Les affaires jointes T-70/23, T-84/23 et T-111/23, émanent de la divergence entre la “Data Protection Commission” irlandaise (Autorité chef de file dans le cadre du RGPD) et le Comité européen de la protection des données (CEPD) sur la gestion de traitements transfrontaliers de données personnelles par Meta Platforms Ireland Ltd (Facebook, Instagram et WhatsApp).
1. Dépôt de réclamations et ouverture des enquêtes par la Data Protection Commission (DPC)
– Plusieurs réclamations sont déposées en lien avec les activités de traitement de données liées aux services Facebook, Instagram et WhatsApp (tous opérés par Meta Platforms Ireland Ltd). Ces réclamations concernent notamment des violations potentielles du RGPD (Règlement général sur la protection des données).
– En tant qu’autorité de contrôle chef de file (Article 56 RGPD), la DPC irlandaise ouvre des enquêtes sur ces traitements transfrontaliers.
– Lors de la phase d’investigation, la DPC élabore trois projets de décision distincts, chacun couvrant une des applications concernées.
2. Procédure de coopération et absence de consensus entre autorités
– Conformément à l’article 60 RGPD, les projets de décision sont transmis aux autres autorités de contrôle concernées (ACC) pour examen.
– Plusieurs ACC formulent des objections qualifiées de “pertinentes et motivées” par l’article 4, point 24, du RGPD. Ces objections concernent, entre autres, :
– L’insuffisance des analyses menées par la DPC sur certains aspects des traitements de données.
– L’absence d’enquête approfondie sur des éléments clés susceptibles de révéler des violations du RGPD.
– Malgré les échanges entre la DPC et les autres ACC, aucun consensus ne se dégage sur les objections soulevées, plaçant les parties en désaccord.
3. Intervention du CEPD au titre de l’article 65 RGPD
– Face au blocage, la DPC saisit le Comité européen de la protection des données (CEPD) en vertu du mécanisme de contrôle de la cohérence prévu à l’article 65 RGPD.
– Après examen des trois dossiers relatifs à Facebook, Instagram et WhatsApp, le CEPD adopte, le 5 décembre 2022, trois décisions contraignantes :
– Il juge que de nombreuses objections formulées par les ACC sont “pertinentes et motivées” au sens du RGPD.
– Il ordonne à la DPC de :
– Mener de nouvelles enquêtes sur certains aspects des traitements de données qui n’avaient pas été suffisamment explorés.
– Élaborer de nouveaux projets de décision complémentaires à la lumière des résultats de ces enquêtes.
4. Opposition de la DPC aux décisions du CEPD
– La DPC irlandaise rejette la légitimité des décisions contraignantes adoptées par le CEPD. Elle estime que ce dernier a outrepassé les compétences conférées par l’article 65, paragraphe 1, sous a), du RGPD.
– L’autorité irlandaise considère que :
– Le CEPD n’a pas de compétence pour imposer la conduite de nouvelles enquêtes ou l’élaboration de décisions complémentaires.
– L’intervention du CEPD empiète sur son indépendance en tant qu’autorité chef de file.
– En conséquence, elle décide de contester la légalité des décisions contraignantes devant le Tribunal de l’Union européenne, en déposant un recours en annulation.
– Les recours en annulation sont introduits par la DPC irlandaise devant le Tribunal le 14 février 2023, respectivement pour les décisions contraignantes suivantes :
– Affaire T-70/23 : Facebook.
– Affaire T-84/23 : Instagram.
– Affaire T-111/23 : WhatsApp.
– Une audience publique se tient le 16 avril 2024 à Luxembourg.
– Le 29 janvier 2025, le Tribunal de l’Union européenne rend finalement son arrêt, rejette les recours de la DPC et confirme la compétence du CEPD à intervenir dans les conditions susmentionnées.
MOTIVATION DE LA COUR
L’affaire concerne un recours introduit par la Data Protection Commission (DPC), l’autorité de contrôle irlandaise en matière de protection des données, à l’encontre des décisions contraignantes du Comité européen de la protection des données (CEPD), prises dans le cadre du mécanisme de contrôle de la cohérence prévu par l’article 65 du Règlement général sur la protection des données (RGPD). Ces décisions portaient sur des litiges entre la DPC, en tant qu’autorité de contrôle chef de file, et d’autres autorités de contrôle dans des cas impliquant le traitement transfrontalier des données par Facebook, Instagram, et WhatsApp, des services opérés par Meta Platforms Ireland Limited.
La DPC avait soumis trois projets de décision concernant ces traitements, mais elle avait rencontré des objections de la part des autres autorités de contrôle concernées, notamment sur l’insuffisance des enquêtes menées. Incapable de parvenir à un consensus, la DPC a saisi le CEPD conformément à l’article 60, paragraphe 4, du RGPD. En réponse, le CEPD a rendu des décisions contraignantes (décisions n° 3/2022, 4/2022 et 5/2022) demandant à la DPC de :
1. Conduire de nouvelles enquêtes sur certains aspects des traitements de données.
2. Présenter des projets de décision complémentaires après avoir élargi son analyse.
La DPC a contesté ce pouvoir du CEPD devant le Tribunal de l’Union européenne (TUE), alléguant que le CEPD avait outrepassé les compétences que lui confère l’article 65 du RGPD.
Le Tribunal de l’Union européenne, siégeant en chambre élargie, a rejeté les arguments de la DPC après une analyse détaillée basée sur des interprétations littérale, contextuelle, téléologique et systémique du RGPD.
3.1. Analyse littérale
Le Tribunal a indiqué que les articles pertinents du RGPD (articles 65, paragraphe 1, sous a), article 4, point 24, et article 65, paragraphe 6) permettent au CEPD d’adopter des décisions contraignantes concernant toutes les questions ayant fait l’objet d’objections pertinentes et motivées. Ces objections peuvent inclure des critiques sur l’absence ou l’insuffisance d’analyses menées dans le cadre d’une enquête initiale. Par conséquent, le CEPD peut imposer à une autorité chef de file de combler ces lacunes via des injonctions de compléter l’enquête ou d’élaborer un projet de décision complémentaire.
3.2. Analyse contextuelle
Le Tribunal a souligné que le RGPD établit un mécanisme rigoureux de coopération entre autorités de contrôle, notamment via l’article 60. Dans ce cadre, le CEPD joue un rôle crucial pour garantir la cohérence des décisions prises par les autorités nationales. Il est clair que ce mécanisme peut inclure le retour à une étape antérieure du processus, par exemple pour approfondir ou élargir une enquête.
Le Tribunal a également rejeté l’argument de la DPC selon lequel le champ d’une enquête relève strictement de l’appréciation des autorités nationales et du contrôle juridictionnel national. Le RGPD prévoit que les objections pertinentes et motivées soulevées par d’autres autorités de contrôle peuvent inclure des aspects liés au champ de l’enquête ou de l’analyse.
3.3. Analyse téléologique
Le Tribunal a rappelé que l’objectif principal du RGPD est de protéger les droits fondamentaux des personnes concernant la protection de leurs données, tel qu’inscrit à l’article 8 de la Charte des droits fondamentaux de l’Union européenne. Cet objectif prévaut sur les considérations procédurales ou administratives, comme l’efficacité du “guichet unique”. Ainsi, obliger une autorité à approfondir une enquête est légitime dès lors que cela vise à garantir une protection rigoureuse des droits des personnes concernées.
3.4. Attribution des compétences et contrôle juridictionnel
Le Tribunal a jugé que le pouvoir du CEPD, tel qu’exercé dans cette affaire, est strictement encadré :
– Il ne peut être mis en œuvre qu’en réponse à des objections pertinentes et motivées, approuvées par une majorité qualifiée des membres du CEPD.
– Le pouvoir du CEPD est soumis à un contrôle juridictionnel rigoureux devant le TUE, notamment pour vérifier la légalité et la proportionnalité de ses décisions.
Le Tribunal a conclu que :
– Le CEPD ne dépasse pas les compétences que lui confère l’article 65, paragraphe 1, sous a), du RGPD en imposant à une autorité de contrôle chef de file d’élargir une enquête ou de conduire une analyse complémentaire.
– La DPC est tenue de se conformer aux décisions contraignantes du CEPD.
– Les recours introduits par la DPC dans les affaires T-70/23, T-84/23 et T-111/23 sont rejetés en totalité.
Cette décision clarifie plusieurs points essentiels du RGPD :
– Le CEPD peut jouer un rôle actif et contraignant pour garantir une application cohérente du RGPD, même si cela implique de réouvrir des enquêtes.
– Les autorités de contrôle chef de file doivent tenir compte de l’ensemble des objections pertinentes et motivées, y compris sur des aspects non encore examinés.
– Une coopération entre les autorités nationales est indispensable pour une protection uniforme des données dans l’Union.
Dans un contexte pratique, cet arrêt confirme la position centrale du CEPD dans les litiges transfrontaliers et renforce les mécanismes de coordination entre autorités au sein de l’Union européenne.