles « consentir ou payer » ayant trait à la publicité comportementale peut être jugé éclairé, spécifique et univoque.
Conclusions des parties
9 Meta conclut à ce qu’il plaise au Tribunal :
– annuler l’avis attaqué dans son intégralité ou, à titre subsidiaire, dans ses parties pertinentes ;
– au titre de la responsabilité non contractuelle de l’Union européenne :
– ordonner au CEPD de prendre toutes les mesures pour mettre fin à l’infraction commise du fait de l’adoption de l’avis attaqué, y compris en retirant l’avis attaqué ;
– ordonner au CEPD de lui verser une indemnité pour le préjudice qu’elle a subi du fait de l’avis attaqué ;
– ordonner aux parties d’informer le Tribunal, dans un délai de trois mois à compter de la date du prononcé de la décision du Tribunal, du montant de l’indemnité obtenu par accord ;
– ordonner que, en l’absence d’accord, les parties transmettent au Tribunal, dans le même délai, un exposé de leur point de vue avec des chiffres à l’appui ;
– déclarer que l’avis attaqué n’était pas fondé à imposer une exigence d’alternative gratuite supplémentaire ;
– ordonner toute autre forme de réparation conforme aux principes généraux de la responsabilité non contractuelle communs aux droits des États membres, y compris la réparation en nature et une décision déclaratoire, que le Tribunal jugera appropriée ;
– condamner le CEPD aux dépens.
10 Dans son exception d’irrecevabilité, soulevée au titre de l’article 130, paragraphe 1, du règlement de procédure du Tribunal, le CEPD conclut à ce qu’il plaise au Tribunal :
– rejeter le recours en annulation comme irrecevable ;
– rejeter le recours en responsabilité non contractuelle comme irrecevable ;
– condamner Meta aux dépens.
11 Dans ses observations sur l’exception d’irrecevabilité, Meta conclut à ce qu’il plaise au Tribunal :
– rejeter l’exception d’irrecevabilité ;
– réserver les dépens.
En droit
12 En vertu de l’article 130, paragraphes 1 et 7, du règlement de procédure, si la partie défenderesse le demande, le Tribunal peut statuer par voie d’ordonnance sur l’irrecevabilité sans engager le débat au fond. En outre, aux termes de l’article 126 du même règlement, lorsque le recours est manifestement dépourvu de tout fondement en droit, le Tribunal peut, à tout moment, décider de statuer par voie d’ordonnance motivée, sans poursuivre la procédure.
13 En l’espèce, le Tribunal, s’estimant suffisamment éclairé par les pièces du dossier, décide de statuer sans poursuivre la procédure.
Sur les conclusions en annulation
14 Le CEPD excipe de l’irrecevabilité des conclusions en annulation en ce que, d’une part, l’avis attaqué ne serait pas un acte attaquable et, d’autre part, Meta ne serait ni directement ni individuellement concernée par l’avis attaqué.
15 S’agissant du premier motif d’irrecevabilité, le CEPD soutient que l’avis attaqué ne produit aucun effet juridique sur la situation de Meta. Il expose que les avis adoptés sur le fondement de l’article 64 du règlement 2016/679 se distinguent des décisions contraignantes prévues à l’article 65, paragraphe 1, du même règlement, dans la mesure où ils n’ont pas d’effets juridiques propres. À cet égard, l’article 64, paragraphe 7, dudit règlement prévoirait seulement que les autorités de contrôle
compétentes doivent « tenir le plus grand compte » de ces avis, et ce n’est qu’une éventuelle décision contraignante subséquente qui pourrait rendre obligatoire la teneur d’un tel avis pour une autorité de contrôle.
16 Meta, tout d’abord, fait valoir que l’absence de recevabilité d’un recours en annulation contre un avis du CEPD rendu sur fondement de l’article 64, paragraphe 2, du règlement 2016/679 compromettrait l’autonomie du droit de l’Union. En effet, les personnes concernées pourraient engager une action en justice en s’appuyant sur un tel avis devant des juridictions d’États parties à l’accord sur l’Espace économique européen (EEE) non membres de l’Union, dans lesquels le règlement 2016/679 s’applique
en vertu dudit accord. Or, ces juridictions ne pourraient pas saisir la Cour de justice de l’Union européenne d’une question préjudicielle en appréciation de la validité de cet avis, au titre de l’article 267 TFUE, au risque d’entraîner un conflit dans l’interprétation et l’application du droit de l’Union. Il faudrait donc que la légalité d’un tel avis puisse d’emblée être contrôlée dans le cadre de l’examen d’un recours en annulation devant le juge de l’Union, permettant une application uniforme
du droit dans l’ensemble de l’EEE.
17 Ensuite, dans ses observations sur l’exception d’irrecevabilité, Meta prétend que, si son recours en annulation était déclaré irrecevable, cela conduirait à une méconnaissance de son droit à une protection juridictionnelle effective, consacré à l’article 47 de la charte des droits fondamentaux de l’Union européenne. Le CEPD aurait utilisé un instrument formellement non contraignant pour imposer des règles visant spécifiquement Meta, en cherchant à éviter un contrôle direct du juge de l’Union.
C’est pourquoi le recours en annulation permettrait de faire respecter ce droit.
18 Enfin, Meta expose que, en dépit de sa forme, l’avis attaqué produit des effets juridiques obligatoires. Le CEPD aurait, en effet, de facto, la possibilité de contraindre les autorités de contrôle nationales au respect d’un avis pris sur le fondement de l’article 64, paragraphe 2, du règlement 2016/679 en adoptant à cet effet une décision contraignante, ainsi qu’il est prévu à l’article 65, paragraphe 1, sous c), du même règlement. Les faits démontreraient que le CEPD entend imposer ses vues à la
Data Protection Commission (autorité de protection des données, Irlande), qui est l’autorité chef de file pour traiter les cas concernant Meta. Le style rédactionnel employé dans l’avis attaqué indiquerait lui-même que la marge d’appréciation des autorités de contrôle et la marge d’auto-évaluation des grandes plateformes en ligne sont extrêmement limitées, voire inexistantes. La situation de l’espèce serait différente de celle de l’affaire ayant donné lieu à l’ordonnance du 9 juillet 2019,
VodafoneZiggo Group/Commission (T‑660/18, EU:T:2019:546), invoquée par le CEPD, dans laquelle étaient en cause des observations de la Commission européenne émises au titre de la procédure de consultation européenne prévue par la directive 2002/21/CE du Parlement européen et du Conseil, du 7 mars 2002, relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive « cadre ») (JO 2002, L 108, p. 33), telle que modifiée, en dernier lieu, par la
directive 2009/140/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 37). En effet, l’avis attaqué aurait été émis dans le cadre du « mécanisme de contrôle de la cohérence » établi dans le règlement 2016/679 et non dans le cadre d’une procédure de consultation. Meta ajoute, en substance, que, en méconnaissant l’appréciation de la Cour donnée à titre préjudiciel dans l’arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social)
(C‑252/21, EU:C:2023:537), au point 150 duquel la licéité, au regard du règlement 2016/679, des modèles « consentir ou payer » ne serait pas exclue, l’avis attaqué emporte des effets de droit contraignants à son égard.
19 Selon une jurisprudence constante, le recours en annulation, prévu à l’article 263 TFUE, est ouvert à l’encontre de tous les actes pris par les institutions, les organes ou les organismes de l’Union, quelles qu’en soient la nature ou la forme, qui visent à produire des effets juridiques obligatoires de nature à affecter les intérêts de la partie requérante, en modifiant de façon caractérisée la situation juridique de celle-ci (voir, en ce sens, arrêts du 11 novembre 1981, IBM/Commission, 60/81,
EU:C:1981:264, point 9, et du 18 novembre 2010, NDSHT/Commission, C‑322/09 P, EU:C:2010:701, point 45 et jurisprudence citée).
20 Pour déterminer si un acte produit des effets juridiques obligatoires, il y a lieu de s’attacher à la substance de cet acte et d’apprécier lesdits effets à l’aune de critères objectifs, tels que le contenu de ce même acte, en tenant compte, le cas échéant, du contexte de l’adoption de ce dernier ainsi que des pouvoirs de l’institution qui en est l’auteure (voir arrêt du 20 février 2018, Belgique/Commission, C‑16/16 P, EU:C:2018:79, point 32 et jurisprudence citée).
21 S’agissant du contenu de l’avis attaqué, ainsi qu’il ressort du résumé fait aux points 4 à 8 ci-dessus, cet acte fournit une grille d’analyse des modèles « consentir ou payer » des grandes plateformes en ligne au regard des règles énoncées dans le règlement 2016/679 relatives à la validité du consentement, en rappelant aux autorités de contrôle les aspects qu’elles doivent vérifier. Le CEPD y indique à de nombreuses reprises que l’analyse doit être effectuée au cas par cas.
22 Certes, le CEPD cible, dans l’avis attaqué, la situation dans laquelle une grande plateforme en ligne ne proposerait pas à l’utilisateur d’alternative non payante à l’octroi du consentement au traitement de données à caractère personnel à des fins de publicité comportementale, mais seulement une alternative payante, et expose que, dans la plupart des cas, cette situation risque d’entraîner l’invalidité d’un tel consentement, s’il est donné. Toutefois, le CEPD relève, dans l’avis attaqué, que
cette appréciation dépend de plusieurs facteurs, dont le caractère important, ou non, du service en question dans la vie sociale ou professionnelle des utilisateurs et le coût de l’alternative payante. Il fait aussi état de différentes possibilités d’alternatives non payantes.
23 Par ailleurs, si, comme le fait observer Meta, l’avis attaqué emploie des formules telles que « devrait » ou « ne devrait pas » ou « dans la plupart des cas », les passages contenant ces formules, lus en tenant compte de l’ensemble du document, apparaissent davantage appeler à une réflexion approfondie sur les solutions que chaque grande plateforme en ligne pourrait proposer aux utilisateurs en tant qu’alternative à l’octroi de leur consentement à recevoir de la publicité comportementale que
condamner de façon généralisée le modèle « consentir ou payer » pour ces plateformes. Ainsi, par exemple, les points 180 et 181 de l’avis attaqué, qui font partie de sa partie conclusive et que Meta met en exergue, sont à lire conjointement avec son point suivant qui rappelle l’ensemble des éléments à prendre en compte pour déterminer si un consentement donné à une grande plateforme en ligne dans un modèle « consentir ou payer » est valide.
24 Le contenu de l’avis attaqué ne permet donc pas de considérer qu’il est destiné à produire en lui-même des effets juridiques obligatoires.
25 Par ailleurs, la circonstance selon laquelle l’avis attaqué aurait été adopté alors que différentes autorités de contrôle examinaient des modèles « consentir ou payer » de grandes plateformes en ligne, en particulier celui retenu par Meta, ne peut, à elle seule, permettre de conclure au caractère contraignant dudit avis . En effet, différents instruments existent pour aboutir à une application cohérente du règlement 2016/679, comme cela est prévu à l’article 63 de celui-ci, dont certains ont un
caractère contraignant, et d’autres seulement un caractère consultatif.
26 À ce propos, l’avis attaqué a été adopté, comme il ressort de ses visas et de ses points 7 à 12, sur le fondement de l’article 64, paragraphe 2, du règlement 2016/679. Cette disposition prévoit :
« Toute autorité de contrôle, le président du [CEPD] ou la Commission peuvent demander que toute question d’application générale ou produisant des effets dans plusieurs États membres soit examinée par le [CEPD] en vue d’obtenir un avis, en particulier lorsqu’une autorité de contrôle compétente ne respecte pas les obligations relatives à l’assistance mutuelle conformément à l’article 61 ou les obligations relatives aux opérations conjointes conformément à l’article 62. »
27 L’avis attaqué n’est pas lié aux circonstances envisagées dans le dernier membre de phrase de cette disposition, mais il concerne une « question d’application générale », à savoir, comme cela est exposé au point 2 ci-dessus, celle de savoir dans quelles circonstances et dans quelles conditions les modèles « consentir ou payer » des grandes plateformes en ligne peuvent être considérés comme satisfaisant à l’exigence d’un consentement valide, au sens du règlement 2016/679 (voir le point 3 de l’avis
attaqué).
28 Contrairement à ce qu’avance le CEPD, le règlement 2016/679 ne contient pas de disposition obligeant les autorités de contrôle à « tenir le plus grand compte » d’un avis fondé sur son article 64, paragraphe 2. L’obligation de « tenir le plus grand compte » d’un avis du CEPD, exprimée au paragraphe 7 de cet article, s’applique au profit des avis rendus sur le fondement du paragraphe 1 dudit article, qui concernent non des questions générales, mais certains types de projets de décisions spécifiques
des autorités de contrôle, que ces autorités doivent communiquer au CEPD au cours de la procédure d’adoption de ces décisions. Si elle n’a pas l’intention de suivre, en tout ou partie, l’avis qui lui est adressé sur ce fondement, l’autorité de contrôle concernée doit en avertir le président du CEPD, ce qui déclenche le processus d’adoption d’une décision contraignante du CEPD, ainsi que le prévoit le paragraphe 8 du même article. Un tel régime n’est pas prévu en ce qui concerne les avis du CEPD
sur des questions générales, rendus sur le fondement de l’article 64, paragraphe 2, du règlement 2016/679, comme l’avis attaqué. Ces derniers sont donc des avis auxquels aucune autorité particulière n’est attachée.
29 Certes, l’article 65, paragraphe 1, sous c), du même règlement dispose que le CEPD adopte une décision contraignante « lorsqu’une autorité de contrôle compétente ne demande pas l’avis du [CEPD] dans les cas visés à l’article 64, paragraphe 1, ou qu’elle ne suit pas l’avis du [CEPD] émis en vertu de l’article 64 » et que, « [d]ans ce cas, toute autorité de contrôle concernée ou la Commission peut saisir le [CEPD] de la question ». Par ailleurs, s’agissant d’avis sur des questions générales de
fond, comme en l’espèce, si, dans le cadre d’une procédure conduite par une autorité de contrôle chef de file visant un ou des traitements de données transfrontaliers particuliers, celle-ci se démarque, en tout ou partie, d’un avis du CEPD de ce type au travers d’un projet de décision qu’elle doit établir sur le fondement de l’article 60, paragraphe 3, du règlement 2016/679, il est possible que le CEPD soit conduit à revoir la question débattue en adoptant alors une décision contraignante sur le
fondement de l’article 65, paragraphe 1, sous a), du même règlement. Toutefois, dans les deux cas, l’avis adopté sur le fondement de l’article 64, paragraphe 2, du règlement 2016/679, tel que l’avis attaqué, n’a pas la nature d’un acte en lui-même contraignant, les orientations qu’il contient ne pouvant, eu égard aux pouvoirs du CEPD, le cas échéant, se traduire ultérieurement en tant qu’instructions obligatoires pour des autorités de contrôle que dans une décision contraignante subséquente de
celui-ci. Le fait, souligné par Meta, qu’un tel avis soit l’un des instruments du mécanisme de contrôle de la cohérence prévu dans le règlement 2016/679 n’y change rien. En effet, ce mécanisme, tout comme les règles de coopération entre autorités de contrôle, prévoit une phase consultative, non contraignante, avant que, le cas échéant, des décisions contraignantes du CEPD soient adoptées.
30 Il résulte de ce qui précède que l’avis attaqué ne produit pas d’effets juridiques obligatoires à l’égard de tiers.
31 Il en est ainsi a fortiori en ce qui concerne Meta. En effet, même si celle-ci se trouve dans la situation qui fait l’objet de l’avis attaqué, à défaut d’y trouver une analyse complète de son cas ‑ qu’il appartient en priorité, pour ce qui concerne les autorités publiques, aux autorités de contrôle compétentes d’effectuer ‑ cet avis ne saurait en tout état de cause emporter d’effets juridiques obligatoires à son égard et modifier sa situation juridique de façon caractérisée.
32 De même, si Meta décide d’appliquer, de sa propre initiative, la grille d’analyse exposée dans l’avis attaqué et d’en tirer des conséquences ou si l’autorité de protection des données irlandaise applique d’elle-même cette grille d’analyse, en adoptant le cas échéant à l’égard de Meta des mesures correctrices prévues à l’article 58, paragraphe 2, du règlement 2016/679, elles le feront sans y être juridiquement contraintes par l’avis attaqué.
33 À cet égard, le fait, souligné par Meta, que l’autorité de protection des données irlandaise lui a indiqué qu’elle se considérait obligée de tenir compte de l’avis attaqué, en invoquant l’article 57, paragraphe 1, sous g), du règlement 2016/679, selon lequel chaque autorité de contrôle coopère avec les autres autorités de contrôle en vue d’assurer une application cohérente dudit règlement, ne saurait donner à l’avis attaqué une portée obligatoire qu’il n’a pas en lui-même et que l’obligation de
coopération en question ne lui confère pas non plus. En effet, une obligation de coopération pour mettre en œuvre une politique harmonisée au sein de l’Union ne saurait donner à des actes non contraignants de l’Union un caractère contraignant, même si ces actes doivent être pris en considération (voir, en ce sens et par analogie, arrêt du 13 février 2014, Mediaset, C‑69/13, EU:C:2014:71, points 27 à 32).
34 En outre, contrairement à ce que soutient Meta, l’éventualité d’une décision contraignante ultérieure du CEPD adressée aux autorités de contrôle compétentes qui examineraient le modèle « consentir ou payer » retenu par Meta, reprenant tout ou partie de la grille d’analyse exposée dans l’avis attaqué, ne suffit pas pour considérer que ce dernier est d’emblée contraignant. Au demeurant, il n’est pas exclu que l’examen concret en question conduise à réapprécier, dans ce dossier, des orientations
générales figurant dans l’avis attaqué.
35 Par ailleurs, à supposer que, comme le soutient Meta, l’avis attaqué méconnaisse l’appréciation des modèles « consentir ou payer » donnée par la Cour à titre préjudiciel dans l’arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) (C‑252/21, EU:C:2023:537), il ne saurait non plus, eu égard à son caractère non contraignant, modifier la situation juridique de Meta.
36 À la lumière de l’ensemble des considérations qui précèdent, il y a lieu de conclure que l’avis attaqué ne constitue pas un acte attaquable par Meta.
37 Cette conclusion ne porte pas atteinte, contrairement à ce que Meta soutient, à son droit à une protection juridictionnelle effective, consacré à l’article 47 de la charte des droits fondamentaux. Dès lors que l’avis attaqué n’emporte pas d’effets juridiques contraignants, le fait qu’il ne soit pas attaquable par Meta dans le cadre d’un recours en annulation ne saurait constituer une atteinte à son droit à une protection juridictionnelle effective. Les considérations qu’il contient ne pourraient
directement affecter Meta que si elles étaient reprises dans une décision d’une autorité de contrôle ou d’une juridiction d’un État membre ou d’un autre État partie à l’accord EEE. Si tel est le cas, ces décisions pourront faire, ou auront fait, l’objet d’une appréciation par une juridiction répondant aux exigences dudit article.
38 La conclusion selon laquelle l’avis attaqué ne constitue pas un acte attaquable par Meta ne saurait non plus être remise en cause par l’argumentation de celle-ci selon laquelle le contenu de cet avis pourrait être apprécié différemment par des juridictions d’États parties à l’accord EEE non membres de l’Union et par des juridictions d’États membres de cette dernière, qui, à l’inverse des premières, peuvent adresser à son propos des questions préjudicielles à la Cour, ce qui pourrait porter
atteinte à l’unité du droit de l’Union.
39 En effet, une telle éventualité est inhérente au système retenu dans l’accord EEE en vue d’assurer la bonne mise en œuvre des règles applicables en vertu de cet accord. Ce système repose sur deux piliers de surveillance et de contrôle juridictionnel, le premier étant applicable pour les États membres de l’Union et le second pour les autres États parties à cet accord. En ce qui concerne ces derniers, il est notamment stipulé, à l’article 108, paragraphe 2, dudit accord et à l’article 34 de
l’accord entre les États de l’AELE relatif à l’institution d’une autorité de surveillance et d’une cour de justice (JO 1994, L 344, p. 1), que la Cour de l’Association européenne de libre-échange (AELE) peut être saisie par une juridiction de ces États pour obtenir un avis pour l’interprétation de ces règles, donc notamment pour l’interprétation du règlement 2016/679. Si elle est saisie dans ce cadre, la Cour AELE pourrait ainsi indiquer dans quelle mesure elle estime que les considérations
figurant dans l’avis attaqué sont conformes audit règlement. Elle pourrait aussi, le cas échéant, indiquer que ces considérations n’ont pas un caractère contraignant. S’agissant des États membres de l’Union, la Cour pourrait être saisie par une juridiction de ces États pour apprécier la validité de l’avis attaqué. En effet, bien que l’article 263 TFUE exclue le contrôle de la Cour au titre du recours en annulation sur les actes dépourvus d’effets juridiques obligatoires, celle-ci peut, en
application de l’article 267 TFUE, apprécier la validité de tels actes lorsqu’elle statue à titre préjudiciel (voir arrêt du 15 juillet 2021, FBF, C‑911/19, EU:C:2021:599, point 54 et jurisprudence citée).
40 Il y a lieu de souligner qu’une possible différence d’appréciation des deux Cours d’un acte de l’Union au terme de ces procédures peut intervenir dans n’importe lequel des nombreux domaines régis par l’accord EEE. Suivre le raisonnement de Meta, selon lequel, pour éviter l’éventualité de différences d’appréciation, il faudrait admettre un recours en annulation contre un acte non contraignant de l’Union, conduirait donc à méconnaître et à bouleverser très largement les conditions de recevabilité
des recours en annulation telles que définies à l’article 263 TFUE.
41 L’éventualité d’une atteinte à l’unité du droit de l’Union, telle qu’identifiée par Meta, est, par conséquent, un inconvénient potentiel lié au fait que des règles de l’Union s’appliquent en vertu d’un accord international en dehors du territoire des États membres de l’Union, dans un autre système juridictionnel. Cet inconvénient potentiel, au demeurant pris en compte dans l’accord EEE, qui prévoit à son article 111 un mécanisme de règlement des différends, lequel fait le cas échéant intervenir
la Cour, ne saurait conduire à méconnaître les règles de l’Union au sein de celle-ci.
42 Il résulte de l’ensemble des considérations qui précèdent qu’il convient d’accueillir l’exception d’irrecevabilité soulevée par le CEPD, en tant qu’elle est dirigée contre les conclusions en annulation, et, par conséquent, de rejeter celles-ci comme étant irrecevables, sans qu’il soit nécessaire de se prononcer sur l’autre motif d’irrecevabilité invoqué par le CEPD.
Sur les conclusions en responsabilité
43 Le CEPD excipe également de l’irrecevabilité des conclusions en responsabilité, au motif, en substance, qu’elles présentent un lien étroit avec les conclusions en annulation, lesquelles doivent être déclarées irrecevables.
44 Il convient de rappeler que le juge de l’Union est en droit d’apprécier, suivant les circonstances de chaque espèce, si une bonne administration de la justice justifie de rejeter au fond un recours, sans statuer préalablement sur sa recevabilité. En l’espèce, il y a lieu, dans un souci d’économie de la procédure, d’examiner d’emblée le bien-fondé des conclusions en responsabilité de Meta, sans statuer préalablement sur leur recevabilité, celles-ci-ci étant, pour les motifs exposés ci-après,
manifestement dépourvues de fondement (voir, en ce sens et par analogie, arrêt du 26 février 2002, Conseil/Boehringer, C‑23/00 P, EU:C:2002:118, points 51 et 52).
45 Meta expose que, en adoptant l’avis attaqué, le CEPD a violé de manière suffisamment caractérisée des règles de droit destinées à lui conférer des droits. Elle en subirait un préjudice imminent et prévisible avec une certitude suffisante. Elle prétend que les utilisateurs de ses applications choisiraient en nombre l’alternative non payante qu’elle serait obligée de leur proposer en vertu de l’avis attaqué, en sus du choix entre donner leur consentement à recevoir de la publicité comportementale
et payer pour pouvoir bénéficier du service concerné sans recevoir ce type de publicité. Cela entraînerait une baisse importante, d’une part, de ses recettes publicitaires provenant des annonceurs prêts à payer un bon prix pour placer de la publicité comportementale, mais un prix moindre pour placer d’autres types de publicité, et, d’autre part, de ses recettes d’abonnement sans publicité provenant de ses utilisateurs. Même si l’avis attaqué n’avait qu’un caractère temporaire et était annulé à un
moment donné, Meta pourrait avoir perdu définitivement certains annonceurs. Par ailleurs, il existerait un lien de causalité direct entre l’avis attaqué et le préjudice invoqué, car le premier serait la cause déterminante du second. Le CEPD aurait, en effet, œuvré pour que cet avis soit perçu comme contraignant et il faudrait tenir compte de la menace que son contenu soit repris dans des décisions contraignantes adoptées par le même organe ou repris par des juridictions, notamment celles des
États de l’AELE parties à l’accord EEE qui ne pourraient pas poser à la Cour de questions préjudicielles sur sa validité. Meta réitère à cet égard, notamment, les arguments avancés pour soutenir que l’avis attaqué produit des effets de droit obligatoires (voir point 18 ci-dessus).
46 Au titre de la responsabilité non contractuelle de l’Union et pour réparation du préjudice qu’elle allègue, Meta demande l’adoption des mesures indiquées dans ses conclusions reprises au point 9, deuxième tiret, ci-dessus.
47 Selon une jurisprudence constante, l’engagement de la responsabilité non contractuelle de l’Union, au sens de l’article 340, deuxième alinéa, TFUE, est subordonné à la réunion de trois conditions cumulatives, à savoir l’illégalité du comportement reproché aux institutions, aux organes ou aux organismes de l’Union, la réalité du dommage et l’existence d’un lien de causalité entre ce comportement et le préjudice invoqué (voir, en ce sens, arrêts du 4 juillet 2000, Bergaderm et Goupil/Commission,
C‑352/98 P, EU:C:2000:361, points 39 à 42, et du 28 octobre 2021, Vialto Consulting/Commission, C‑650/19 P, EU:C:2021:879, point 138).
48 Le caractère cumulatif de ces conditions implique que, dès lors que l’une d’entre elles n’est pas remplie, le recours en indemnité doit être rejeté dans son ensemble sans qu’il soit nécessaire d’examiner les autres conditions (voir arrêt du 25 février 2021, Dalli/Commission, C‑615/19 P, EU:C:2021:133, point 42 et jurisprudence citée). En outre, le juge de l’Union n’est pas tenu d’examiner si lesdites conditions sont remplies dans un ordre déterminé (arrêt du 9 septembre 1999,
Lucaccioni/Commission, C‑257/98 P, EU:C:1999:402, point 13).
49 Il y a lieu d’examiner tout d’abord la condition relative à la réalité du dommage allégué.
50 S’agissant de cette condition, il importe de rappeler que le dommage doit être « réel et certain ». En revanche, un dommage purement hypothétique et indéterminé ne donne pas droit à réparation (voir arrêt du 26 octobre 2011, Dufour/BCE, T‑436/09, EU:T:2011:634, point 192 et jurisprudence citée). Cependant, la condition relative à l’existence d’un dommage certain est remplie dès lors que le dommage est imminent et prévisible avec une certitude suffisante, même s’il ne peut pas encore être chiffré
avec précision (voir arrêt du 3 décembre 2015, CN/Parlement, T‑343/13, EU:T:2015:926, point 118 et jurisprudence citée).
51 En outre, il incombe à la partie requérante d’apporter des éléments de preuve concluants, notamment, de l’existence du dommage allégué (voir, en ce sens, arrêts du 16 juillet 2009, SELEX Sistemi Integrati/Commission, C‑481/07 P, non publié, EU:C:2009:461, point 36 et jurisprudence citée, et du 8 novembre 2011, Idromacchine e.a./Commission, T‑88/09, EU:T:2011:641, point 25 et jurisprudence citée).
52 En l’espèce, le préjudice allégué par Meta consiste en la baisse de revenus publicitaires et de revenus d’abonnement qui, selon elle, résultera de l’« exigence », prétendument prévue par l’avis attaqué, d’offrir aux utilisateurs une alternative non payante en sus du choix entre, d’une part, consentir à recevoir de la publicité comportementale et, d’autre part, payer pour pouvoir bénéficier du service concerné sans recevoir ce type de publicité. Meta soutient que l’autorité de protection des
données irlandaise « se sentira obligée » d’imposer une telle alternative, « sous une forme ou une autre », ou devra le faire à la suite d’une décision contraignante adoptée par le CEPD sur le fondement de l’article 65, paragraphe 1, sous c), du règlement 2016/679.
53 Force est de constater que ce préjudice repose, d’une part, sur une compréhension erronée de l’avis attaqué, qui, ainsi que cela a notamment été constaté aux points 21 et 30 ci-dessus, ne vise, en substance, qu’à fournir une grille d’analyse des modèles « consentir ou payer » des grandes plateformes en ligne au regard des règles énoncées dans le règlement 2016/679 relatives à la validité du consentement et n’est pas destiné à produire en lui-même des effets juridiques obligatoires. Il repose,
d’autre part, sur des événements futurs et incertains, le fait que l’autorité de protection des données irlandaise décide d’appliquer de sa propre initiative cette grille d’analyse ou que le CEPD adopte une décision contraignante en la matière n’étant que de simples éventualités.
54 La condition relative à l’existence d’un dommage réel et certain n’est donc pas satisfaite.
55 Au surplus, s’agissant de la condition relative au lien de causalité, celle-ci porte sur l’existence d’un lien suffisamment direct de cause à effet entre le comportement reproché à l’institution, à l’organe ou à l’organisme de l’Union et le dommage, lien dont il appartient à la partie requérante d’apporter la preuve, de telle sorte que le comportement reproché doit être la cause déterminante du préjudice (voir arrêt du 13 décembre 2018, Union européenne/ASPLA et Armando Álvarez, C‑174/17 P
et C‑222/17 P, EU:C:2018:1015, point 23 et jurisprudence citée). En d’autres termes, il y a lieu de rechercher si l’acte illégal en cause est directement à l’origine du préjudice invoqué pour établir l’existence d’un lien direct de cause à effet entre le comportement reproché à l’Union et le dommage allégué (arrêt du 20 janvier 2010, Sungro/Conseil et Commission, T‑252/07, T‑271/07 et T‑272/07, EU:T:2010:17, point 49).
56 Or, en l’espèce, manifestement, un tel lien n’est pas établi entre l’avis attaqué et le préjudice allégué par Meta. En effet, il résulte de l’analyse effectuée aux points 20 à 36 ci-dessus que l’avis attaqué n’emporte pas d’effets de droit obligatoires, autrement dit qu’il n’a pas d’effets contraignants. Par conséquent, il ne saurait être la cause suffisamment directe de l’éventuelle baisse de revenus à laquelle Meta prétend s’attendre. Un tel préjudice pourrait résulter directement d’un
comportement volontaire de celle-ci ou d’éventuelles décisions s’imposant à elle, l’amenant à proposer aux utilisateurs une alternative non payante en sus du choix entre, d’une part, donner leur consentement à recevoir de la publicité comportementale et, d’autre part, payer pour pouvoir bénéficier du service concerné sans recevoir ce type de publicité.
57 L’ensemble des conclusions présentées au titre de la responsabilité non contractuelle de l’Union doivent donc être rejetées comme étant manifestement dépourvues de tout fondement en droit, sans qu’il soit nécessaire d’examiner la condition relative à l’illégalité du comportement reproché au CEPD.
58 Partant, le recours doit être rejeté dans son intégralité.
59 Dans ces circonstances, il n’y a pas lieu de statuer sur les demandes d’intervention présentées par le Conseil de l’Union européenne, le Parlement européen et la société de droit américain Chamber of Progress.
Sur les dépens
60 Aux termes de l’article 134, paragraphe 1, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. Meta ayant succombé, il y a lieu de la condamner aux dépens, conformément aux conclusions du CEPD.
61 En outre, en application de l’article 144, paragraphe 10, du règlement de procédure, dans le cas où, comme en l’espèce, il est mis fin à l’instance dans l’affaire principale avant qu’il soit statué sur la demande d’intervention, le demandeur en intervention et les parties principales supportent chacun leurs propres dépens afférents à la demande d’intervention. Étant donné que les demandes d’intervention n’ont été notifiées ni à Meta ni au CEPD et que, dès lors, ceux-ci n’ont pas été mis en
situation d’engager des dépens à cet égard, il y a lieu de considérer que le Conseil, le Parlement et Chamber of Progress supporteront chacun leurs propres dépens afférents aux demandes d’intervention.
Par ces motifs,
LE TRIBUNAL (dixième chambre)
ordonne :
1) Le recours est rejeté pour partie comme étant irrecevable et pour partie comme étant manifestement dépourvu de tout fondement en droit.
2) Il n’y a pas lieu de statuer sur les demandes d’intervention du Conseil de l’Union européenne, du Parlement européen et de Chamber of Progress.
3) Meta Platforms Ireland Ltd supportera ses propres dépens ainsi que ceux exposés par le Comité européen de la protection des données.
4) Le Conseil, le Parlement et Chamber of Progress supporteront chacun leurs propres dépens afférents aux demandes d’intervention.
Fait à Luxembourg, le 29 avril 2025.
Le greffier
V. Di Bucci
La présidente
O. Porchia
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’anglais.
