ARRÊT DU TRIBUNAL (dixième chambre élargie)
16 juillet 2025 ( *1 )
« Protection des données à caractère personnel – Réclamation contre le responsable du traitement des données à caractère personnel des utilisateurs d’un réseau social en ligne dans l’Union – Article 65, paragraphe 1, sous a), du règlement (UE) 2016/679 – Décision contraignante du Comité européen de la protection des données – Demande d’accès de l’auteur de la réclamation au dossier préparatoire à la décision contraignante – Refus d’accès – Recours en annulation – Acte susceptible de recours –
Recevabilité – Article 41, paragraphe 2, sous b), de la charte des droits fondamentaux »
Dans l’affaire T‑183/23,
Lisa Ballmann, demeurant à Innsbruck (Autriche), représentée par Me F. Mikolasch, avocat,
partie requérante,
contre
Comité européen de la protection des données, représenté par Mmes I. Vereecken, M. Gufflet et N. Peris Brines, en qualité d’agents, assistées de Mes G. Ryelandt, E. de Lophem et P. Vernet, avocats,
partie défenderesse,
soutenu par
Meta Platforms Ireland Ltd, établie à Dublin (Irlande), représentée par Mes M. Braun, H.-G. Kamann, F. Louis, A. Vallery, avocats, MM. D. Breatnach, B. Johnston, C. Monaghan, P. Nolan, Mme L. Joyce, solicitors, M. D. McGrath, Mmes E. Egan McGrath, SC, et H. Godfrey, barrister,
partie intervenante,
LE TRIBUNAL (dixième chambre élargie),
composé de Mme O. Porchia, présidente, MM. M. Jaeger, L. Madise (rapporteur), P. Nihoul et S. Verschuur, juges,
greffier : Mme S. Spyropoulos, administratrice,
vu la phase écrite de la procédure, notamment l’ordonnance du 17 avril 2024, Ballmann/Comité européen de la protection des données (T‑183/23, non publiée, EU:T:2024:261), admettant Meta Platforms Ireland à intervenir au soutien du Comité européen de la protection des données,
vu les questions du Tribunal aux parties du 4 décembre 2024,
à la suite de l’audience du 4 février 2025,
rend le présent
Arrêt
1 Par son recours fondé sur l’article 263 TFUE, la requérante, Mme Lisa Ballmann, demande l’annulation de la décision du Comité européen de la protection des données (ci-après le « CEPD »), contenue dans un courriel du 7 février 2023, rejetant sa demande d’accès, présentée sur le fondement de l’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »), au dossier préparatoire à la décision contraignante 3/2022 du CEPD relative au litige,
soumis par la Data Protection Commission (autorité de protection des données, Irlande, ci-après l’« autorité de contrôle irlandaise »), concernant l’intervenante, Meta Platforms Ireland Ltd (ci-après « Meta »), et son service Facebook (ci-après la « décision attaquée »).
Antécédents du litige et faits postérieurs à l’introduction du recours
2 Le 25 mai 2018, la requérante, agissant par l’intermédiaire de l’association à but non lucratif NOYB – European Center for Digital Rights (ci-après « NOYB »), a saisi l’Österreichische Datenschutzbehörde (Autorité autrichienne de protection des données) d’une réclamation au titre de l’article 77 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1), à l’encontre de Facebook Ireland Ltd (devenue, en 2022, Meta), concernant les traitements de données liés à l’utilisation du réseau social Facebook. La réclamation dénonçait de possibles violations de plusieurs dispositions de ce règlement, et, en particulier, de ses articles 6 et 9.
3 Le 30 mai 2018, l’Autorité autrichienne de protection des données a transmis la réclamation à l’autorité de contrôle irlandaise, considérant que, eu égard au caractère transfrontalier des traitements de données liés à l’utilisation du réseau social Facebook et au lieu d’établissement de Meta en Irlande, cette dernière autorité était l’autorité compétente pour agir en tant qu’« autorité de contrôle chef de file », conformément à l’article 56, paragraphe 1, du règlement 2016/679.
4 Le 6 octobre 2021, à la suite de l’enquête qu’elle avait conduite, l’autorité de contrôle irlandaise a soumis aux autres autorités de contrôle concernées, à savoir les autorités de contrôle des autres États membres et des autres États parties à l’accord sur l’Espace économique européen (EEE), un projet de décision, conformément à l’article 60, paragraphe 3, du règlement 2016/679. Plusieurs de ces autres autorités ont formulé des objections pertinentes et motivées, au sens de l’article 4, point 24,
de ce règlement, à l’égard de certaines appréciations contenues dans ce projet de décision.
5 Après avoir eu communication du projet de décision de l’autorité de contrôle irlandaise, la requérante, à la suite d’une divergence de vues entre elle-même et cette autorité au sujet du caractère confidentiel de ce projet de décision et d’autres documents échangés dans le cadre de la procédure, n’aurait plus été associée à celle-ci. En particulier, elle n’aurait pas eu copie des objections pertinentes et motivées des autorités de contrôle concernées, n’aurait pas pu, contrairement à Meta,
présenter des observations sur ces objections et n’aurait pas eu accès aux observations de cette dernière.
6 Le 25 juillet 2022, après avoir eu des échanges avec les autres autorités de contrôle concernées et avoir décidé de ne pas suivre certaines objections pertinentes et motivées formulées à l’égard de son projet de décision, l’autorité de contrôle irlandaise a saisi le CEPD dans le cadre du mécanisme de contrôle de la cohérence instauré par le règlement 2016/679, conformément à l’article 60, paragraphe 4, de celui-ci, afin qu’il prenne position sur ces objections en adoptant une décision
contraignante sur le fondement de l’article 65, paragraphe 1, sous a), du même règlement.
7 Le 10 août 2022, NOYB a écrit au CEPD pour éviter, selon elle, que se poursuive dans le cadre de la procédure devant cet organe une violation du droit de la requérante d’être entendue ainsi que du principe d’égalité de traitement, consacrés respectivement aux articles 41 et 20 de la Charte. NOYB a invité le CEPD à se conformer à ces dispositions en lui permettant d’être entendue après lui avoir donné accès au dossier complet de l’affaire.
8 Par lettre du 21 novembre 2022, le CEPD a répondu à NOYB que, conformément à l’article 41, paragraphe 2, sous a), de la Charte et à l’article 11 de son règlement intérieur, il avait la responsabilité de veiller à ce que toute partie susceptible d’être affectée défavorablement par une décision contraignante adoptée sur le fondement de l’article 65, paragraphe 1, sous a), du règlement 2016/679 soit entendue avant l’adoption d’une telle décision. Il a rappelé que ses décisions étaient adressées à
l’autorité de contrôle chef de file et aux autorités de contrôle concernées, à l’exclusion de toute autre partie, et que, dans le cadre de l’article 65, paragraphe 1, sous a), du règlement 2016/679, il n’était pas tenu d’effectuer un examen complet du projet de décision de l’autorité de contrôle chef de file ou du processus de prise de décision de cette autorité. Il a informé NOYB que, après une analyse approfondie de la portée du litige, il avait conclu que la requérante n’était pas susceptible
d’être affectée défavorablement par la décision contraignante qu’il serait appelé à prendre dans la procédure en cause et qu’elle n’avait donc pas le droit d’être entendue devant lui.
9 Le 5 décembre 2022, le CEPD a adopté la décision contraignante 3/2022. Au point 19 de cette décision, le CEPD indique qu’il considère que la requérante n’est pas susceptible d’être affectée défavorablement par ladite décision, de sorte qu’elle ne remplit pas les conditions pour se voir accorder le droit d’être entendue par lui en vertu de l’article 41 de la Charte, de la jurisprudence applicable et de l’article 11 de son règlement intérieur. Il est précisé, au même point, que cela est sans
préjudice de tout droit d’être entendu et des droits connexes que la requérante peut avoir devant les autorités de contrôle nationales.
10 Le 31 décembre 2022, l’autorité de contrôle irlandaise a adopté une décision finale, conformément à l’article 60, paragraphe 7, du règlement 2016/679, visant à mettre en œuvre la décision contraignante 3/2022.
11 Par courriel du 6 janvier 2023, NOYB a demandé au CEPD de lui communiquer la décision contraignante 3/2022, la décision finale de l’autorité de contrôle irlandaise et les objections pertinentes et motivées formulées par les autorités de contrôle concernées à l’égard du projet de décision de l’autorité de contrôle irlandaise, en invoquant l’article 41 de la Charte, les articles 60 et 65 du règlement 2016/679, et « le droit d’accès aux documents en vertu du droit de l’Union ».
12 En réponse à ce courriel, le CEPD a indiqué à NOYB, le 11 janvier 2023, qu’il lui fournirait les liens Internet vers le texte des décisions demandées dès qu’elles seraient publiées et que sa demande d’accès aux objections pertinentes et motivées serait traitée comme une demande d’accès aux documents au titre du règlement (CE) no 1049/2001 du Parlement européen et du Conseil, du 30 mai 2001, relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO 2001,
L 145, p. 43). Le même jour, NOYB a informé le CEPD qu’elle avait reçu la décision finale de l’autorité de contrôle irlandaise. Le 12 janvier 2023, le CEPD a fourni à NOYB le lien Internet vers le texte de la décision contraignante 3/2022.
13 Par courriel du 25 janvier 2023, NOYB a présenté auprès du CEPD une nouvelle demande d’accès au dossier complet de ce dernier, en invoquant principalement les droits de la requérante tirés de l’article 41 de la Charte « en tant que partie » ainsi que « toute autre base juridique », telle que l’article 42 de la Charte, l’article 15 TFUE ou le règlement no 1049/2001.
14 Les 26 janvier et 2 février 2023, le CEPD, se référant au courriel du 6 janvier 2023 de NOYB, a, sur le fondement du règlement no 1049/2001, donné à cette dernière un accès complet à certaines des objections pertinentes et motivées demandées et un accès partiel à d’autres de ces objections.
15 Le 31 janvier 2023, en réponse à une demande de clarification du CEPD à NOYB, cette dernière a souligné que sa demande d’accès au dossier était principalement fondée sur l’article 41 de la Charte, « mais aussi sur toute autre base juridique », et ne se limitait pas aux objections pertinentes et motivées.
16 Dans la décision attaquée, d’une part, le CEPD, envisageant la demande d’accès au dossier au regard du règlement no 1049/2001, a invité NOYB à clarifier la portée de cette demande, conformément à l’article 6, paragraphe 2, de ce règlement, et à accepter un arrangement équitable en vertu du paragraphe 3 du même article. D’autre part, il a indiqué que, en parallèle, il avait évalué de manière approfondie la demande d’accès au dossier au titre de l’article 41, paragraphe 2, sous b), de la Charte et
qu’il considérait que la requérante, en tant qu’auteure de la réclamation, ne disposait pas d’un droit d’accès à ce titre. S’agissant de ce dernier aspect, le CEPD s’est notamment référé au point 19 de la décision contraignante 3/2022 (voir point 9 ci-dessus) et à sa lettre du 21 novembre 2022 (voir point 8 ci-dessus), en réitérant que la requérante n’était pas susceptible d’être affectée défavorablement par cette décision contraignante.
17 Par requête déposée au greffe du Tribunal le 7 avril 2023, la requérante a introduit le présent recours.
18 Par décision du 12 avril 2023, le CEPD a, sur le fondement du règlement no 1049/2001, donné à NOYB un accès complet à certains des documents demandés par cette dernière dans son courriel du 25 janvier 2023 et un accès partiel à d’autres de ces documents.
Conclusions
19 La requérante conclut à ce qu’il plaise au Tribunal :
– annuler la décision attaquée dans la mesure où le CEPD y rejette la demande d’accès au dossier qu’elle a présentée en vertu de l’article 41, paragraphe 2, sous b), de la Charte ;
– condamner le CEPD aux dépens ;
– condamner Meta à supporter ses propres dépens.
20 Le CEPD conclut à ce qu’il plaise au Tribunal :
– rejeter le recours comme étant irrecevable ;
– à titre subsidiaire, rejeter le recours comme étant non fondé ;
– condamner la requérante aux dépens et, à défaut, condamner Meta à supporter ses propres dépens.
21 Meta conclut à ce qu’il plaise au Tribunal :
– rejeter le recours comme étant irrecevable ;
– à titre subsidiaire, rejeter le recours comme étant non fondé ;
– condamner la requérante aux dépens, y compris ceux qu’elle a exposés.
En droit
Sur la recevabilité du recours
22 Le CEPD excipe de l’irrecevabilité du recours au motif que la décision attaquée ne modifierait pas la situation juridique de la requérante. Elle ne constituerait qu’un acte intermédiaire à l’égard de cette dernière, acte dont l’objectif aurait été d’obtenir de la part de celle-ci davantage de précisions sur l’objet de sa demande d’accès, conformément à l’article 6, paragraphe 2, du règlement no 1049/2001, et de trouver un arrangement équitable avec elle en application du paragraphe 3 de cet
article, eu égard au grand nombre de documents concernés, ce que la requérante aurait d’ailleurs accepté. La décision attaquée ne contiendrait donc pas de position finale du CEPD sur le fond de la demande d’accès et, en particulier, ne porterait pas rejet de celle-ci.
23 À cet égard, le CEPD précise qu’il a, en effet, traité la demande d’accès de la requérante sur le fondement de l’une des diverses bases juridiques avancées par NOYB dans son courriel du 25 janvier 2023, en l’occurrence le règlement no 1049/2001, et que cela l’a conduit à lui communiquer de nombreux documents, tant avant qu’après la décision attaquée. Il affirme que cette demande avait pour seul objet d’obtenir certains documents, indépendamment de la base juridique invoquée. Ainsi, la requérante
aurait introduit une demande fondée sur plusieurs bases juridiques, plutôt que plusieurs demandes, chacune fondée sur une base juridique différente. Se référant à sa décision du 12 avril 2023 (voir point 18 ci-dessus), il prétend que, sur la base du règlement no 1049/2001, la requérante a finalement eu accès aux mêmes documents que si sa demande avait été examinée au regard de l’article 41, paragraphe 2, sous b), de la Charte.
24 Meta soutient que le recours est irrecevable au motif que la décision attaquée, dans la mesure où elle porte sur l’article 41, paragraphe 2, sous b), de la Charte, ne serait qu’un acte purement confirmatif de la réponse du CEPD contenue dans sa lettre à NOYB du 21 novembre 2022 (voir point 8 ci-dessus), laquelle ne serait elle-même qu’un acte intermédiaire dans la procédure ayant conduit à l’adoption de la décision contraignante 3/2022. Par cette lettre, le CEPD aurait rejeté la demande d’accès
formulée par la requérante le 10 août 2022 (voir point 7 ci-dessus). Ce rejet n’aurait pu être contesté qu’à l’occasion d’un recours contre la décision contraignante 3/2022 clôturant la procédure.
25 La requérante soutient que son recours est recevable.
26 Selon une jurisprudence constante, le recours en annulation, prévu à l’article 263 TFUE, est ouvert à l’encontre de tous les actes pris par les institutions, organes ou organismes de l’Union européenne, quelles qu’en soient la nature ou la forme, qui visent à produire des effets juridiques obligatoires de nature à affecter les intérêts de la partie requérante, en modifiant de façon caractérisée la situation juridique de celle-ci (voir, en ce sens, arrêts du 11 novembre 1981, IBM/Commission,
60/81, EU:C:1981:264, point 9, et du 18 novembre 2010, NDSHT/Commission, C‑322/09 P, EU:C:2010:701, point 45 et jurisprudence citée).
27 Pour déterminer si un acte produit des effets juridiques obligatoires, il y a lieu de s’attacher à la substance de cet acte et d’apprécier lesdits effets à l’aune de critères objectifs, tels que le contenu de ce même acte, en tenant compte, le cas échéant, du contexte de l’adoption de ce dernier ainsi que des pouvoirs de l’institution qui en est l’auteure (voir arrêt du 20 février 2018, Belgique/Commission, C‑16/16 P, EU:C:2018:79, point 32 et jurisprudence citée).
28 À cet égard, constituent en principe des actes attaquables les mesures qui fixent définitivement la position d’une institution, d’un organe ou d’un organisme de l’Union au terme d’une procédure administrative et qui visent à produire des effets de droit obligatoires de nature à affecter les intérêts de la partie requérante, à l’exclusion notamment des mesures intermédiaires dont l’objectif est de préparer la décision finale, qui n’ont pas de tels effets, ainsi que des actes purement confirmatifs
d’un acte antérieur non attaqué dans les délais (voir arrêt du 25 juin 2020, CSUE/KF, C‑14/19 P, EU:C:2020:492, point 70 et jurisprudence citée).
29 En premier lieu, s’agissant de la fin de non-recevoir opposée par le CEPD, celle-ci repose sur la prémisse selon laquelle, dans la décision attaquée, il ne s’est pas prononcé sur la demande d’accès fondée sur l’article 41, paragraphe 2, sous b), de la Charte, ayant choisi de traiter la demande d’accès uniquement au regard du règlement no 1049/2001, base juridique également invoquée dans le courriel de NOYB du 25 janvier 2023 (voir point 13 ci-dessus) et qui aurait conduit au même résultat que
s’il avait appliqué la disposition précitée. Or, cette prémisse est erronée.
30 La décision attaquée constitue une réponse du CEPD à la demande d’accès au dossier contenue dans le courriel de NOYB du 25 janvier 2023. Dans ce courriel, la requérante a fondé cette demande, à titre principal, sur l’article 41 de la Charte et, à titre supplémentaire, « sur toute autre base juridique », à savoir, pour l’essentiel, le règlement no 1049/2001.
31 Il ressort de la décision attaquée que, dans celle-ci, le CEPD s’est prononcé tant sur la demande d’accès fondée sur l’article 41 de la Charte, en comprenant, à juste titre, qu’était plus spécifiquement visé le paragraphe 2, sous b), de cet article, que sur celle fondée sur le règlement no 1049/2001. Ainsi, s’agissant de la demande d’accès au titre de ce règlement, il a invité la requérante à en clarifier la portée et à accepter un arrangement équitable. Dans cette mesure, comme le soutient le
CEPD, la décision attaquée ne constitue qu’une mesure intermédiaire dont l’objectif est de préparer la décision finale – intervenue en l’espèce le 12 avril 2023 (voir point 18 ci-dessus) – et qui ne produit aucun effet juridique obligatoire de nature à affecter les intérêts de la requérante. Ce volet de la décision attaquée ne fait toutefois pas l’objet du présent recours.
32 S’agissant de la demande d’accès au dossier au titre de l’article 41, paragraphe 2, sous b), de la Charte, le CEPD a indiqué l’avoir appréciée « de manière approfondie », avant de conclure à son rejet au motif que la requérante, n’étant pas susceptible d’être affectée défavorablement par la décision contraignante 3/2022, ne bénéficiait pas d’un tel droit d’accès. Partant, il y a lieu de constater que la décision attaquée contient un refus d’accès au dossier demandé par la requérante sur le
fondement de l’article 41, paragraphe 2, sous b), de la Charte. En outre, la demande d’accès au dossier et, par voie de conséquence, la décision attaquée étant intervenues à un moment où tant la décision contraignante 3/2022 que la décision finale de l’autorité de contrôle irlandaise avaient déjà été adoptées, il convient de considérer que la décision attaquée fixe définitivement la position du CEPD par rapport à cette demande d’accès, dans la mesure où elle se fonde sur l’article 41,
paragraphe 2, sous b), de la Charte, et affecte immédiatement et de manière irréversible la situation juridique de la requérante en ce qui concerne son éventuel droit d’accès au dossier du CEPD.
33 La circonstance selon laquelle le CEPD a examiné en parallèle la demande d’accès sur le fondement du règlement no 1049/2001 ne remet pas en cause les conclusions qui précèdent. Le droit d’accès au dossier, consacré à l’article 41, paragraphe 2, sous b), de la Charte, et le droit d’accès du public aux documents des institutions, prévu par le règlement no 1049/2001, relèvent en effet de deux régimes juridiques différents.
34 Ainsi, tout d’abord, ces deux droits n’ont pas les mêmes bénéficiaires : tandis que le droit d’accès aux documents est reconnu à tout citoyen de l’Union et à toute personne physique ou morale résidant ou ayant son siège dans un État membre, le droit d’accès au dossier bénéficie à la personne que le dossier en cause « concerne », à savoir le titulaire du droit lui-même.
35 Ensuite, ces deux droits ne visent pas nécessairement les mêmes documents : le droit d’accès consacré à l’article 41, paragraphe 2, sous b), de la Charte s’applique au dossier de la personne concernée par celui-ci, alors que le droit d’accès prévu par le règlement no 1049/2001 s’applique à tout document d’une institution, indépendamment de l’existence du dossier d’une personne concernée.
36 Par ailleurs, tandis que le règlement no 1049/2001 prévoit, à ses articles 7 et 8, une procédure administrative en deux phases, préalable à un éventuel recours devant le juge de l’Union, une telle exigence n’existe pas pour une demande d’accès au dossier au titre de l’article 41, paragraphe 2, sous b), de la Charte.
37 Enfin, le droit d’accès aux documents est soumis à certaines limites fondées sur des raisons d’intérêts publics ou privés. Plus spécifiquement, le règlement no 1049/2001 prévoit, à son article 4, un régime d’exceptions autorisant les institutions à refuser l’accès à un document dans le cas où la divulgation de ce dernier porterait atteinte à l’un des intérêts protégés par cet article. Le droit d’accès au dossier n’est, pour sa part, limité que par « le respect des intérêts légitimes de la
confidentialité et du secret professionnel et des affaires ». Il convient d’ajouter que cette dernière différence entre les deux régimes a pour conséquence qu’il n’est pas garanti qu’une demande d’accès fondée sur le règlement no 1049/2001 aboutisse, en toutes circonstances, au même résultat, s’agissant des documents communiqués, que si elle avait été formulée sur la base de l’article 41, paragraphe 2, sous b), de la Charte. À cet égard, il y a lieu de relever que, lors de l’audience, en réponse
à une question du Tribunal, et contrairement à ce qu’il soutenait dans ses écritures, le CEPD a admis que, en l’espèce, la requérante aurait eu un accès plus large aux documents en vertu de cette dernière disposition que celui dont elle avait bénéficié en vertu du règlement no 1049/2001.
38 Il s’ensuit que la fin de non-recevoir soulevée par le CEPD doit être écartée.
39 En second lieu, s’agissant de l’argument tiré de la nature purement confirmative de la décision attaquée, il suffit de relever qu’il procède d’une interprétation erronée de la lettre du CEPD du 21 novembre 2022. Par cette lettre, envoyée à un moment où la procédure prévue à l’article 65, paragraphe 1, sous a), du règlement 2016/679 était en cours, le CEPD répondait à la lettre de NOYB du 10 août 2022 (voir point 7 ci-dessus), qui l’invitait à permettre à NOYB d’exercer son droit d’être entendue
après lui avoir donné un accès intégral au dossier de l’affaire. Dans sa réponse, le CEPD s’est exclusivement prononcé sur le droit de la requérante d’être entendue préalablement à l’adoption de la décision contraignante, en lui déniant un tel droit et en ne mentionnant à cet égard que l’article 41, paragraphe 2, sous a), de la Charte et l’article 11 de son règlement intérieur, lequel prévoit, notamment, que, avant de prendre une telle décision, le comité doit veiller « à ce que toutes les
personnes susceptibles d’être lésées aient été entendues ». Dans sa lettre du 21 novembre 2022, le CEPD n’a pas pris position sur la possibilité d’un accès au dossier au titre de l’article 41, paragraphe 2, sous b), de la Charte. Il s’ensuit que la décision attaquée ne saurait être considérée comme étant purement confirmative de cette lettre.
40 Il en va d’autant plus ainsi que, comme cela a été constaté au point 30 ci-dessus, ladite décision constitue en réalité une réponse du CEPD à la demande d’accès au dossier contenue dans le courriel de NOYB du 25 janvier 2023. Comme il l’a confirmé lors de l’audience, le CEPD a traité la demande d’accès au dossier du 25 janvier 2023 comme une demande nouvelle par rapport à celle présentée par NOYB le 10 août 2022. En effet, cette demande a été présentée après l’adoption tant de la décision
contraignante 3/2022 que de la décision finale de l’autorité de contrôle irlandaise visant à mettre en œuvre cette décision contraignante. Elle portait donc sur un dossier plus complet que celui initialement visé. Dynamique par nature, un dossier administratif est susceptible d’évoluer au fil du temps en fonction des actes ou pièces qui y sont versés.
41 Partant, le recours doit être considéré comme étant recevable.
Sur le fond
42 À l’appui du recours, la requérante invoque un moyen unique, tiré de la violation de l’article 41, paragraphe 2, sous b), de la Charte et s’articulant en quatre branches. Dans la première branche, elle fait valoir que l’accès au dossier au titre de cette disposition n’est pas subordonné à la condition que le demandeur d’accès soit affecté défavorablement par une mesure adoptée sur la base de ce dossier, le seul critère applicable étant que le dossier concerne ce demandeur. Dans la deuxième
branche, elle soutient qu’elle est concernée par le dossier du CEPD auquel elle a demandé l’accès. Dans la troisième branche, elle affirme que le droit d’accès au dossier prévu par ladite disposition est indépendant du droit d’être entendu prévu à l’article 41, paragraphe 2, sous a), de la Charte. Dans la quatrième branche, soulevée à titre subsidiaire, elle prétend que, en tout état de cause, elle est affectée défavorablement par la décision contraignante 3/2022.
43 Les première, deuxième et troisième branches seront examinées ensemble, dès lors qu’elles reposent sur des argumentations qui sont complémentaires.
44 Dans la première branche, la requérante relève que le refus d’accès au dossier qui lui a été opposé par le CEPD dans la décision attaquée est fondé sur le constat selon lequel elle n’est pas susceptible d’être affectée défavorablement par la décision contraignante 3/2022. Or, l’article 41, paragraphe 2, sous b), de la Charte, à la différence de l’article 41, paragraphe 2, sous a), de la Charte, ne prévoirait pas une telle exigence, mais subordonnerait le droit d’accès au dossier à la seule
condition que ce dossier « concerne » le demandeur d’accès.
45 Dans la deuxième branche, la requérante soutient qu’il est incontestable que le dossier du CEPD auquel elle a demandé à avoir accès la « concerne » au sens de l’article 41, paragraphe 2, sous b), de la Charte, puisque la décision contraignante 3/2022 porte sur une affaire ouverte à la suite de la réclamation qu’elle a introduite, au titre de l’article 77 du règlement 2016/679, contre Meta, ainsi que le rappellerait le point 3 de cette décision. Dans ladite décision, il serait fait référence plus
de 160 fois à la réclamation et à son auteure.
46 Dans la troisième branche, la requérante fait valoir que le droit d’accès au dossier visé à l’article 41, paragraphe 2, sous b), de la Charte est un droit autonome par rapport au droit d’être entendu visé à l’article 41, paragraphe 2, sous a), de la Charte et qu’il a une portée plus large que ce dernier droit. Le droit d’être entendu relèverait principalement des droits de la défense, tandis que le droit d’accès au dossier serait une composante du principe de l’égalité des armes et du droit à un
recours effectif. La Cour appréhenderait les deux droits séparément et ne conditionnerait pas le droit d’accès au dossier au droit d’être entendu dans le cadre de la procédure.
47 Dans la réplique, la requérante développe l’argumentation relative au prétendu caractère autonome du droit d’accès au dossier. Dans ce contexte, elle rappelle notamment que, conformément à l’article 52, paragraphe 1, de la Charte, toute limitation de l’exercice des droits et des libertés reconnus par celle-ci doit être prévue par la loi et elle invoque plusieurs arguments ayant trait à l’interprétation littérale, téléologique et systématique, notamment, de l’article 41, paragraphe 2, sous b), de
la Charte. S’agissant de ce dernier aspect, elle fait valoir, notamment, que sa réclamation a été « traitée », au sens de l’article 41, paragraphe 1, de la Charte, dans le cadre de la procédure en cause, que, tout comme le droit de toute personne d’accéder aux données à caractère personnel collectées la concernant, consacré à l’article 8, paragraphe 2, de la Charte, le droit d’accès d’une personne au dossier qui la concerne doit pouvoir être exercé indépendamment de l’exercice d’un autre droit ou
de la circonstance qu’elle soit affectée défavorablement, et que l’usage que ferait l’intéressé du dossier le concernant serait indifférent.
48 Dans le mémoire en défense, le CEPD répond globalement aux trois premières branches du moyen unique, en soutenant, en substance, que l’article 41, paragraphe 2, sous b), de la Charte ne s’applique que dans les situations dans lesquelles la personne demandant l’accès au dossier est susceptible d’être affectée défavorablement par la décision à laquelle se rapporte ce dossier.
49 À cet égard, en premier lieu, le CEPD fait valoir qu’il résulte du libellé de l’article 41, paragraphe 2, de la Charte que le droit d’accès au dossier est une « sous-composante » du droit à une bonne administration et que ce dernier droit, dont la portée générale est définie au paragraphe 1 de cet article, ne constitue pas un droit autonome. Le droit d’accès au dossier aurait donc une « dimension individuelle », son champ d’application étant limité aux personnes dont les « affaires » sont
traitées par les institutions, organes et organismes de l’Union.
50 En second lieu, le CEPD soutient que le caractère non autonome du droit à une bonne administration, dont le droit d’accès au dossier serait une sous-composante, implique qu’une personne n’aura un droit d’accès au dossier que si, en l’absence de cet accès, le résultat de la procédure pourrait être différent, affectant ainsi concrètement ses droits de la défense. Le droit d’accès au dossier serait, en effet, comme le droit d’être entendu, une composante des droits de la défense. Ainsi, les
personnes qui ne peuvent se prévaloir de véritables droits de la défense, à savoir celles qui ne font pas l’objet de procédures ouvertes à leur encontre et susceptibles d’aboutir à un acte les affectant défavorablement, ne bénéficieraient pas d’un droit d’accès au dossier au titre de l’article 41, paragraphe 2, sous b), de la Charte.
51 Dans la duplique, le CEPD réfute également les arguments que la requérante tire d’une interprétation littérale, téléologique et systématique de l’article 41, paragraphe 2, sous b), de la Charte. Premièrement, le CEPD considère que le renvoi opéré par la requérante au règlement 2016/679 pour soutenir une interprétation littérale de la Charte est incorrect d’un point de vue méthodologique et méconnaît la hiérarchie entre un acte de droit dérivé de l’Union et le droit primaire de l’Union. En tout
état de cause, l’article 41 de la Charte ferait référence au traitement des « affaires » ou du « dossier » d’une personne, tandis que le règlement 2016/679 ferait référence au traitement de réclamations, ce qui serait une opération différente, outre le fait qu’il ne saurait être considéré que, en l’espèce, le CEPD a procédé au traitement des affaires ou du dossier de la requérante. Deuxièmement, le CEPD soutient que le droit d’accès au dossier au titre de l’article 41, paragraphe 2, sous b), de
la Charte n’est pas inconditionnel et il conteste la pertinence de l’analogie avec le droit d’une personne d’accéder à ses propres données personnelles qui ont été collectées. Le CEPD souligne que le droit d’accès au dossier a pour finalité le respect des droits de la défense et du principe de l’égalité des armes, en permettant aux personnes faisant l’objet de mesures susceptibles de les affecter défavorablement d’examiner les documents pertinents pour leur défense, et ne saurait donc être
compris isolément. En l’espèce, la requérante n’aurait pas démontré que le refus du CEPD de lui donner accès au dossier portait atteinte à ses droits de la défense. La décision contraignante 3/2022 ne s’adressant pas à, et n’affectant pas, la requérante, ce refus ne saurait l’affecter défavorablement. La requérante disposerait des voies de recours nationales pour contester les décisions finales des autorités de contrôle compétentes qui ne la satisferaient pas, et, lorsqu’une telle décision met en
œuvre une décision contraignante adoptée par le CEPD et que la validité de celle-ci est mise en cause, la juridiction nationale doit saisir la Cour, au titre de l’article 267 TFUE, d’une question préjudicielle en appréciation de validité.
52 Meta, en premier lieu, soutient que, dans le cadre de la procédure prévue à son article 65, paragraphe 1, sous a), qui est de nature administrative, le règlement 2016/679 ne confère pas à l’auteur de la réclamation le droit d’être entendu ou d’avoir accès au dossier du CEPD. À cet égard, elle établit un parallèle avec les procédures d’application des règles de concurrence de l’Union, en relevant que, dans ces procédures, les entreprises contre lesquelles l’enquête est dirigée et celles qui ont
introduit une plainte ne se trouvent pas dans la même situation procédurale. Les droits procéduraux des dernières entreprises ne seraient pas aussi étendus que les droits de la défense des premières. Elles n’auraient qu’un accès restreint au dossier, et ce uniquement dans des circonstances particulières, notamment s’il est envisagé de rejeter leur plainte. Aucun élément du règlement 2016/679 n’impliquerait de placer l’auteur de la réclamation dans la même position procédurale que la partie
faisant l’objet d’une enquête. Ni ce règlement ni le règlement intérieur du CEPD n’accorderaient à l’auteur de la réclamation le droit d’accéder au dossier. En outre, le principe de l’égalité des armes ne s’appliquerait pas entre l’auteur de la réclamation et la partie faisant l’objet de l’enquête dans le cadre de la procédure prévue à l’article 60 ou à l’article 65, paragraphe 1, sous a), du règlement 2016/679.
53 En second lieu, Meta fait valoir que la requérante n’a pas non plus le droit d’accéder au dossier du CEPD sur le fondement de l’article 41, paragraphe 2, sous b), de la Charte. Elle soutient que ce droit fait partie de l’ensemble des droits de la défense prévus à l’article 41, paragraphe 2, de la Charte et que le demandeur d’accès doit donc établir qu’il est affecté défavorablement par la procédure pour disposer d’un tel droit. Il ne suffirait pas qu’il soit concerné par le dossier de cette
procédure. En l’espèce, la demande d’accès au dossier présentée par la requérante ne se rattacherait pas, notamment, au droit d’être entendu. La requérante n’aurait d’ailleurs pas formé de recours contre la décision contraignante 3/2022, fondé sur une violation alléguée de ses droits de la défense. En réalité, sa demande d’accès au dossier serait motivée par son intention de participer à d’autres procédures, devant des juridictions nationales, impliquant notamment Meta.
54 Dans ses observations sur le mémoire en intervention, la requérante renvoie à l’arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958), dans lequel la Cour aurait jugé que les auteurs d’une réclamation ont droit à ce qu’une décision soit adoptée à propos de celle-ci et que cette décision est soumise à un contrôle juridictionnel entier, comme cela est prévu à l’article 78 du règlement 2016/679. Cela impliquerait tant un droit d’être entendu
qu’un droit d’accès au dossier. Ces principes devraient également s’appliquer lorsque l’examen de la réclamation conduit à utiliser le mécanisme de contrôle de la cohérence dans lequel intervient le CEPD en adoptant une décision contraignante. En outre, la proposition de règlement du Parlement européen et du Conseil établissant des règles de procédure supplémentaires relatives à l’application du règlement 2016/679 [COM(2023) 348 final], tant dans sa version issue des amendements proposés par le
Parlement européen que dans celle figurant dans le mandat du Conseil de l’Union européenne, prévoirait un droit d’accès au dossier pour les auteurs d’une réclamation ainsi que pour les responsables du traitement. Par ailleurs, la requérante conteste la pertinence du parallèle que Meta établit avec les procédures d’application des règles de concurrence de l’Union.
55 À cet égard, l’article 41 de la Charte, intitulé « Droit à une bonne administration », énonce à son paragraphe 1 que « [t]oute personne a le droit de voir ses affaires traitées impartialement, équitablement et dans un délai raisonnable par les institutions, organes et organismes de l’Union ».
56 Au paragraphe 2 du même article, il est précisé que ce droit comporte « notamment » :
« a) le droit de toute personne d’être entendue avant qu’une mesure individuelle qui l’affecterait défavorablement ne soit prise à son encontre ;
b) le droit d’accès de toute personne au dossier qui la concerne, dans le respect des intérêts légitimes de la confidentialité et du secret professionnel et des affaires ;
c) l’obligation pour l’administration de motiver ses décisions. »
Sur le caractère autonome du droit d’accès au dossier par rapport au droit d’être entendu
57 Il y a lieu de souligner d’emblée que, ainsi qu’il est constant entre les parties, il n’existe aucun texte légal réglementant spécifiquement ni, a fortiori, limitant le droit de l’auteur d’une réclamation introduite en vertu de l’article 77 du règlement 2016/679 d’avoir accès au dossier du CEPD préparatoire à l’adoption d’une décision contraignante au titre de l’article 65, paragraphe 1, sous a), de ce règlement. En particulier, des limitations à l’exercice de ce droit ne peuvent être trouvées ni
dans le règlement 2016/679 ni dans le règlement intérieur du CEPD, ainsi que ce dernier l’a confirmé en réponse à une question du Tribunal lors de l’audience.
58 Dans ces circonstances, il convient de déterminer si l’article 41, paragraphe 2, sous b), de la Charte accorde à l’auteur d’une telle réclamation un droit d’accès à un tel dossier ou si l’exercice de ce droit est subordonné au droit d’être entendu consacré à l’article 41, paragraphe 2, sous a), de la Charte.
59 Les parties s’opposent sur la nature autonome du droit d’accès au dossier visé à cette disposition. Selon la thèse défendue par le CEPD et Meta, ce droit ne revêt pas de caractère autonome, mais constitue un corollaire du principe du respect des droits de la défense, ce qui a pour conséquence qu’il ne peut bénéficier qu’aux personnes à l’encontre desquelles une procédure est ouverte et qui est susceptible d’aboutir à un acte les affectant défavorablement. La requérante, en revanche, considère que
ce droit est indépendant du principe du respect des droits de la défense et est soumis à la seule condition que le dossier « concerne » la personne qui demande à y avoir accès.
60 Il convient d’emblée de relever que, en l’espèce, la demande d’accès au dossier du CEPD a été présentée par la requérante à un moment où la procédure administrative qui a abouti à l’adoption de la décision contraignante 3/2022 était déjà clôturée et où l’autorité de contrôle irlandaise avait déjà mis en œuvre cette décision par sa décision finale du 31 décembre 2022 (voir points 30 et 40 ci-dessus). Cette demande avait pour but de permettre à la requérante, non d’exercer un éventuel droit d’être
entendue au cours de la procédure devant le CEPD, ainsi que le souligne au demeurant Meta, mais d’avoir des informations sur les conditions d’élaboration de ces décisions et, notamment, de vérifier si, et dans quelle mesure, les éléments de sa réclamation avaient été pris en considération et tranchés, et ce afin de pouvoir, le cas échéant, défendre utilement sa position dans le cadre de procédures judiciaires nationales liées à la décision contraignante 3/2022. Lors de l’audience, la requérante a
ainsi déclaré que la question d’une éventuelle violation de son droit d’être entendue lors de la procédure devant le CEPD ne faisait pas l’objet de la présente procédure.
61 Ainsi que le fait valoir à juste titre la requérante, le libellé de l’article 41, paragraphe 2, sous b), de la Charte ne limite pas le droit d’accès d’une personne au dossier qui la concerne à la circonstance que ce dossier soit afférent à une mesure susceptible de l’affecter défavorablement. Une telle exigence figure, certes, à l’article 41, paragraphe 2, sous a), de la Charte, qui consacre le droit d’être entendu, mais rien dans le libellé de ces dispositions, ni dans celui de l’article 41 de
la Charte, considéré dans son ensemble, ne subordonne, par principe, l’exercice du premier droit à celui du second.
62 S’il est vrai que le droit d’accès au dossier constitue un préalable nécessaire à l’exercice effectif des droits de la défense, son champ d’application est toutefois susceptible d’être plus étendu. Tel est d’ailleurs le cas de la requérante, qui, comme cela a été constaté au point 60 ci-dessus, a sollicité l’accès au dossier du CEPD non pas en vue d’être entendue et d’assurer sa défense dans une procédure administrative en cours, mais afin de prendre connaissance de son contenu pour évaluer
l’opportunité d’introduire un recours juridictionnel. Le droit d’accès au dossier visé à l’article 41, paragraphe 2, sous b), de la Charte ne saurait donc se réduire à être un corollaire du principe du respect des droits de la défense.
63 L’article 41, paragraphe 2, sous b), de la Charte doit être lu conjointement avec le paragraphe 1 du même article, en ce sens que le droit d’accès au dossier est associé au droit pour toute personne de voir ses affaires traitées impartialement, équitablement et dans un délai raisonnable par l’administration de l’Union. Or, cette dernière ne se limite pas, lorsqu’elle procède au traitement des affaires des administrés, à prendre des mesures qui leur sont défavorables, ou susceptibles de l’être. Le
fait de devoir traiter les affaires d’une personne équitablement peut notamment être interprété comme impliquant l’obligation de lui communiquer le dossier administratif qui la concerne.
64 Il convient également de tenir compte du fait que le droit d’accès au dossier visé à l’article 41, paragraphe 2, sous b), de la Charte constitue une composante du « droit à une bonne administration », lequel est l’objet de l’article 41 de la Charte dans son ensemble. Or, ce dernier article ne vise pas uniquement l’exercice du droit d’être entendu par l’administration de l’Union, lequel est spécifiquement couvert par son paragraphe 2, sous a), mais revêt une portée plus large, englobant également
d’autres droits ou principes que cette administration doit respecter dans ses rapports avec les administrés. Ainsi, plus particulièrement, le principe selon lequel les affaires doivent être traitées dans un délai raisonnable (article 41, paragraphe 1, de la Charte), l’obligation pour l’administration de l’Union de motiver ses décisions [article 41, paragraphe 2, sous c), de la Charte], le principe selon lequel l’Union est tenue de réparer les dommages causés par son administration (article 41,
paragraphe 3, de la Charte) et le principe selon lequel l’administration de l’Union est tenue de communiquer avec les administrés dans la langue de l’Union utilisée par ces derniers (article 41, paragraphe 4, de la Charte) ne se limitent pas aux situations dans lesquelles les droits de la défense sont appelés à s’appliquer.
65 Partant, il y a lieu de conclure qu’une personne dispose du droit d’accéder au dossier qui la concerne, même si elle ne se trouve pas dans une situation où elle pourrait faire valoir son droit d’être entendue, sous réserve, toutefois, comme cela sera développé plus en détail ci-après, de l’absence de règles spécifiques dans le domaine en cause limitant l’exercice de ce droit d’accès au dossier conformément aux exigences de l’article 52, paragraphe 1, de la Charte.
66 La conclusion figurant au point 65 ci-dessus n’est pas infirmée par la jurisprudence invoquée par le CEPD et Meta dans leurs écritures ainsi que lors de l’audience.
67 Ainsi, s’agissant de l’arrêt du 26 février 2013, Espagne/Commission (T‑65/10, T‑113/10 et T‑138/10, non publié, EU:T:2013:93), outre le fait qu’il a été annulé sur pourvoi par l’arrêt du 24 juin 2015, Espagne/Commission (C‑263/13 P, EU:C:2015:415), son point 38, reproduit par le CEPD, ne fait que rappeler, en substance, que le droit à une bonne administration énoncé à l’article 41 de la Charte ne constitue pas un droit autonome, mais s’exprime au travers de divers droits spécifiques, comme le
droit d’accès de toute personne au dossier qui la concerne. L’arrêt du 20 mai 2015, Yuanping Changyuan Chemicals/Conseil (T‑310/12, non publié, EU:T:2015:295, point 225), ne porte pas sur le droit d’accès au dossier, mais sur le non-respect par l’institution d’un délai minimal accordé aux entreprises en cause par la réglementation applicable pour présenter des observations, et ce dans le contexte de l’article 41, paragraphe 2, sous a), de la Charte. Les arrêts du 13 septembre 2018, UBS Europe
e.a. (C‑358/16, EU:C:2018:715, point 66), du 6 décembre 1994, Lisrestal e.a./Commission (T‑450/93, EU:T:1994:290, point 42), du 29 juin 1995, ICI/Commission (T‑36/91, EU:T:1995:118, point 69), du 9 juillet 1999, New Europe Consulting et Brown/Commission (T‑231/97, EU:T:1999:146, point 42), et du 14 juillet 2021, AI/ECDC (T‑65/19, EU:T:2021:454, point 155) , concernent des situations dans lesquelles le principe du respect des droits de la défense de l’intéressé devait être assuré et dans
lesquelles le droit d’accès de celui-ci aux documents figurant dans le dossier n’était envisagé que comme une composante de ce principe.
68 S’agissant de l’arrêt du 13 décembre 2018, Ryanair et Airport Marketing Services/Commission (T‑165/15, EU:T:2018:953), il convient de rappeler que, dans le domaine du contrôle des aides d’État, des limitations au droit d’accès au dossier administratif de la Commission européenne sont « prévues par la loi » au sens de l’article 52, paragraphe 1, de la Charte, à savoir qu’elles résultent tant d’une disposition du traité que d’un acte de droit dérivé adopté pour en assurer la mise en œuvre. À cet
égard, il y a lieu de relever que, dans ce domaine, les principes de base régissant la procédure sont définis directement dans le traité, à savoir à l’article 108 TFUE. Cet article, qui a succédé à l’article 93 du traité CE (devenu article 88 CE), a été interprété de manière constante par la Cour comme n’exigeant, de la part de la Commission, un débat contradictoire et le respect des droits de la défense qu’au profit de l’État membre responsable de l’octroi de l’aide, et non au profit des autres
intéressés dans la procédure, dont le plaignant (voir, en ce sens, arrêts du 2 avril 1998, Commission/Sytraval et Brink’s France, C‑367/95 P, EU:C:1998:154, point 59 ; du 24 septembre 2002, Falck et Acciaierie di Bolzano/Commission, C‑74/00 P et C‑75/00 P, EU:C:2002:524, points 81 à 84, et du 13 décembre 2018, Ryanair et Airport Marketing Services/Commission, T‑165/15, EU:T:2018:953, point 56).
69 Cette interprétation jurisprudentielle d’un article du traité qui se situe au même niveau dans la hiérarchie des normes que l’article 41 de la Charte, mais qui peut être considéré comme constituant une lex specialis par rapport à ce dernier article, a été reprise dans le règlement (CE) no 659/1999 du Conseil, du 22 mars 1999, portant modalités d’application de l’article [108 TFUE] (JO 1999, L 83, p. 1), auquel a succédé le règlement (UE) 2015/1589 du Conseil, du 13 juillet 2015, portant modalités
d’application de l’article 108 [TFUE] (JO 2015, L 248, p. 9). En particulier, ces deux règlements réservent le droit d’accès au dossier administratif de la Commission à l’État membre responsable de l’octroi de l’aide (voir, en ce sens, s’agissant du règlement no 659/1999, arrêt du 29 juin 2010, Commission/Technische Glaswerke Ilmenau, C‑139/07 P, EU:C:2010:376, points 56 à 58).
70 La solution retenue dans l’arrêt du 13 décembre 2018, Ryanair et Airport Marketing Services/Commission (T‑165/15, EU:T:2018:953), ne saurait être transposée à un cas de figure tel que celui de l’espèce. En effet, il n’existe, dans le domaine en cause dans la présente affaire, aucune limitation « prévue par la loi », au sens de l’article 52, paragraphe 1, de la Charte, au droit de l’auteur d’une réclamation introduite en vertu de l’article 77 du règlement 2016/679 d’avoir accès au dossier du CEPD,
ainsi que cela a déjà été constaté au point 57 ci-dessus. En outre, dans l’affaire ayant conduit à cet arrêt, les parties requérantes, en invoquant l’article 41 de la Charte conjointement avec le principe du respect des droits de la défense, contestaient le refus d’accès au dossier relatif aux aides d’État qui leur avait été opposé par la Commission pendant la procédure administrative, tandis que, dans la présente affaire, tant la demande d’accès au dossier que la décision du CEPD la rejetant
sont intervenues après la clôture de la procédure administrative, soit à un moment où une éventuelle violation des droits de la défense ne se posait plus (voir points 30, 40 et 60 ci-dessus).
71 De la même manière, l’analogie que Meta établit avec les droits procéduraux restreints reconnus à l’auteur d’une réclamation dans les procédures de contrôle des opérations de concentration entre entreprises et d’application de l’article 101 TFUE, en se référant aux arrêts du 28 juin 2012,Commission/Éditions Odile Jacob (C‑404/10 P, EU:C:2012:393), et du 27 février 2014, Commission/EnBW (C‑365/12 P, EU:C:2014:112), relatifs à des demandes d’accès au dossier administratif de la Commission fondée
sur le règlement no 1049/2001, n’est pas pertinente pour trancher la question examinée à ce stade de l’analyse. En effet, dans ces domaines, il existe également une réglementation spécifique limitant le droit d’accès au dossier de la Commission s’agissant de la procédure de contrôle des opérations de concentration entre entreprises (voir, en ce sens, arrêt du 28 juin 2012, Commission/Éditions Odile Jacob, C‑404/10 P, EU:C:2012:393, points 118 et 119), et s’agissant de la procédure d’application
de l’article 101 TFUE (voir, en ce sens, arrêt du 27 février 2014, Commission/EnBW, C‑365/12 P, EU:C:2014:112, point 86).
72 Dans l’affaire ayant donné lieu à l’arrêt du 1er juin 2022, Del Valle Ruíz e.a./Commission et CRU (T‑510/17, EU:T:2022:312), les parties requérantes étaient actionnaires ou détenteurs d’obligations d’un établissement de crédit avant l’adoption d’une disposition de résolution à l’égard de celui-ci sur le fondement du règlement (UE) no 806/2014 du Parlement européen et du Conseil, du 15 juillet 2014, établissant des règles et une procédure uniformes pour la résolution des établissements de crédit
et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un Fonds de résolution bancaire unique, et modifiant le règlement (UE) no 1093/2010 (JO 2014, L 225, p. 1). Elles invoquaient notamment une violation de l’article 41, paragraphe 2, sous b), de la Charte au motif que le Conseil de résolution unique (CRU) et la Commission ne leur avaient pas donné accès, avant l’adoption des décisions attaquées, aux documents sur lesquels ils s’étaient fondés pour
adopter ces décisions.
73 Dans l’affaire ayant donné lieu à l’arrêt du 1er juin 2022, Del Valle Ruíz e.a./Commission et CRU (T‑510/17, EU:T:2022:312), à l’instar de la présente affaire, les parties requérantes avaient donc demandé à avoir accès au dossier à un moment où la procédure administrative était déjà clôturée, et ce afin de pouvoir exercer leur droit à une protection juridictionnelle effective. Dans le cadre de cette affaire, le Tribunal a conclu que les parties requérantes ne pouvaient se prévaloir du droit
d’accès au dossier consacré à l’article 41, paragraphe 2, sous b), de la Charte, après avoir relevé que ce droit avait trait à des personnes ou des entreprises faisant l’objet de procédures ouvertes ou de décisions prises à leur égard (voir, en ce sens, arrêt du 1er juin 2022, Del Valle Ruíz e.a./Commission et CRU, T‑510/17, EU:T:2022:312, point 463), ce qui n’était pas le cas en l’espèce. Pour parvenir à cette conclusion, le Tribunal a toutefois tenu compte, notamment, de l’existence, dans le
règlement no 806/2014, d’une disposition réservant le droit d’accès au dossier à l’entité faisant l’objet de la procédure ayant conduit à l’adoption du dispositif de résolution (voir, en ce sens, arrêt du 1er juin 2022, Del Valle Ruíz e.a./Commission et CRU, T‑510/17, EU:T:2022:312, points 458 et 464). Dès lors, même si la situation examinée dans l’arrêt du 1er juin 2022, Del Valle Ruíz e.a./Commission et CRU (T‑510/17, EU:T:2022:312) présente certaines similitudes avec celle de l’espèce, elle
s’en distingue en raison de l’existence d’une telle disposition réglementaire.
74 L’arrêt du 20 décembre 2023, OCU/CRU (T‑496/18, non publié, EU:T:2023:857), invoqué par Meta lors de l’audience, s’inscrit dans le prolongement direct de l’arrêt du 1er juin 2022, Del Valle Ruíz e.a./Commission et CRU (T‑510/17, EU:T:2022:312), en ce qu’il porte également sur une demande d’accès au dossier introduite après la clôture d’une procédure administrative. Dans le cadre de cette affaire, le Tribunal a relevé que le droit d’accès au dossier consacré à l’article 41, paragraphe 2, sous b),
de la Charte avait trait à des personnes ou des entreprises faisant l’objet de procédures ouvertes ou de décisions prises à leur égard (voir arrêt du 20 décembre 2023, OCU/CRU, T‑496/18, non publié, EU:T:2023:857, point 36 et jurisprudence citée). Toutefois, il a, de nouveau, tenu compte de l’existence d’une disposition dans le règlement no 806/2014 réservant le droit d’accès au dossier à l’entité faisant l’objet de la procédure ayant conduit à l’adoption du dispositif de résolution, pour
conclure que la partie requérante, en tant qu’association représentant d’anciens actionnaires, ne disposait pas d’un tel droit (voir, en ce sens, arrêt du 20 décembre 2023, OCU/CRU, T‑496/18, non publié, EU:T:2023:857, point 37).
75 Il résulte de l’ensemble des considérations qui précèdent que toute personne dispose du droit d’accès au dossier qui la concerne sur le fondement de l’article 41, paragraphe 2, sous b), de la Charte, y compris lorsque ce dossier n’est pas lié à une procédure susceptible d’aboutir à un acte l’affectant défavorablement, sous réserve toutefois de l’absence de règles spécifiques dans le domaine en cause instaurant des limitations à l’exercice de ce droit d’accès au dossier en conformité avec les
exigences de l’article 52, paragraphe 1, de la Charte.
Sur le fait que le dossier auquel la requérante demande l’accès est un dossier la concernant
76 Il convient à présent d’examiner si la demande d’accès au dossier formulée en l’espèce par la requérante au titre de l’article 41, paragraphe 2, sous b), de la Charte visait un dossier la concernant.
77 La décision contraignante 3/2022, adoptée par le CEPD sur le fondement de l’article 65, paragraphe 1, sous a), du règlement 2016/679, a pour origine une réclamation présentée par la requérante au titre de l’article 77 de ce règlement auprès de l’Autorité autrichienne de protection des données à propos du traitement réalisé par Meta (alors encore dénommée Facebook Ireland) de ses données à caractère personnel.
78 L’article 77, paragraphe 1, du règlement 2016/679 accorde à toute personne concernée le droit d’introduire une réclamation auprès d’une autorité de contrôle si elle considère que le traitement de données à caractère personnel la concernant constitue une violation de ce règlement. Le paragraphe 2 de cet article lui donne le droit d’être informée, par cette autorité de contrôle, de l’état d’avancement et de l’issue de la réclamation.
79 Lorsque, comme en l’espèce, le traitement de données en cause présente un caractère transfrontalier, au sens de l’article 4, point 23, du règlement 2016/679, l’article 56, paragraphe 1, de ce règlement prévoit, sans préjudice de la règle de compétence énoncée à son article 55, paragraphe 1, la mise en œuvre d’un mécanisme de « guichet unique » fondé sur une répartition des compétences entre une autorité de contrôle chef de file et les autres autorités de contrôle concernées. En vertu de ce
mécanisme, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous‑traitant, conformément à la procédure de coopération entre cette autorité et les autres autorités de contrôle concernées prévue à l’article 60 dudit règlement.
80 Dans le cadre de cette procédure de coopération, l’autorité de contrôle chef de file est notamment tenue de s’efforcer de rechercher un consensus. À cette fin, conformément à l’article 60, paragraphe 3, du règlement 2016/679, elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et tient dûment compte de leur point de vue.
81 Il résulte plus particulièrement des articles 56 et 60 du règlement 2016/679 que, pour les traitements transfrontaliers, et sous réserve de l’article 56, paragraphe 2, de ce règlement, les différentes autorités de contrôle nationales concernées doivent coopérer, selon la procédure prévue à ces dispositions, afin de parvenir à un consensus et à une décision unique, qui lie l’ensemble de ces autorités et dont le responsable du traitement doit assurer le respect en ce qui concerne les activités de
traitement menées dans le cadre de tous ses établissements dans l’Union.
82 Conformément à l’article 60, paragraphe 4, du règlement 2016/679, lorsque l’une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée, une objection pertinente et motivée à l’égard du projet de décision, l’autorité de contrôle chef de file, si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que cette objection n’est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à
l’article 63 de ce règlement, en vue d’obtenir du CEPD une décision contraignante, adoptée sur le fondement de l’article 65, paragraphe 1, sous a), dudit règlement.
83 Ainsi que l’expose le CEPD dans ses écritures, ce mécanisme vise à résoudre, par son intermédiaire, les conflits de points de vue entre l’autorité chef de file et les autres autorités de contrôle concernées sur toutes les questions faisant l’objet d’une objection pertinente et motivée. La compétence du CEPD en vertu de l’article 65, paragraphe 1, sous a), du règlement 2016/679 est limitée à ces seules questions. Il adopte une décision contraignante sur toutes les questions ayant fait l’objet
d’une objection pertinente et motivée, mais seulement sur celles-ci.
84 Ce champ d’application limité s’explique par la nature même de la décision contraignante, laquelle est une décision adressée à l’autorité de contrôle chef de file et à toutes les autorités de contrôle concernées et qui est contraignante pour elles, ainsi que cela est prévu à l’article 65, paragraphe 2, du règlement 2016/679 (voir, en ce sens, ordonnance du 7 décembre 2022, WhatsApp Ireland/Comité européen de la protection des données, T‑709/21, sous pourvoi, EU:T:2022:783, point 42).
85 Même si l’auteur d’une réclamation au titre de l’article 77 du règlement 2016/679 n’est pas formellement partie à la procédure devant le CEPD menant à l’adoption d’une décision contraignante au titre de l’article 65, paragraphe 1, sous a), du règlement 2016/679, cette réclamation joue un rôle essentiel dans cette procédure. Tout d’abord, c’est cette réclamation qui constitue le point de départ de l’ensemble du processus décisionnel. Ensuite, si le CEPD ne statue que sur les objections pertinentes
et motivées ayant donné lieu à un désaccord entre l’autorité chef de file et au moins une autorité de contrôle concernée, ces objections s’inscrivent dans le cadre d’une procédure engagée à la suite de la réclamation. Elles tiennent souvent compte des faits et des arguments avancés par la personne concernée, de sorte que le dossier examiné par le CEPD repose, au moins pour partie, sur les éléments qu’elle a portés à la connaissance de l’autorité de contrôle nationale. Cette personne peut ainsi
légitimement souhaiter vérifier si les éléments de sa réclamation, repris ou mis en exergue dans les objections pertinentes et motivées des autorités de contrôle concernées, ont été pris en considération par le CEPD, ou dans quelle mesure ils ont influencé le contenu de la décision contraignante. À cet égard, il convient de relever que, dans le cas d’espèce, la décision contraignante 3/2022 fait, à de nombreuses reprises, référence non seulement à la réclamation introduite par la requérante, mais
également à cette dernière en tant que telle (voir point 45 ci-dessus). Enfin, la requérante, en tant qu’auteure de la réclamation, a un intérêt direct à l’issue de la procédure, dans la mesure où celle-ci vise à assurer une application concrète du règlement 2016/679 à une situation impliquant le traitement de ses données à caractère personnel, telle qu’exposée dans cette réclamation.
86 Il en résulte que, en l’espèce, il doit être considéré que le dossier du CEPD préparatoire à l’adoption de la décision contraignante 3/2022 concerne la requérante au sens de l’article 41, paragraphe 2, sous b), de la Charte.
87 Il s’ensuit qu’il y a lieu d’accueillir le moyen unique en ses trois première branches, sans qu’il soit nécessaire de se prononcer sur sa quatrième branche, soulevée à titre subsidiaire, ni sur la recevabilité de la décision de l’Integritetsskyddsmyndigheten (Autorité pour la protection de la vie privée, Suède) du 2 novembre 2021, produite par la requérante pour la première fois lors de l’audience devant le Tribunal. Partant, la décision attaquée doit être annulée dans la mesure où elle porte
rejet de la demande présentée par la requérante, au titre de l’article 41, paragraphe 2, sous b), d’avoir accès au dossier du CEPD préparatoire à la décision contraignante 3/2022.
Sur les dépens
88 Aux termes de l’article 134, paragraphe 1, du règlement de procédure du Tribunal, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. Le CEPD ayant succombé, il convient de le condamner aux dépens, conformément aux conclusions de la requérante.
89 Aux termes de l’article 138, paragraphe 3, du règlement de procédure, le Tribunal peut ordonner qu’une partie intervenante autre que celles mentionnées aux paragraphes 1 et 2 de cet article supportera ses propres dépens. En l’espèce, il y a lieu de décider que Meta supportera ses propres dépens.
Par ces motifs,
LE TRIBUNAL (dixième chambre élargie)
déclare et arrête :
1) La décision du Comité européen de la protection des données du 7 février 2023 est annulée dans la mesure où elle porte rejet de la demande présentée par Mme Lisa Ballmann, au titre de l’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne, d’avoir accès au dossier du Comité européen de la protection des données préparatoire à sa décision contraignante 3/2022 relative au litige, soumis par la Data Protection Commission (autorité de protection des données,
Irlande), concernant Meta Platforms Ireland Ltd.
2) Le Comité européen de la protection des données supportera, outre ses propres dépens, les dépens exposés par Mme Ballmann.
3) Meta Platform Ireland supportera ses propres dépens.
Porchia
Jaeger
Madise
Nihoul
Verschuur
Ainsi prononcé en audience publique à Luxembourg, le 16 juillet 2025.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’anglais
