Sara Notario , 23 février 2026

Dans l’affaire Whatsapp Ireland c/ Comité européen de la protection des données (C-97/23 P), rendu le 10 février 2026, la Cour de justice a jugé que le recours introduit par Whatsapp Ireland est recevable et qu’une décision contraignante du Comité européen de la protection des données (CEPD) a violé les règles de droit de l’Union européenne en matière de protection des données.

Le CEPD est un organe européen chargé d’appliquer le règlement (UE) 2016/679 (règlement général sur la protection des données, RGPD), afin que la législation en la matière soit appliquée de manière cohérente et systématique au sein de l’Union européenne. Parmi ses fonctions, le CEPD peut adopter des décisions contraignantes sur les litiges entre les autorités de contrôle nationales concernant le traitement transfrontalier des données à caractère personnel. 

En l’espèce, l’autorité de contrôle irlandaise (Data Protection Commission) a reçu des plaintes concernant le traitement de données à caractère personnel par la messagerie « Whatsapp ». En décembre 2018, la Data Protection Commission a ouvert une enquête d’office sur le respect des règles applicables par l’entreprise en question. En décembre 2020, cette même autorité irlandaise a soumis aux autres autorités nationales concernées un projet de décision sur l’enquête. Toutefois, elle n’a pas réussi à atteindre un consensus des autres autorités de contrôle nationales. Afin de régler le litige entre ces autorités, l’autorité irlandaise a saisi le CEPD. Ce dernier a rendu, en vertu de l’article 65, paragraphe 1, du RGPD, une décision contraignante (décision 1/2021) qui a constaté la violation, par Whatsapp, de certaines dispositions du RGPD et obligé l’autorité irlandaise à modifier les mesures correctrices envisagées. Sur la base de la décision 1/2021, la Data Protection Commission irlandaise a adopté sa décision finale, qui a imposé à Whatsapp de payer un montant de 225 millions d’euros en amendes. 

Le 1^er novembre 2021, Whatsapp a formé un recours devant le Tribunal de l’UE, en vertu de l’article 263 TFUE, tendant à l’annulation de la décision 1/2021 du CEDP (T-709/21). Par ordonnance, le Tribunal a rejeté ce recours en jugeant que la décision en question n’était pas un acte attaquable et que Whatsapp n’était pas directement concerné par cette décision. Le 17 février 2023, Whatsapp a introduit un pourvoi devant la Cour de justice à l’encontre de l’ordonnance du Tribunal (C-97/23 P). 

Dans le cadre du pourvoi, la Cour de justice a jugé que la décision du CEPD est, au contraire, un acte qui peut être attaqué devant la Cour de justice de l’Union européenne car il émane d’un organe de l’Union et est doté d’un caractère contraignant à l’égard de tiers. Par ailleurs, la Cour a considéré que la décision en question concerne directement Whatsapp car elle modifie la situation juridique de cette entreprise sans laisser marge de manœuvre à ses destinataires.

Par ce raisonnement, la Cour de justice a jugé que le recours intenté par Whatsapp est recevable et a annulé l’ordonnance du Tribunal. En application de l’article 61, premier alinéa, du statut de la Cour de justice de l’Union européenne, la Cour a renvoyé l’affaire au Tribunal pour qu’il juge sur le fond de l’affaire.

En conclusion, cet arrêt suit une ligne jurisprudentielle tracée par la Cour de justice qui va englober sous son contrôle juridictionnel davantage d’actes adoptés par des organes de l’Union européenne dans le cadre de procédures administratives composites d’un niveau européen et un niveau national.

Reproduction autorisée avec la référence suivante : Sara Notario, Le contrôle judiciaire des décisions contraignantes du Comité européen de la protection des données, actualité n° 4/2026, publiée le 23 février 2026, par le Centre d’études juridiques européennes, disponible sur www.ceje.ch;