accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Violations du RGPD : le Tribunal rejette le recours de WhatsApp contre une décision du régulateur européen des données

Jurisprudence
Trib. UE, 7 déc. 2022, aff. T-709/21, WhatsApp Ireland/Comité européen de la protection des données
[07.12.2022]

Le Tribunal s'est prononcé le 7 décembre, pour la première fois, sur une demande d'annulation d'une décision contraignante du Comité européen de la protection des données (CEPD), adoptée sur le fondement du Règlement général sur la protection des données (RGPD).

Statuant en chambre élargie, il a rejeté comme irrecevable le recours de WhatsApp au motif qu'il n'est pas dirigé contre un acte attaquable au titre de l'article 263 TFUE et que WhatsApp n'est pas directement concernée par la décision attaquée, au sens des critères de la qualité à agir définis au même article.

Le point final ? Non, car la validité de la décision attaquée peut être examinée par le juge national saisi d'un recours contre la décision finale ultérieure clôturant la procédure et adoptée au niveau national.

Genèse. - L'affaire démarre avec la réception par la Data Protection Commission (autorité de surveillance en matière de protection des données à caractère personnel des personnes physiques, Irlande), après l'entrée en vigueur du RGPD, de plaintes d'utilisateurs et de non-utilisateurs de la messagerie « WhatsApp » concernant le traitement des données à caractère personnel par WhatsApp Ireland Ltd (ci-après « WhatsApp »). L'autorité de contrôle irlandaise, en sa qualité d'autorité de contrôle chef de file, a entamé d'office une enquête à caractère général sur le respect par WhatsApp des obligations de transparence et d'information à l'égard des particuliers. Une fois celle-ci clôturée, elle a présenté à l'ensemble des autres autorités de contrôle des États membres concernées par le traitement de données à caractère personnel en cause un projet de décision en vue d'obtenir leur avis. Un consensus sur ce projet ne se dégageant pas, l'autorité de contrôle irlandaise a saisi le CEPD, comme le prévoit le RGPD. Ce dernier a adopté, le 28 juillet 2021, une décision contraignante à l'égard de l'ensemble des autorités de contrôle concernées, dans laquelle il se prononçait sur les questions ayant fait, selon lui, l'objet d'objections pertinentes et motivées de certaines de ces autorités. Après avoir reçu cette décision, l'autorité de contrôle irlandaise a adopté, le 20 août 2021, une décision finale, par laquelle elle a notamment constaté que WhatsApp avait méconnu certaines dispositions du RGPD et lui a imposé des mesures correctives, notamment des amendes administratives d'un montant cumulé de 225 M€.

En parallèle, WhatsApp a attaqué la décision finale devant une juridiction irlandaise et demandé au Tribunal l'annulation de la décision attaquée, qui a donc rejeté comme irrecevable son recours le 7 décembre. La validité de la décision du CEPD peut cependant être contestée devant le juge national, qui est en mesure de s'adresser à la Cour de justice à titre préjudiciel.