Dans un arrêt prononcé mardi 10 février (affaire C-97/23), la Cour de justice de l'Union européenne (CJUE) a annulé une ordonnance du Tribunal de l'Union européenne de décembre 2022 (affaire T-709/21 - EUROPE 13079/26) ayant considéré irrecevable le recours du réseau social WhatsApp contre une décision du Comité européen de la protection des données (CEPD).
En juillet 2021, le CEPD avait rendu une décision (1/2021) contraignante sur des dispositions du règlement 'RGPD' encadrant la protection des données personnelles (2016/679), sur demande de l'autorité irlandaise Data Protection Commission, chef de file dans l'UE pour le contrôle des activités de WhatsApp. Ayant constaté la violation de dispositions du règlement 'RGPD', le CEPD avait obligé l'autorité irlandaise à modifier des mesures correctrices envisagées, y compris le montant de l'amende infligée, qui s'est finalement élevé à 225 millions d'euros (EUROPE 12782/11).
Par son arrêt, la CJUE accueille favorablement le recours de WhatsApp. Elle considère en effet que la décision du CEPD est un acte attaquable, dans la mesure où elle émane d'un organe de l'UE et présente un caractère contraignant à l'égard de l'autorité irlandaise et de toutes les autorités nationales de contrôle concernées. En outre, cette décision fixe définitivement la position de l'autorité irlandaise et épuise toutes les questions dont celle-ci a été saisie.
Par ailleurs, le juge européen constate que le réseau social était directement concerné par la décision du CEPD, qui a modifié de façon caractérisée sa situation juridique sans laisser de marge d’appréciation aux autorités nationales de contrôle quant au constat de violation de certaines dispositions du règlement 'RGPD'.
La Cour renvoie l’affaire au Tribunal afin qu’il statue sur le fond de l’affaire, y compris la question de savoir si WhatsApp a violé les dispositions concernées du règlement européen.
Voir l'arrêt de la Cour de justice : https://aeur.eu/f/knl (Mathieu Bion)