Affaires jointes T-70/23, T-84/23 et T-111/23

(publication par extraits)

Data Protection Commission

contre

Comité européen de la protection des données

Arrêt du Tribunal du 29 janvier 2025

« Protection des données à caractère personnel – Article 65, paragraphe 1, sous a), du règlement (UE) 2016/679 – Décision contraignante donnant instruction à une autorité de contrôle chef de file d’élargir le champ de l’enquête et d’élaborer un projet de décision complémentaire – Compétence du Comité européen de la protection des données »

Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Compétence du Comité européen de la protection des données (CEPD) – Portée – Décision contraignante donnant instruction à une autorité de contrôle chef de file d’élargir le champ d’une enquête et d’élaborer un projet de décision complémentaire – Inclusion

[Art. 39 TUE ; art. 16, § 1 et 2, 101 et 102 TFUE ; charte des droits fondamentaux de l’Union européenne, art. 8, § 1 et 3 ; règlement du Parlement européen et du Conseil 2016/679, considérants 126, 136 et 141 et art. 4, point 24, 57, § 1, a) et f), 58, § 2, 60, 65, § 1, a), 2, 3 et 6, et 66]

(voir points 35, 36, 38-40, 43-45, 49-54, 56-59, 62, 63, 68-75, 77-82)

Résumé

Statuant en chambre élargie, le Tribunal rejette les recours de la Data Protection Commission, l’autorité de contrôle irlandaise en matière de protection des données à caractère personnel, visant à l’annulation partielle des décisions contraignantes du Comité européen de la protection des données (CEPD). Dans son arrêt, il se prononce, pour la première fois, sur la compétence du CEPD pour imposer à une autorité de contrôle nationale d’élargir son analyse d’un cas et, le cas échéant, son enquête.

Après des échanges avec les autres autorités de contrôle concernées, la Data Protection Commission, en tant qu’autorité de contrôle chef de file, a constaté qu’un consensus ne se dégageait pas à propos des objections formulées à l’égard de ses projets de décision concernant les traitements transfrontaliers de données liés à l’utilisation du réseau social Facebook, du réseau social Instagram et de la messagerie WhatsApp. Par conséquent, elle a saisi le CEPD dans le cadre du mécanisme de contrôle de la cohérence ( 1 ).

À la suite de l’examen des trois dossiers, le CEPD, estimant que la plupart des objections formulées à l’égard des projets de décision étaient pertinentes et motivées, a décidé de prendre position sur les questions qu’elles soulevaient.

Ainsi, le 5 décembre 2022, il a adopté des décisions contraignantes enjoignant à la Data Protection Commission de conduire de nouvelles enquêtes sur les traitements de données liés à l’utilisation des trois applications susmentionnées et, sur cette base, d’élaborer des projets de décision complémentaires.

La Data Protection Commission a alors contesté la compétence du CEPD pour lui imposer, par des décisions contraignantes, de telles mesures.

Appréciation du Tribunal

En premier lieu, le Tribunal précise la portée de la compétence du CEPD ( 2 ) en s’appuyant sur l’analyse littérale, contextuelle et téléologique du RGPD.

Dans ce cadre, tout d’abord, il relève que, selon une interprétation littérale des dispositions pertinentes du RGPD ( 3 ), le CEPD est compétent pour adopter des dispositions, telles que les dispositions attaquées, donnant instruction à l’autorité de contrôle chef de file de conduire une nouvelle enquête sur certains aspects des dossiers concernés et d’adopter ensuite de nouveaux projets de décision. Dès lors que la décision contraignante du CEPD doit concerner toutes les questions faisant l’objet d’objections pertinentes et motivées, les dispositions pertinentes du RGPD n’interdisent pas que, lorsque le CEPD approuve une objection pertinente et motivée relative à une absence ou à une insuffisance d’analyse, dans le projet de décision, d’un aspect, qui empêche de savoir s’il y a ou non violation de ce règlement, cette décision comporte une injonction à l’autorité de contrôle chef de file de combler ce manque d’analyse et, si cela apparaît nécessaire au vu du dossier en possession du CEPD, d’approfondir ou d’élargir à cet effet l’enquête effectuée jusqu’alors. S’il apparaît que le dossier est insuffisant pour effectuer pleinement l’analyse requise, cela doit conduire à ce que le CEPD puisse imposer à l’autorité de contrôle chef de file un complément d’enquête.

Ensuite, le Tribunal considère, au titre de l’interprétation contextuelle des dispositions pertinentes du RGPD, que le contexte général de l’obligation de coopération entre les autorités de contrôle concernées par un cas, consacré dans le RGPD, confirme la compétence du CEPD pour adopter les mesures contestées.

Sur ce point, il indique que la procédure de coopération entre autorités de contrôle concernées par un cas ( 4 ), qui peut comporter le déclenchement du mécanisme de contrôle de la cohérence assuré par le CEPD, n’est pas une procédure « à sens unique » dans laquelle les étapes s’enchaîneraient toujours dans l’ordre des dispositions qui les prévoient, sans possibilité de retour à une étape précédente ou de maintien temporaire au même stade.

En outre, il note que l’analyse des conditions dans lesquelles un traitement de données à caractère personnel est effectué et de sa conformité au RGPD ne doit pas être limitée à ce que la réclamation d’un plaignant met en exergue. En particulier, assurer pleinement les missions des autorités de contrôle prévues au RGPD de veiller au respect de celui-ci et de traiter les réclamations dans la mesure nécessaire ( 5 ) implique de retenir un champ d’analyse approprié du dossier au regard de la réclamation qui en est à l’origine, mais aussi au regard des autres éléments qui peuvent la compléter. Or, l’objection pertinente et motivée, selon sa définition, porte sur des aspects dont l’analyse relève bien des deux missions susmentionnées. Par conséquent, le fait qu’une objection pertinente et motivée concerne le champ de l’analyse et, le cas échéant, le champ de l’enquête et que le CEPD y donne suite ne compromet nullement ces missions.

Enfin, le Tribunal souligne que l’examen des finalités du RGPD confirme aussi l’interprétation littérale des dispositions pertinentes du RGPD.

À cet égard, il rappelle notamment que le mécanisme de coopération entre autorités de contrôle concernées par un cas trouve ses limites lorsque ces autorités ne parviennent pas à un consensus. C’est dans cette situation que la question non consensuelle doit être soumise par l’autorité de contrôle chef de file au mécanisme de contrôle de la cohérence, qui aboutit à une décision contraignante du CEPD. En cas de réouverture d’une enquête, l’autorité compétente doit adopter une décision finale sur les aspects de fond analysés et tranchés après une décision contraignante du CEPD dans le délai prévu par le RGPD. Cela ne l’empêche pas de conduire une enquête complémentaire et d’analyser les aspects du cas qui n’ont pas encore été examinés.

En second lieu, le Tribunal estime que les conditions d’attribution d’une compétence à un organe de l’Union ne s’opposent pas à l’interprétation retenue, selon laquelle le CEPD a le pouvoir d’imposer à une autorité de contrôle chef de file d’élargir son analyse et, le cas échéant, son enquête. En effet, l’exercice d’un tel pouvoir est encadré par divers critères et conditions qui délimitent son champ d’action. Ainsi, ce pouvoir, d’une part, n’est mis en œuvre qu’en cas d’insuffisance bien identifiée de l’analyse de l’autorité de contrôle chef de file dans le traitement du cas, pouvant avoir des conséquences importantes, ainsi qu’il résulte de la définition de l’objection pertinente et motivée, et, d’autre part, résulte de l’appréciation collective des autorités de contrôle composant le CEPD.

Par ailleurs, le Tribunal précise que l’exercice dudit pouvoir est soumis à un contrôle juridictionnel. Plus concrètement, dans la limite des moyens qui seraient invoqués devant lui, le juge de l’Union serait en mesure de vérifier la légalité au fond des dispositions contestées en fonction des circonstances de l’espèce. Notamment, il pourrait, dans un premier temps, vérifier si le CEPD, en adoptant des dispositions de cette nature, a bien donné une suite à une objection pertinente et motivée d’une autorité de contrôle. Il pourrait, dans un second temps, vérifier la légalité de la substance même de telles dispositions donnant des instructions aux autorités de contrôle.

Dans ce contexte, le Tribunal ajoute qu’une décision contraignante du CEPD imposant à l’autorité de contrôle chef de file d’élargir son analyse et son enquête ne met pas en cause sa capacité à hiérarchiser l’accomplissement de ses différentes missions en tant qu’autorité indépendante, tâche dont le contrôle relèverait du seul juge national. Elle ne met pas non plus en cause, d’une manière plus générale, son indépendance ( 6 ).

( 1 ) Conformément à l’article 60, paragraphe 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

( 2 ) Au titre de l’article 65, paragraphe 1, sous a), du RGPD.

( 3 ) Article 65, paragraphe 1, sous a), du RGPD, lu conjointement avec l’article 4, point 24, l’article 65, paragraphe 6, et les considérants 126 et 136 de ce règlement.

( 4 ) Prévue à l’article 60 du RGPD.

( 5 ) Article 57, paragraphe 1, sous a) et f), du RGPD.

( 6 ) Consacrée à l’article 39 TUE, à l’article 16, paragraphe 2, TFUE et à l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne.