L’arrêt rendu le 10 février 2026 par la Cour de justice de l’Union européenne modifie en profondeur l’équilibre institutionnel du RGPD. Sans trancher la légalité de l’amende de 225 millions d’euros infligée à WhatsApp, la Cour reconnaît pour la première fois qu’une entreprise peut attaquer directement une décision du Comité européen de la protection des données. Cette évolution n’est pas technique. Elle est politique, juridique et stratégique.
Le contentieux trouve son origine dans la manière dont WhatsApp informe ses utilisateurs sur l’utilisation de leurs données personnelles, en particulier lorsque ces données circulent entre plusieurs services du groupe Meta. Ce défaut de transparence avait conduit, en 2021, à l’une des sanctions financières les plus élevées jamais prononcées au titre du RGPD.
Une procédure européenne sous pilotage irlandais
L’enquête initiale est ouverte en 2018 par l’autorité irlandaise de protection des données, la Data Protection Commission, compétente en tant qu’autorité chef de file puisque le siège européen de WhatsApp est situé en Irlande. Conformément au mécanisme du guichet unique, cette autorité instruit le dossier mais doit associer l’ensemble des autorités concernées.
Lorsque le projet de décision est transmis fin 2020 aux autres autorités européennes, plusieurs d’entre elles, dont la CNIL, contestent l’analyse retenue. Les désaccords portent à la fois sur la qualification des manquements au RGPD et sur le niveau de la sanction envisagée. L’absence de consensus déclenche alors la procédure de règlement des différends prévue par le RGPD.
Le Comité européen de la protection des données intervient en juillet 2021. Sa décision impose à l’autorité irlandaise de revoir en profondeur son raisonnement juridique et de rehausser significativement le montant de l’amende. La sanction finale de 225 millions d’euros découle directement de cette intervention.
Un choix contentieux qui vise la source de la décision
WhatsApp ne se contente pas de contester la décision irlandaise devant les juridictions nationales. L’entreprise choisit également d’attaquer directement la décision du CEPD devant le Tribunal de l’Union européenne. Ce choix n’est pas anodin. La décision du CEPD ne se limite pas à formuler des orientations générales. Elle s’impose aux autorités nationales et verrouille les éléments essentiels du dossier.
L’objectif de WhatsApp est clair : remettre en cause le raisonnement juridique à l’origine de la sanction, plutôt que sa seule traduction nationale. En décembre 2022, le Tribunal rejette toutefois cette approche. Il considère que la décision du CEPD n’est qu’une étape intermédiaire et qu’elle ne produit pas, à elle seule, d’effets juridiques directs à l’égard de l’entreprise.
La CJUE reconnaît un acte attaquable
La Cour de justice adopte une lecture radicalement différente. Elle estime qu’une décision du CEPD prise sur le fondement de l’article 65 du RGPD est un acte juridiquement contraignant émanant d’un organe de l’Union. Cette décision fixe définitivement la position du Comité et ne laisse aucune marge d’appréciation aux autorités nationales sur des points déterminants, tels que la qualification des infractions ou le montant des amendes.
Dans ces conditions, la Cour considère que l’entreprise visée est directement affectée dans sa situation juridique. Le recours est donc recevable. L’ordonnance du Tribunal est annulée et l’affaire lui est renvoyée afin qu’il statue sur le fond.
Un impact structurel pour le RGPD
L’arrêt ne remet pas en cause, à ce stade, l’amende infligée à WhatsApp. En revanche, il ouvre une brèche procédurale majeure. Les entreprises disposent désormais d’un droit clair de contester directement les décisions contraignantes du CEPD devant le juge de l’Union.
Pour les autorités de contrôle, cette jurisprudence complexifie la chaîne décisionnelle et introduit un risque contentieux supplémentaire. Pour les responsables de traitement, elle offre un levier stratégique nouveau, permettant de discuter le cadre juridique européen en amont des décisions nationales. À terme, cette évolution pourrait conduire à une clarification du rôle exact du CEPD et à une redéfinition des équilibres entre coordination européenne et souveraineté des autorités nationales.
