CJUE, gr. ch., 10 février 2026, n° C-97/23 P

Arrêt

1  Par son pourvoi, WhatsApp Ireland Ltd (ci-après « WhatsApp ») demande l’annulation de l’ordonnance du Tribunal de l’Union européenne du 7 décembre 2022, WhatsApp Ireland/Comité européen de la protection des données (T‑709/21, ci-après l’« ordonnance attaquée », EU:T:2022:783), par laquelle celui-ci a rejeté comme étant irrecevable son recours tendant à l’annulation de la décision contraignante 1/2021 du Comité européen de la protection des données (ci-après le « Comité »), du 28 juillet 2021, relative au litige entre les autorités de contrôle concernées né du projet de décision concernant WhatsApp élaboré par la Data Protection Commission (DPC) (Autorité de protection des données, Irlande) (ci-après l’« autorité de contrôle irlandaise ») (ci-après la « décision litigieuse »).

 Le cadre juridique

2  Les considérants 10 et 143 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2) (ci-après le « RGPD »), énoncent :

« (10)   Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

[...]

(143)   Toute personne physique ou morale a le droit de former un recours en annulation des décisions du [Comité] devant la Cour de justice dans les conditions prévues à l’article 263 [TFUE]. Dès lors qu’elles reçoivent de telles décisions, les autorités de contrôle concernées qui souhaitent les contester doivent le faire dans un délai de deux mois à compter de la notification qui leur en a été faite, conformément à l’article 263 [TFUE]. Lorsque des décisions du [Comité] concernent directement et individuellement un responsable du traitement, un sous-traitant ou l’auteur de la réclamation, ces derniers peuvent former un recours en annulation de ces décisions dans un délai de deux mois à compter de leur publication sur le site [I]nternet du [Comité], conformément à l’article 263 [TFUE]. Sans préjudice de ce droit prévu à l’article 263 [TFUE], toute personne physique ou morale devrait disposer d’un recours juridictionnel effectif, devant la juridiction nationale compétente, contre une décision d’une autorité de contrôle qui produit des effets juridiques à son égard. Une telle décision concerne en particulier l’exercice, par l’autorité de contrôle, de pouvoirs d’enquête, d’adoption de mesures correctrices et d’autorisation ou le refus ou le rejet de réclamations. Toutefois, ce droit à un recours juridictionnel effectif ne couvre pas des mesures prises par les autorités de contrôle qui ne sont pas juridiquement contraignantes, telles que les avis émis ou les conseils fournis par une autorité de contrôle. Les actions contre une autorité de contrôle devraient être portées devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie et être menées conformément au droit procédural de cet État membre. Ces juridictions devraient disposer d’une compétence de pleine juridiction, ce qui devrait comprendre la compétence pour examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies.

Lorsqu’une réclamation a été rejetée ou refusée par une autorité de contrôle, l’auteur de la réclamation peut intenter une action devant les juridictions de ce même État membre. Dans le cadre des recours juridictionnels relatifs à l’application du présent règlement, les juridictions nationales qui estiment qu’une décision sur la question est nécessaire pour leur permettre de rendre leur jugement peuvent ou, dans le cas prévu à l’article 267 [TFUE], doivent demander à la Cour de justice de statuer à titre préjudiciel sur l’interprétation du droit de l’Union, y compris le présent règlement. En outre, lorsqu’une décision d’une autorité de contrôle mettant en œuvre une décision du [Comité] est contestée devant une juridiction nationale et que la validité de la décision du [Comité] est en cause, ladite juridiction nationale n’est pas habilitée à invalider la décision du [Comité] et doit, dans tous les cas où elle considère qu’une décision est invalide, soumettre la question de la validité à la Cour de justice, conformément à l’article 267 [TFUE] tel qu’il a été interprété par la Cour de justice. Toutefois, une juridiction nationale peut ne pas soumettre une question relative à la validité d’une décision du [Comité] à la demande d’une personne physique ou morale qui a eu la possibilité de former un recours en annulation de cette décision, en particulier si elle était concernée directement et individuellement par ladite décision, et ne l’a pas fait dans le délai prévu à l’article 263 [TFUE]. »

3  L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose, à son paragraphe 1, sous a), que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. L’article 5, paragraphe 1, sous c), de celui-ci prévoit que ces données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

4  L’article 6 du RGPD, intitulé « Licéité du traitement », énonce les conditions de licéité du traitement de données à caractère personnel. Le paragraphe 1 de cet article 6 prévoit :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)   la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b)   le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c)   le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d)   le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e)   le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f)   le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. »

5  L’article 12 du RGPD comporte, quant à lui, des dispositions relatives à la transparence des informations et des communications ainsi qu’aux modalités de l’exercice des droits de la personne concernée. Le paragraphe 1 de cet article 12 dispose :

« Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. »

6  L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit :

« 1.   Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

a)   l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

b)   le cas échéant, les coordonnées du délégué à la protection des données ;

c)   les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d)   lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

e)   les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; et

f)   le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission [européenne] ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

2.   En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :

a)   la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

b)   l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;

c)   lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;

d)   le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

e)   des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;

f)   l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

[...] »

7  L’article 14 du RGPD porte sur les informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée.

8  Aux termes de l’article 55, paragraphe 1, du RGPD, chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au RGPD sur le territoire de l’État membre dont elle relève.

9  L’article 56 du RGPD, intitulé « Compétence de l’autorité de contrôle chef de file », prévoit :

« 1.   Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l’article 60.

2.   Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d’elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement.

3.   Dans les cas visés au paragraphe 2 du présent article, l’autorité de contrôle informe sans tarder l’autorité de contrôle chef de file de la question. Dans un délai de trois semaines suivant le moment où elle a été informée, l’autorité de contrôle chef de file décide si elle traitera ou non le cas conformément à la procédure prévue à l’article 60, en considérant s’il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l’État membre de l’autorité de contrôle qui l’a informée.

4.   Si l’autorité de contrôle chef de file décide de traiter le cas, la procédure prévue à l’article 60 s’applique. L’autorité de contrôle qui a informé l’autorité de contrôle chef de file peut lui soumettre un projet de décision. L’autorité de contrôle chef de file tient le plus grand compte de ce projet lorsqu’elle élabore le projet de décision visé à l’article 60, paragraphe 3.

5.   Lorsque l’autorité de contrôle chef de file décide de ne pas traiter le cas, l’autorité de contrôle qui l’a informée le traite conformément aux articles 61 et 62.

6.   L’autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant. »

10   L’article 57 du RGPD, intitulé « Missions », dispose, à son paragraphe 1, sous h), que chaque autorité de contrôle, sur le territoire de l’État membre dont elle relève, a pour mission d’effectuer des enquêtes sur l’application du RGPD.

11   Les pouvoirs d’enquête de cette autorité sont énumérés au paragraphe 1 de l’article 58 du RGPD, intitulé « Pouvoirs ». Le paragraphe 2 de cet article énumère les mesures correctrices pouvant être prises par ladite autorité, dont celles, visées aux points b), d) et i) de celui-ci, qui consistent, respectivement, à rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du RGPD, à ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du RGPD, le cas échéant, de manière spécifique et dans un délai déterminé, et à imposer une amende administrative en application de l’article 83 du RGPD.

12   L’article 60 du RGPD, intitulé « Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées », dispose :

« 1.   L’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s’efforçant de parvenir à un consensus. L’autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.

2.   L’autorité de contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter mutuellement assistance en application de l’article 61 et peut mener des opérations conjointes en application de l’article 62, en particulier pour effectuer des enquêtes ou contrôler l’application d’une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.

3.   L’autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et tient dûment compte de leur point de vue.

4.   Lorsqu’une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection pertinente et motivée à l’égard du projet de décision, l’autorité de contrôle chef de file, si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que cette objection n’est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l’article 63.

5.   Lorsque l’autorité de contrôle chef de file entend suivre l’objection pertinente et motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d’obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines.

6.   Lorsqu’aucune des autres autorités de contrôle concernées n’a formulé d’objection à l’égard du projet de décision soumis par l’autorité de contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l’autorité de contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui.

7.   L’autorité de contrôle chef de file adopte la décision, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le [Comité] de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L’autorité de contrôle auprès de laquelle une réclamation a été introduite informe de la décision l’auteur de la réclamation.

8.   Par dérogation au paragraphe 7, lorsqu’une réclamation est refusée ou rejetée, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la notifie à l’auteur de la réclamation et en informe le responsable du traitement.

9.   Lorsque l’autorité de contrôle chef de file et les autorités de contrôle concernées sont d’accord pour refuser ou rejeter certaines parties d’une réclamation et donner suite à d’autres parties de cette réclamation, une décision distincte est adoptée pour chacune des parties. L’autorité de contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant sur le territoire de l’État membre dont elle relève et en informe l’auteur de la réclamation, tandis que l’autorité de contrôle de l’auteur de la réclamation adopte la décision pour la partie concernant le refus ou le rejet de cette réclamation, la notifie à cette personne et en informe le responsable du traitement ou le sous-traitant.

10.   Après avoir été informé de la décision de l’autorité de contrôle chef de file en application des paragraphes 7 et 9, le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de cette décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l’Union. Le responsable du traitement ou le sous-traitant notifie les mesures prises pour assurer le respect de la décision à l’autorité de contrôle chef de file, qui informe les autres autorités de contrôle concernées.

11.   Lorsque, dans des circonstances exceptionnelles, une autorité de contrôle concernée a des raisons de considérer qu’il est urgent d’intervenir pour protéger les intérêts des personnes concernées, la procédure d’urgence visée à l’article 66 s’applique.

12.   L’autorité de contrôle chef de file et les autres autorités de contrôle concernées se communiquent par voie électronique et au moyen d’un formulaire type, les informations requises en vertu du présent article. »

13   Aux termes de l’article 63 du RGPD, intitulé « Mécanisme de contrôle de la cohérence » :

« Afin de contribuer à l’application cohérente du présent règlement dans l’ensemble de l’Union, les autorités de contrôle coopèrent entre elles et, le cas échéant, avec la Commission dans le cadre du mécanisme de contrôle de la cohérence [...] »

14   L’article 65 du RGPD, intitulé « Règlement des litiges par le [Comité] », dispose :

« 1.   En vue d’assurer l’application correcte et cohérente du présent règlement dans les cas d’espèce, le [Comité] adopte une décision contraignante dans les cas suivants :

a)   lorsque, dans le cas visé à l’article 60, paragraphe 4, une autorité de contrôle concernée a formulé une objection pertinente et motivée à l’égard d’un projet de décision de l’autorité de contrôle chef de file et que l’autorité de contrôle chef de file n’a pas donné suite à l’objection ou a rejeté cette objection au motif qu’elle n’est pas pertinente ou motivée. La décision contraignante concerne toutes les questions qui font l’objet de l’objection pertinente et motivée, notamment celle de savoir s’il y a violation du présent règlement ;

b)   lorsqu’il existe des points de vue divergents quant à l’autorité de contrôle concernée qui est compétente pour l’établissement principal ;

c)   lorsqu’une autorité de contrôle compétente ne demande pas l’avis du [Comité] dans les cas visés à l’article 64, paragraphe 1, ou qu’elle ne suit pas l’avis du [Comité] émis en vertu de l’article 64. Dans ce cas, toute autorité de contrôle concernée ou la Commission peut saisir le [Comité] de la question.

2.   La décision visée au paragraphe 1 est adoptée à la majorité des deux tiers des membres du [Comité] dans un délai d’un mois à compter de la transmission de la question. Ce délai peut être prolongé d’un mois en fonction de la complexité de la question. La décision visée au paragraphe 1 est motivée et est adressée à l’autorité de contrôle chef de file et à toutes les autorités de contrôle concernées et est contraignante à leur égard.

3.   Lorsque le [Comité] n’a pas été en mesure d’adopter une décision dans les délais visés au paragraphe 2, il adopte sa décision, à la majorité simple de ses membres, dans un délai de deux semaines suivant l’expiration du deuxième mois visé au paragraphe 2. En cas d’égalité des voix au sein du [Comité], la voix de son président est prépondérante.

4.   Les autorités de contrôle concernées n’adoptent pas de décision sur la question soumise au [Comité] en vertu du paragraphe 1 lorsque les délais visés aux paragraphes 2 et 3 courent.

5.   Le président du [Comité] notifie, dans les meilleurs délais, la décision visée au paragraphe 1 aux autorités de contrôle concernées. Il en informe la Commission. La décision est publiée sur le site [I]nternet du [Comité] sans tarder après que l’autorité de contrôle a notifié la décision finale visée au paragraphe 6.

6.   L’autorité de contrôle chef de file ou, selon le cas, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte sa décision finale sur la base de la décision visée au paragraphe 1 du présent article, dans les meilleurs délais et au plus tard un mois après que le [Comité] a notifié sa décision. L’autorité de contrôle chef de file ou, selon le cas, l’autorité de contrôle auprès de laquelle la réclamation a été introduite informe le [Comité] de la date à laquelle sa décision finale est notifiée, respectivement, au responsable du traitement ou au sous-traitant et à la personne concernée. La décision finale des autorités de contrôle concernées est adoptée aux conditions de l’article 60, paragraphes 7, 8 et 9. La décision finale fait référence à la décision visée au paragraphe 1 du présent article et précise que celle-ci sera publiée sur le site [I]nternet du [Comité] conformément au paragraphe 5 du présent article. La décision visée au paragraphe 1 du présent article est jointe à la décision finale. »

15   L’article 68 du RGPD, intitulé « [Comité] », prévoit, à son paragraphe 1, que le Comité est institué en tant qu’organe de l’Union et possède la personnalité juridique.

16   L’article 70 du RGPD, intitulé « Missions du [Comité] », prévoit, à son paragraphe 1, sous a), que le Comité veille à l’application cohérente du RGPD. À cet effet, le Comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, a notamment pour mission de surveiller et de garantir la bonne application du RGPD dans les cas prévus aux articles 64 et 65 de celui-ci, sans préjudice des missions des autorités de contrôle nationales.

17   L’article 78 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », dispose :

« 1.   Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.

2.   Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77.

3.   Toute action contre une autorité de contrôle est intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie.

4.   Dans le cas d’une action intentée contre une décision d’une autorité de contrôle qui a été précédée d’un avis ou d’une décision du [Comité] dans le cadre du mécanisme de contrôle de la cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée. »

18   L’article 83 du RGPD énonce les conditions générales pour imposer des amendes administratives.

 Les antécédents du litige et la décision litigieuse

19   Les antécédents du litige figurent aux points 2 à 12 de l’ordonnance attaquée et peuvent, pour les besoins de la présente procédure, être résumés de la manière suivante.

20   À la suite de l’entrée en vigueur du RGPD, l’autorité de contrôle irlandaise a reçu des plaintes d’utilisateurs et de non-utilisateurs de la messagerie « WhatsApp » concernant le traitement de données à caractère personnel par WhatsApp. Le Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (Commissaire fédéral à la protection des données et à la liberté de l’information, Allemagne) a par ailleurs demandé l’assistance de l’autorité de contrôle irlandaise à propos du respect par WhatsApp des obligations de transparence pesant sur les responsables de traitement de données à caractère personnel en ce qui concerne un éventuel partage de telles données avec d’autres entités du groupe Facebook, renommé « Meta » depuis le mois de septembre 2021.

21   L’autorité de contrôle irlandaise a ouvert d’office, au mois de décembre 2018, une enquête à caractère général sur le respect par WhatsApp des obligations de transparence et d’information à l’égard des particuliers énoncées aux articles 12 à 14 du RGPD, sans préjudice des suites qu’elle pourrait donner aux saisines individuelles dont elle avait fait l’objet. L’autorité de contrôle irlandaise a agi, à cet égard, en tant qu’autorité de contrôle chef de file, au titre de l’article 56, paragraphe 1, du RGPD, dès lors que WhatsApp avait, en Irlande, son principal établissement en tant que responsable du traitement pour les opérations de la messagerie « WhatsApp » en Europe, ce traitement ayant un caractère transfrontalier.

22   Après que la phase d’enquête a été achevée au mois de septembre 2019 par la présentation d’un rapport final de l’enquêteur, l’autorité de contrôle irlandaise a, à l’issue de phases procédurales intermédiaires au cours desquelles WhatsApp a fait part de ses observations, présenté au mois de décembre 2020 à l’ensemble des autres autorités de contrôle concernées par l’affaire un projet de décision en vue d’obtenir leur avis, conformément à l’article 60, paragraphe 3, du RGPD.

23   Au mois de janvier 2021, huit de ces autres autorités de contrôle ont formulé des objections sur certains aspects de ce projet de décision. L’autorité de contrôle irlandaise a répondu de manière groupée à ces objections en proposant des solutions de compromis. Si, à la suite de cette réponse, une de ces huit autorités de contrôle a retiré une de ses objections, l’autorité de contrôle irlandaise a constaté qu’un consensus ne se dégageait pas à propos d’autres aspects ayant fait l’objet d’objections. Elle a décidé de rejeter toutes les objections reçues et de saisir le Comité pour qu’il règle le litige entre les autorités de contrôle concernées sur les aspects couverts par ces objections, conformément aux dispositions de l’article 60, paragraphe 4, et de l’article 65, paragraphe 1, sous a), du RGPD.

24   Au mois de mai 2021, l’autorité de contrôle irlandaise a recueilli par écrit les observations de WhatsApp sur les éléments débattus entre les autorités de contrôle concernées, après lui avoir transmis toutes les pièces échangées à cet égard, et a elle-même transmis au Comité ces observations pour qu’il en prenne connaissance dans le cadre de la procédure de règlement des litiges, qui a été lancée par elle au mois de juin 2021.

25   Le 28 juillet 2021, le Comité a adopté la décision litigieuse, sur le fondement de l’article 65, paragraphe 2, du RGPD.

26   Après que l’autorité de contrôle irlandaise a reçu la décision litigieuse et qu’elle a recueilli les observations de WhatsApp sur les sanctions pécuniaires qu’il était, en définitive, envisagé de lui infliger à la suite de cette décision, cette autorité a adopté, le 20 août 2021, conformément à l’article 65, paragraphe 6, du RGPD, une décision finale, adressée à WhatsApp (ci-après la « décision finale »).

27   Dans la décision finale, l’autorité de contrôle irlandaise a constaté que WhatsApp avait méconnu le principe et les obligations de transparence énoncés à l’article 5, paragraphe 1, sous a), à l’article 12, paragraphe 1, à l’article 13, paragraphe 1, sous c) à f), à l’article 13, paragraphe 2, sous a), c) et e), ainsi qu’à l’article 14 du RGPD. En revanche, cette autorité a indiqué que WhatsApp s’était conformée aux obligations énoncées à l’article 13, paragraphe 1, sous a) et b), ainsi qu’à l’article 13, paragraphe 2, sous b) et d), du RGPD. À titre de mesures correctrices adoptées sur le fondement de l’article 58, paragraphe 2, sous b), d) et i), du RGPD, ladite autorité a imposé à WhatsApp un rappel à l’ordre, la mise en œuvre d’un certain nombre d’actions, énumérées dans une annexe, visant à se mettre, dans un délai de trois mois, en conformité avec les dispositions du RGPD qui avaient été méconnues, ainsi que quatre amendes administratives relatives aux infractions constatées à l’article 5, paragraphe 1, sous a), ainsi qu’aux articles 12 à 14 du RGPD, d’un montant cumulé de 225 millions d’euros.

28   En outre, dans la décision finale, l’autorité de contrôle irlandaise a identifié les aspects pour lesquels la décision litigieuse lui imposait de revoir l’appréciation exposée dans son projet de décision. Elle a fait le choix, sur ces aspects, de reproduire tels quels, dans des encadrés en grisé, les motifs retenus par le Comité dans la décision litigieuse et d’en tirer simplement les conséquences à chaque fois dans un point conclusif.

29   Conformément à l’article 65, paragraphe 6, du RGPD, la décision litigieuse a été jointe à la décision finale.

30   Dans la décision litigieuse, le Comité a pris position sur les questions ayant fait l’objet d’objections pertinentes et motivées, au sens de l’article 65, paragraphe 1, sous a), du RGPD, à savoir :

–  l’existence d’une méconnaissance, par WhatsApp, des obligations d’information énoncées à l’article 13, paragraphe 1, sous d), du RGPD, relatif à certaines informations à fournir aux personnes concernées lorsque des données personnelles ont été collectées auprès d’elles. Une telle méconnaissance n’avait pas été identifiée par l’autorité de contrôle irlandaise dans son projet de décision. Le Comité a estimé, au contraire, que cette disposition avait été méconnue par WhatsApp ;

–  la qualification de données à caractère personnel des éléments issus d’une procédure de compression avec perte, communément appelée « lossy hashing » et appliquée aux données concernant les contacts non-utilisateurs de WhatsApp figurant dans les carnets d’adresses des terminaux des utilisateurs de WhatsApp. L’autorité de contrôle irlandaise n’avait pas qualifié ces éléments comme tels dans son projet de décision. Le Comité a estimé, au contraire, qu’ils constituaient toujours des données à caractère personnel. Cet aspect avait, selon le Comité, un possible impact sur l’éventuel constat d’une méconnaissance, par WhatsApp, de l’article 5, paragraphe 1, sous c), et de l’article 6, paragraphe 1, du RGPD, ainsi qu’un impact sur l’étendue de la méconnaissance, par WhatsApp, de l’article 14 du RGPD et sur le niveau de la sanction pécuniaire encourue à ces titres ;

–  l’existence d’une méconnaissance, par WhatsApp, du principe de transparence énoncé à l’article 5, paragraphe 1, sous a), du RGPD, que l’autorité de contrôle irlandaise n’avait pas identifiée dans son projet de décision. Le Comité a estimé, au contraire, que ce principe avait été méconnu par WhatsApp ;

–  le constat d’une infraction de WhatsApp à l’article 13, paragraphe 2, sous e), du RGPD, relatif à certaines informations à fournir aux personnes concernées lorsque des données personnelles ont été collectées auprès d’elles, que l’autorité de contrôle irlandaise n’avait pas estimé être en mesure de faire, car l’enquêteur n’avait pas pris position sur la question pendant l’enquête, et pour laquelle elle avait estimé uniquement pouvoir émettre une recommandation. Le Comité a estimé, au contraire, que l’enquête couvrait l’ensemble des dispositions de l’article 13 du RGPD et qu’une infraction à la disposition précitée devait être constatée ;

–  l’existence d’une infraction de WhatsApp à l’article 6, paragraphe 1, du RGPD, relatif aux conditions de licéité d’un traitement de données à caractère personnel, sur laquelle l’autorité de contrôle irlandaise ne s’était pas prononcée. Le Comité a estimé que, pour des raisons procédurales, il n’était, en effet, pas possible de se prononcer et de constater une telle infraction ;

–  l’élargissement des motifs de la méconnaissance, par WhatsApp, des obligations d’information énoncées à l’article 14 du RGPD, relatif aux informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, en raison de l’analyse relative au deuxième tiret du présent point. Le Comité a confirmé l’impact que devait avoir cet élargissement sur les mesures correctrices comportementales et la sanction imposées à WhatsApp ;

–  l’existence d’une méconnaissance, par WhatsApp, du principe énoncé à l’article 5, paragraphe 1, sous c), du RGPD, de ne collecter que les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités de leur traitement, sur laquelle l’autorité de contrôle irlandaise ne s’était pas prononcée. Le Comité a estimé qu’une telle méconnaissance n’était pas démontrée sur la base du dossier, en particulier compte tenu du champ d’investigation retenu pour la procédure à l’égard de WhatsApp ;

–  le délai, fixé à six mois par l’autorité de contrôle irlandaise, dans lequel, au titre des mesures correctrices, WhatsApp devait se mettre en conformité avec les exigences du RGPD qu’elle avait méconnues. Le Comité a réduit ce délai à trois mois ;

–  au titre des mesures correctrices, les modalités d’information des non-utilisateurs de WhatsApp concernant le traitement de leurs données personnelles par WhatsApp, le Comité ayant confirmé l’appréciation formulée par l’autorité de contrôle irlandaise à cet égard dans son projet de décision ;

–  au titre des mesures correctrices, la mention des motifs supplémentaires de la méconnaissance, par WhatsApp, des obligations énoncées à l’article 14 du RGPD, le Comité ayant exposé que cette mention était nécessaire pour garantir que WhatsApp adopte les mesures correctrices adéquates à cet égard ;

–  au regard de l’article 83 du RGPD, relatif aux « conditions générales pour imposer des amendes administratives », les critères du quantum des amendes à infliger à WhatsApp. Le Comité a estimé que l’autorité de contrôle irlandaise avait interprété erronément le critère lié au chiffre d’affaires annuel mondial de l’entreprise concernée, qu’elle avait fait une interprétation correcte de la notion d’« exercice précédent », qu’elle avait interprété erronément la règle selon laquelle, si plusieurs dispositions du RGPD sont violées dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave, et qu’elle avait fait une interprétation correcte de certains critères de détermination de l’amende mentionnés à l’article 83, paragraphes 1 et 2, du RGPD, à savoir le caractère intentionnel ou négligent des manquements et la gravité de ceux-ci, mais interprété erronément d’autres de ces critères, tels que la prise en compte du chiffre d’affaires pour quantifier la sanction indépendamment du calcul de son plafond et, plus globalement, la nécessité que la sanction soit effective, proportionnée et dissuasive, et

–  les montants des amendes, le Comité ayant estimé que, au regard des erreurs d’interprétation de certains critères du quantum de l’amende commises par l’autorité de contrôle irlandaise et des manquements supplémentaires de WhatsApp à constater, les montants des amendes envisagés par cette autorité à un niveau total compris entre 30 et 50 millions d’euros devaient être augmentés.

31   WhatsApp a attaqué la décision finale devant une juridiction irlandaise.

 La procédure devant le Tribunal et l’ordonnance attaquée

32   Par requête déposée au greffe du Tribunal le 1^er novembre 2021, WhatsApp a formé un recours sur le fondement de l’article 263 TFUE, tendant à l’annulation de la décision litigieuse.

33   Par l’ordonnance attaquée, prise en application de l’article 129 de son règlement de procédure, le Tribunal a rejeté ce recours comme étant irrecevable.

34   Tout en relevant, aux points 36, 37 et 40 de l’ordonnance attaquée, que la décision litigieuse constituait un acte d’un organe de l’Union, destiné à produire des effets juridiques à l’égard des tiers, et que WhatsApp était individuellement concernée par cette décision, le Tribunal a toutefois estimé, au point 42 de l’ordonnance attaquée, que ladite décision était un acte préparatoire ou intermédiaire dans une procédure devant se clore par l’adoption, par l’autorité de contrôle nationale, d’une décision finale. Or, le Tribunal a considéré, aux points 43 et 44 de l’ordonnance attaquée, qu’un tel acte ne constituait un « acte attaquable » que s’il avait des effets juridiques autonomes à l’égard desquels une protection juridictionnelle suffisante ne pouvait pas être assurée dans le cadre d’un recours contre la décision mettant fin à la procédure en cause.

35   À cet égard, le Tribunal a estimé, au point 45 de l’ordonnance attaquée, que, en l’occurrence, une protection juridictionnelle effective quant à la décision litigieuse était assurée par la voie de recours dont dispose WhatsApp, devant le juge national, contre la décision finale, ce juge national étant habilité, en vertu de l’article 267 TFUE, à saisir la Cour d’un renvoi préjudiciel en appréciation de validité de la décision litigieuse. Le Tribunal a également précisé, au point 46 de l’ordonnance attaquée, que la décision litigieuse n’avait, à l’égard de WhatsApp, pas d’effets juridiques autonomes par rapport à la décision finale prise par l’autorité de contrôle irlandaise.

36   En outre, le Tribunal a considéré, au point 49 de l’ordonnance attaquée, que le fait qu’un tel acte intermédiaire exprime une position définitive d’une autorité, qui devra être reprise dans la décision finale clôturant la procédure en cause, ne signifiait pas nécessairement que cet acte modifiait lui-même de façon caractérisée la situation juridique de la partie requérante.

37   Par ailleurs, le Tribunal a relevé, au point 50 de l’ordonnance attaquée, que WhatsApp n’était pas directement concernée par la décision litigieuse. Le Tribunal a observé, au point 52 de cette ordonnance, que cette décision ne revêtait pas un caractère opposable qui lui permettrait, sans étape supplémentaire dans la procédure, d’être source d’obligations pour WhatsApp ou, le cas échéant, de droits pour d’autres particuliers, de sorte qu’elle ne produisait pas directement des effets juridiques sur la situation de WhatsApp. Le Tribunal a également fait état, au point 53 de ladite ordonnance, de ce que, même si la décision litigieuse liait l’autorité de contrôle irlandaise quant aux aspects sur lesquels elle portait, elle lui laissait, néanmoins, une marge d’appréciation quant au contenu de la décision finale.

38   Ainsi, aux points 61 et 62 de la même ordonnance, le Tribunal a jugé qu’aucune des conditions requises pour que WhatsApp soit considérée comme étant directement concernée par la mesure faisant l’objet de son recours n’était remplie et que ce recours était, par conséquent, irrecevable.

39   Enfin, le Tribunal a jugé, aux points 66 à 70 de l’ordonnance attaquée, que le résultat de son analyse s’inscrivait dans la logique du système des voies de recours juridictionnelles établi par les traités. Le Tribunal a, notamment, retenu que l’admission de la recevabilité du recours de WhatsApp contre la décision litigieuse présenterait un risque de procédures juridictionnelles parallèles devant le juge de l’Union et le juge national, ce dernier étant, en outre, habilité à saisir la Cour d’un renvoi préjudiciel en appréciation de validité de cette décision.

 Les conclusions des parties

40   Par son pourvoi, WhatsApp demande à la Cour :

–  d’annuler l’ordonnance attaquée ;

–  de déclarer le recours en première instance recevable ;

–  de renvoyer l’affaire devant le Tribunal pour que celui-ci statue, et

–  de condamner le Comité aux dépens afférents à la procédure de pourvoi.

41   Le Comité, soutenu dans ses conclusions par la République fédérale d’Allemagne, demande à la Cour :

–  de rejeter le pourvoi ;

–  de condamner WhatsApp aux dépens, et

–  à titre subsidiaire, de renvoyer l’affaire devant le Tribunal pour que celui-ci statue.

 Sur le pourvoi

 Sur le caractère prétendument tardif du recours en première instance

 Argumentation des parties

42   Le Comité fait valoir que le recours en première instance a été introduit tardivement. À cet égard, il soutient que WhatsApp a pris connaissance des parties pertinentes de la décision litigieuse à une date antérieure à la publication de celle-ci sur son site Internet et, plus précisément, le 13 août 2021. Par conséquent, indépendamment de la date de publication de la décision litigieuse sur le site Internet du Comité, laquelle ne saurait d’ailleurs être assimilée à une publication au Journal officiel de l’Union européenne, le délai de recours aurait commencé à courir dès le 13 août 2021 et aurait expiré le 25 octobre suivant. WhatsApp ayant introduit son recours en annulation le 1^er novembre 2021, celui-ci serait tardif.

43   WhatsApp soutient que l’allégation du Comité quant au caractère tardif de son recours est erronée. En effet, lorsque la partie requérante n’est pas le destinataire d’un acte, ce serait la date de publication de cet acte qui déterminerait le point de départ du délai de recours. La date de prise de connaissance de celui-ci ne constituerait qu’un critère subsidiaire à cet égard. Le mode de publication dudit acte serait, quant à lui, dénué de pertinence. En l’espèce, la publication de la décision litigieuse aurait, en tout état de cause, été effectuée sur le site Internet du Comité le 2 septembre 2021 et le recours aurait été introduit le 1^er novembre 2021, dans le respect du délai prévu à l’article 263, sixième alinéa, TFUE.

 Appréciation de la Cour

44   Aux termes de l’article 263, sixième alinéa, TFUE, les recours prévus à cet article doivent être formés dans un délai de deux mois à compter, suivant le cas, de la publication de l’acte, de sa notification au requérant ou, à défaut, du jour où celui-ci en a eu connaissance.

45   Il ressort clairement du libellé de cette disposition, en particulier des expressions « suivant le cas » et « à défaut », que le point de départ du délai de recours est déterminé en fonction de la situation en cause et que les deux premiers critères susceptibles de déclencher ce délai sont hiérarchisés par rapport au troisième. Ainsi, le délai de recours en annulation commence à courir, à titre principal, à compter de la publication de l’acte ou de la notification de celui-ci au requérant. Ces deux critères principaux sont placés, dans l’économie de ladite disposition, sur un pied d’égalité en ce sens qu’aucun de ces deux critères n’est subsidiaire par rapport à l’autre. En revanche, le critère de la date de prise de connaissance de l’acte attaqué en tant que point de départ du délai de recours présente un caractère subsidiaire par rapport à ceux de la publication ou de la notification de cet acte (voir, en ce sens, arrêt du 26 septembre 2024, WEPA Hygieneprodukte e.a./Commission, C‑795/21 P et C‑796/21 P, EU:C:2024:807, points 61 à 63 ainsi que jurisprudence citée).

46   En l’espèce, il est constant que la décision litigieuse n’a pas été notifiée à WhatsApp, le Comité n’étant tenu de notifier une telle décision qu’aux autorités de contrôle concernées, en vertu de l’article 65, paragraphe 5, première phrase, du RGPD. Il convient donc d’examiner si cette décision a fait l’objet d’une « publication », au sens de l’article 263, sixième alinéa, TFUE.

47   À cet égard, il y a lieu de préciser que la notion de « publication » ne vise pas exclusivement une publication au Journal officiel de l’Union européenne et doit, au contraire, être interprétée de manière large. Relève de cette notion, notamment, une publication sur le site Internet d’une institution, d’un organe ou d’un organisme de l’Union lorsque celle-ci est prévue par le droit dérivé (voir, en ce sens, arrêt du 26 septembre 2024, WEPA Hygieneprodukte e.a./Commission, C‑795/21 P et C‑796/21 P, EU:C:2024:807, point 70 ainsi que jurisprudence citée).

48   En l’espèce, la publication de la décision litigieuse étant prévue à l’article 65, paragraphe 5, troisième phrase, du RGPD, il convient donc de prendre en considération la date à laquelle cette décision a été publiée sur le site Internet du Comité, à savoir le 2 septembre 2021. Cette interprétation est corroborée par le considérant 143, troisième phrase, du RGPD, dont il ressort que le délai de recours doit être calculé à compter de la publication de la décision en cause du Comité sur le site Internet de ce dernier.

49   Le recours ayant été introduit le 1^er novembre 2021, le délai prévu à l’article 263, sixième alinéa, TFUE n’a pas été méconnu, de sorte qu’il y a lieu d’examiner si les moyens invoqués dans le cadre du présent pourvoi sont de nature à remettre en cause l’appréciation retenue par le Tribunal dans l’ordonnance attaquée.

 Sur le premier moyen, tiré d’erreurs de droit dans l’interprétation et l’application de la notion d’acte attaquable et de la condition selon laquelle le requérant doit être directement concerné par la mesure faisant l’objet de son recours

 Sur la première branche du premier moyen

–    Argumentation des parties

50   WhatsApp soutient que le Tribunal a commis une erreur de droit en considérant que la décision litigieuse n’était pas un acte attaquable.

51   WhatsApp conteste, en particulier, la pertinence du critère retenu par le Tribunal, au point 41 de l’ordonnance attaquée, afin de déterminer si un acte est attaquable ou non. Le Tribunal aurait ainsi considéré à tort qu’il était nécessaire de démontrer que la décision litigieuse produit des effets juridiques modifiant de façon caractérisée la situation juridique de WhatsApp et qu’elle la concerne directement. Or, il aurait suffi de conclure que cette décision était destinée à produire des effets juridiques à l’égard d’un ou de plusieurs tiers pour constater qu’elle constituait un acte attaquable, du fait de son caractère définitif. En tout état de cause, ladite décision ne constituerait pas une simple mesure intermédiaire, mais exprimerait la position définitive du Comité.

52   Selon WhatsApp, le Tribunal a appliqué de manière erronée la jurisprudence relative aux effets juridiques des actes intermédiaires en appliquant un critère procédural, en vertu duquel un tel acte ne serait attaquable que si un recours dirigé contre l’acte final ne permettait pas d’assurer une protection juridictionnelle suffisante, et en concluant à l’absence d’effets juridiques de la décision litigieuse.

53   Dans ce contexte, WhatsApp se réfère à l’arrêt du 11 novembre 1981, IBM/Commission (60/81, EU:C:1981:264, points 10 et 11), dont il ressortirait, en particulier, qu’un acte intermédiaire serait attaquable lorsqu’il revêt un caractère définitif et qu’il est indépendant de la décision finale adoptée postérieurement. Il conviendrait donc d’examiner la substance de cet acte et d’apprécier ses effets au regard de critères objectifs, tels que le contenu dudit acte, en tenant compte, le cas échéant, du contexte de l’adoption de ce dernier ainsi que des pouvoirs de l’institution qui en est l’auteur WhatsApp cite, notamment, à cet égard, l’arrêt du 12 juillet 2022, Nord Stream 2/Parlement et Conseil (C‑348/20 P, EU:C:2022:548, point 63).

54   En particulier, un tel acte serait insusceptible de recours en annulation uniquement lorsque, d’une part, il revêtirait un caractère provisoire quant au fond, de sorte que son auteur pourrait modifier sa position au stade de la décision finale adoptée postérieurement, et, d’autre part, cette décision finale serait adoptée par une même institution ou un même organe de l’Union. Il n’y aurait donc pas lieu d’appliquer la notion de mesure intermédiaire à une décision adoptée par une institution ou un organe de l’Union, et adressée à une autorité nationale, chargée de mettre en œuvre cette décision à l’égard des tiers.

55   En l’espèce, selon WhatsApp, le Tribunal s’est limité à examiner si, sur le plan procédural, une protection juridictionnelle effective lui était assurée par l’intermédiaire du recours devant le juge national. Il aurait ainsi erronément considéré, aux points 48 et 49 de l’ordonnance attaquée, que l’argument de WhatsApp selon lequel la décision litigieuse exprimait la position définitive de son auteur était dépourvu de pertinence. En procédant de la sorte, le Tribunal aurait donc estimé à tort que la décision litigieuse ne produisait pas d’effets juridiques et que celle-ci n’était pas indépendante de la décision finale, et ce sans avoir apprécié le contenu et le contexte de la décision litigieuse ni la portée des effets juridiques autonomes de celle-ci.

56   S’agissant du contenu de la décision litigieuse, il ne serait pas contesté que celle-ci était destinée, en tant que décision contraignante adoptée sur le fondement de l’article 65 du RGPD, à produire des effets juridiques à l’égard des tiers et qu’elle représentait la position finale du Comité sur les points qui lui étaient soumis. Cette position aurait été de nature à modifier de manière caractérisée la situation juridique de WhatsApp, notamment en raison du constat selon lequel les données soumises à une compression avec perte étaient des données à caractère personnel, constat qui lierait l’autorité de contrôle irlandaise.

57   Quant au contexte de la décision litigieuse, il découlerait du libellé de l’article 65 du RGPD que celle-ci constitue une décision contraignante. Le considérant 143 du RGPD indiquerait que les décisions prises par le Comité peuvent concerner directement et individuellement, notamment, un responsable du traitement, ce qui sous-entendrait que ces décisions sont de nature à produire des effets juridiques externes, au-delà des autorités de contrôle nationales qui en sont les destinataires. Cela serait corroboré tant par la raison d’être de l’effet contraignant des décisions du Comité, qui consisterait à assurer l’application correcte et cohérente du RGPD, que par l’économie de la procédure visée à l’article 65, paragraphe 1, du RGPD.

58   S’agissant des effets juridiques autonomes de la décision litigieuse, au‑delà de ceux produits à l’égard de ses destinataires, WhatsApp relève que cette décision produit de tels effets à son égard, en affectant notamment la manière dont elle envisagerait de se conformer au RGPD quant aux données soumises à la compression avec perte, celles-ci étant qualifiées de données à caractère personnel par le Comité. La décision litigieuse produirait aussi des effets juridiques à l’égard des juridictions nationales, lesquelles ne seraient pas habilitées à la modifier ou à l’invalider.

59   Le Comité conteste cette argumentation. Il fait valoir que le recours en annulation n’est, en principe, ouvert que contre une mesure par laquelle une institution, un organe ou un organisme de l’Union fixe, au terme d’une procédure administrative, définitivement sa position. Ne sauraient en revanche être qualifiés d’« actes attaquables » des actes intermédiaires, dont l’objectif est de préparer une décision finale, en ce que de tels actes ne visent pas à produire des effets juridiques obligatoires autonomes par rapport à l’acte de l’Union qui est ainsi préparé, confirmé ou exécuté. En outre, selon le Comité, un acte intermédiaire n’est pas susceptible de recours si l’illégalité attachée à un tel acte peut être invoquée à l’appui d’un recours dirigé contre la décision finale dont il constituerait un acte d’élaboration.

60   En l’espèce, selon cette partie, la décision litigieuse constitue un acte intermédiaire, qui fait partie d’une procédure décisionnelle indivisible, menée par l’autorité de contrôle irlandaise et aboutissant à une décision finale, adoptée par cette autorité. Dans ce contexte, si les appréciations du Comité sont contraignantes, elles ne seraient toutefois pas directement opposables à WhatsApp et n’auraient, à son égard, aucun effet juridique autonome par rapport à la décision finale. Ainsi, la circonstance que la décision litigieuse comporterait une position définitive du Comité quant à certains aspects appelés à figurer dans la décision finale ne signifierait pas que la décision litigieuse donnerait lieu, par elle-même, à une modification distincte de la situation juridique de WhatsApp. La décision litigieuse et la décision finale auraient, en effet, été prises dans le cadre d’une procédure administrative unifiée, composée d’étapes interdépendantes aux niveaux national et européen, portant sur le même objet, et non à la suite de deux procédures indépendantes qui concerneraient des questions distinctes.

61   À cet égard, le Comité précise que la procédure de règlement des litiges a pour but d’assurer la cohérence de la mise en œuvre du RGPD par les autorités nationales. En l’espèce, la décision litigieuse ne créerait pas de nouvelles obligations légales pour WhatsApp. Les obligations de cette dernière seraient définies par le RGPD lui-même, et non par la décision litigieuse, et appliquées par l’autorité de contrôle irlandaise, et non par le Comité. Du reste, ces obligations auraient été applicables à WhatsApp avant que les infractions en cause ne soient constatées.

62   Quant aux prétendus effets juridiques externes de la décision litigieuse, le Comité affirme que ses interprétations n’ont d’effet contraignant qu’entre les parties, c’est-à-dire entre les autorités de contrôle concernées. La décision litigieuse, outre le fait qu’elle n’aurait pas d’effet juridique direct sur WhatsApp, porterait sur des points d’application circonscrits du RGPD, qui auraient vocation à être inclus et développés dans la décision finale. Si les interprétations du RGPD retenues par le Comité peuvent ainsi être revêtues d’un certain degré d’autorité dans des affaires ultérieures, qui porteraient sur des questions juridiques similaires, elles ne lieraient cependant pas les juridictions nationales, qui devraient, en cas de doute, saisir la Cour à titre préjudiciel.

63   La République fédérale d’Allemagne, qui intervient au soutien des conclusions du Comité, fait valoir que le mécanisme de contrôle de la cohérence prévu par le RGPD, y compris la procédure de règlement des litiges, est purement interne et a pour seul but de parvenir à un arbitrage, en cas d’avis divergents entre autorités de contrôle. En particulier, il ressortirait de la troisième phrase de l’article 65, paragraphe 2, du RGPD qu’une mesure prise par le Comité dans ce cadre produirait un effet juridiquement obligatoire uniquement à l’égard des autorités de contrôle nationales. Seule la décision finale serait contraignante pour le responsable du traitement ou le sous-traitant concerné.

–    Appréciation de la Cour

64   La première branche du premier moyen du pourvoi porte sur la question de savoir si le Tribunal a commis une erreur de droit en jugeant, aux points 41 à 49 de l’ordonnance attaquée, que la décision litigieuse ne constituait pas un acte attaquable, au titre de l’article 263, premier alinéa, TFUE.

65   En vertu de cette disposition, la Cour contrôle, notamment, « la légalité des actes des organes ou organismes de l’Union destinés à produire des effets juridiques à l’égard des tiers ».

66   Selon une jurisprudence constante, le recours en annulation institué à l’article 263 TFUE est ouvert à l’égard de toutes dispositions prises par les institutions, organes ou organismes de l’Union, quelle qu’en soit la forme, qui visent à produire des effets juridiques obligatoires (voir, en ce sens, arrêt du 12 juillet 2022, Nord Stream 2/Parlement et Conseil, C‑348/20 P, EU:C:2022:548, point 62 ainsi que jurisprudence citée).

67   Afin de déterminer si un acte produit de tels effets et est, partant, susceptible de faire l’objet d’un recours en annulation en vertu de l’article 263 TFUE, il y a lieu de s’attacher à la substance de cet acte et d’apprécier ces effets au regard de critères objectifs, tels que le contenu dudit acte, en tenant compte, le cas échéant, du contexte de l’adoption de ce dernier et des pouvoirs de l’institution, de l’organe ou de l’organisme qui en est l’auteur (voir, en ce sens, arrêt du 12 juillet 2022, Nord Stream 2/Parlement et Conseil, C‑348/20 P, EU:C:2022:548, point 63 ainsi que jurisprudence citée).

68   À cet égard, ainsi que M^me l’avocate générale l’a relevé aux points 79 et 121 de ses conclusions, à la lumière de l’article 263, premier alinéa, TFUE, le tiers à l’égard duquel l’acte visé produit des effets juridiques ne doit pas nécessairement être la partie requérante. En effet, revêt la qualité de tiers toute personne physique ou morale distincte de l’auteur de cet acte. Dès lors, afin d’établir si ledit acte produit de tels effets, il n’est pas besoin de vérifier si ces derniers sont de nature à affecter la situation juridique de la partie requérante, cette vérification n’étant pertinente que dans le cadre de l’examen du respect des conditions énoncées à l’article 263, quatrième alinéa, TFUE, selon lesquelles un recours en annulation contre un acte est ouvert à toute personne directement et individuellement concernée par celui‑ci, lorsque cette dernière disposition trouve à s’appliquer (voir, en ce sens, arrêt du 13 février 2025, Swissgrid/Commission, C‑121/23 P, EU:C:2025:83, point 46). Le caractère attaquable d’un acte doit donc être apprécié objectivement, en fonction de la substance de celui-ci, et non en fonction de la partie requérante.

69   Cela étant, il convient de rappeler que, en présence d’actes dont l’élaboration s’effectue en plusieurs étapes procédurales, ne constitue, en principe, un acte attaquable que la mesure qui fixe définitivement la position de l’institution, de l’organe ou de l’organisme de l’Union compétent, à l’exclusion des mesures intermédiaires dont l’objectif est de préparer cette mesure définitive et qui ne produisent pas d’effets juridiques autonomes à l’égard des tiers. Constituent, en particulier, de telles mesures intermédiaires celles exprimant une opinion provisoire de cette institution, de cet organe ou de cet organisme de l’Union (voir, en ce sens, arrêts du 11 novembre 1981, IBM/Commission, 60/81, EU:C:1981:264, point 10 ; du 22 septembre 2022, IMG/Commission, C‑619/20 P et C‑620/20 P, EU:C:2022:722, point 103, ainsi que du 18 juin 2024, Commission/CRU, C‑551/22 P, EU:C:2024:520, point 92).

70   Selon la jurisprudence, une mesure intermédiaire n’est, en particulier, pas susceptible de recours en annulation s’il est établi que l’illégalité attachée à celle-ci pourra être invoquée à l’appui d’un recours dirigé contre la décision finale dont elle constitue un acte d’élaboration. Dans ces conditions, le recours introduit contre la décision mettant fin à la procédure assurera une protection juridictionnelle suffisante (voir, en ce sens, arrêts du 11 novembre 1981, IBM/Commission, 60/81, EU:C:1981:264, point 12, ainsi que du 15 mars 2017, Stichting Woonlinie e.a./Commission, C‑414/15 P, EU:C:2017:215, point 46 ainsi que jurisprudence citée).

71   En l’espèce, s’agissant du contenu de l’acte concerné et des pouvoirs de l’organe en cause, il ressort du libellé même de l’article 65, paragraphe 1, sous a), et paragraphe 2, du RGPD et de l’article 68, paragraphe 1, du RGPD que la décision litigieuse est un acte qui émane d’un organe de l’Union et qui présente un caractère contraignant à l’égard de tiers. En effet, cet acte lie l’autorité de contrôle chef de file et toutes les autorités de contrôle concernées, qui en sont les destinataires et qui sont des tiers par rapport au Comité. Conformément à l’article 65, paragraphe 6, du RGPD, l’autorité de contrôle chef de file doit adopter sa décision finale sur la base de la décision du Comité. Cette décision finale doit aussi faire référence à la décision du Comité, qui doit y être jointe.

72   En outre, s’agissant du contexte de l’adoption de la décision litigieuse, il est constant que celle-ci a été élaborée dans le cadre d’un processus impliquant plusieurs étapes procédurales, au sens de la jurisprudence mentionnée au point 69 du présent arrêt, en ce qu’elle précède l’adoption d’un autre acte par l’autorité de contrôle irlandaise. Toutefois, cette décision fixe définitivement, au sens de cette jurisprudence, la position de l’organe de l’Union compétent, à savoir le Comité, et épuise toutes les questions que cet organe est appelé à trancher. Il convient de constater, en effet, qu’une telle décision, prise sur le fondement de l’article 65, paragraphe 1, sous a), du RGPD, porte sur toutes les questions qui font l’objet d’une objection pertinente et motivée de la part des autorités de contrôle concernées, au sens de l’article 60, paragraphe 4, du RGPD, notamment celle de savoir s’il y a eu violation du RGPD.

73   Il résulte de ce qui précède que, bien qu’elle ne constitue pas la dernière étape de la procédure de contrôle de la cohérence prévue aux articles 58, 60 et 65 du RGPD, la décision litigieuse ne saurait être qualifiée de mesure intermédiaire insusceptible de recours, au sens de la jurisprudence citée au point 69 du présent arrêt, contrairement à ce que le Tribunal a jugé au point 42 de l’ordonnance attaquée. Par conséquent, la jurisprudence rappelée au point 70 du présent arrêt est dépourvue de pertinence en l’espèce.

74   Dans ce contexte, dès lors que la décision du Comité produit des effets juridiques obligatoires à l’égard de tiers, est sans incidence la circonstance que la portée de la décision finale de l’autorité de contrôle nationale englobe des questions qui ne relèveraient pas de la saisine ou de la compétence du Comité.

75   Pour les mêmes raisons, la circonstance, relevée par le Tribunal au point 42 de l’ordonnance attaquée, que, contrairement à la décision finale de l’autorité de contrôle irlandaise, la décision litigieuse n’est pas opposable à des entités autres que ses destinataires est également dénuée de pertinence pour la qualification de cette décision en tant qu’acte attaquable, au titre de l’article 263, premier alinéa, TFUE. Une telle circonstance, qui a trait à la position juridique de la requérante à l’égard de la décision litigieuse, ne se rapporte ni à la substance de la décision litigieuse ni à ses effets juridiques obligatoires au regard de critères objectifs.

76   Il découle de l’ensemble de ces considérations que la décision litigieuse constitue un acte d’un organe de l’Union destiné à produire des effets juridiques à l’égard des tiers et exprimant la position définitive de cet organe sur les points devant être tranchés par celui-ci, ainsi que le Tribunal l’a, du reste, lui-même constaté aux points 36, 37 et 49 de l’ordonnance attaquée. Ainsi, cette décision constitue, à la lumière du libellé de l’article 263, premier alinéa, TFUE et de la jurisprudence citée aux points 66 à 69 du présent arrêt, un acte attaquable, sans qu’il y ait lieu d’apprécier, à ce stade, si ladite décision a eu pour conséquence de modifier de façon caractérisée la situation juridique de WhatsApp.

77   À ce titre, il y a lieu de constater que le Tribunal a commis une erreur de droit, d’une part, au point 38 de l’ordonnance attaquée, en opérant une confusion entre les exigences résultant, respectivement, des premier et quatrième alinéas de l’article 263 TFUE et, d’autre part, au point 42 de l’ordonnance attaquée, en formulant un critère erroné, relatif à l’absence d’opposabilité directe de l’acte en cause à l’égard de WhatsApp, et en qualifiant la décision litigieuse de mesure intermédiaire dénuée d’effets juridiques autonomes.

78   Il convient donc d’accueillir la première branche du premier moyen du pourvoi.

 Sur la deuxième branche du premier moyen

–    Argumentation des parties

79   WhatsApp soutient que le Tribunal a commis une erreur de droit en jugeant qu’elle n’était pas directement concernée par la décision litigieuse et que son recours était, par conséquent, irrecevable.

80   D’une part, quant à la condition selon laquelle l’acte devrait produire directement des effets sur la situation juridique du requérant, le Tribunal aurait erronément conclu, au point 52 de l’ordonnance attaquée, que WhatsApp n’était pas directement concernée par la décision litigieuse, au motif que cette décision ne lui était pas opposable et ne constituait pas la dernière étape de la procédure prévue aux articles 58, 60 et 65 du RGPD.

81   D’autre part, s’agissant de la condition selon laquelle un acte ne doit laisser aucun pouvoir d’appréciation aux destinataires qui sont chargés de sa mise en œuvre, WhatsApp considère que le Tribunal a commis une erreur de droit en jugeant, aux points 53 à 60 de l’ordonnance attaquée, que la décision litigieuse avait laissé à l’autorité de contrôle irlandaise une marge d’appréciation quant au contenu de sa décision finale, tout en admettant que la décision litigieuse liait cette autorité de contrôle quant aux aspects sur lesquels elle portait.

82   S’agissant des points 54 à 56 de l’ordonnance attaquée, auxquels le Tribunal aurait considéré que le contenu de la décision litigieuse était partiel par rapport à la décision finale, WhatsApp soutient qu’il aurait fallu examiner l’absence de pouvoir d’appréciation en s’attachant à la substance même de la décision litigieuse, sans se référer au contenu additionnel de la décision finale. En effet, le Comité aurait seulement analysé certains aspects d’un cas d’espèce, à savoir les questions ayant fait l’objet d’objections pertinentes et motivées de la part des autorités de contrôle concernées. La décision litigieuse ne saurait donc porter sur l’ensemble de l’affaire et ne saurait englober des aspects qui ne relèveraient pas de la saisine ou de la compétence du Comité.

83   En outre, le Tribunal aurait commis une erreur de droit en jugeant, aux points 57 à 59 de l’ordonnance attaquée, que l’autorité de contrôle irlandaise avait exercé son pouvoir d’appréciation pour tirer des conclusions de la décision litigieuse. En premier lieu, quant à la qualification des données ayant fait l’objet d’une compression avec perte en tant que données à caractère personnel, WhatsApp soutient que cette qualification effectuée par le Comité engendre des obligations supplémentaires pour elle au titre du RGPD, et ce indépendamment du fait que l’autorité de contrôle chef de file a exercé un pouvoir d’appréciation au fond, allant au-delà d’une telle qualification, en vérifiant si WhatsApp avait agi en tant que responsable du traitement ou sous-traitant. En second lieu, quant à l’augmentation des amendes à infliger à WhatsApp, cette décision n’aurait pas laissé de marge d’appréciation à l’autorité de contrôle irlandaise, cette dernière étant tenue d’imposer une amende plus élevée que celle envisagée initialement. Le fait que cette autorité conserve un pouvoir d’appréciation quant à la détermination du montant précis de l’amende serait dénué de pertinence, dès lors que cette tâche relèverait de la compétence de ladite autorité.

84   Le Comité conteste cette argumentation et fait valoir que deux critères cumulatifs devraient être satisfaits pour qu’une personne physique ou morale, qui n’est pas destinataire d’un acte individuel, soit directement concernée par un acte de l’Union. D’une part, cet acte devrait avoir une incidence directe sur la situation juridique de cette personne et, d’autre part, il ne devrait laisser aucun pouvoir d’appréciation au destinataire chargé de sa mise en œuvre, cette dernière étant purement automatique, sans application d’autres règles intermédiaires.

85   S’agissant du premier critère, cette partie observe que l’effet contraignant d’un acte se doit d’être envisagé en fonction de son incidence sur la situation propre à la partie requérante. En l’espèce, la décision litigieuse ne serait pas opposable à WhatsApp d’une manière qui lui permettrait, sans autres étapes procédurales, de constituer une source d’obligations. Cette décision ne constituerait pas la dernière étape de la procédure visée aux articles 58, 60 et 65 du RGPD et n’aurait, notamment, pas déterminé le montant final de l’amende ni défini de nouvel ensemble de règles pour les activités de WhatsApp. Ainsi, seule la décision finale concernerait directement WhatsApp, l’autorité de contrôle irlandaise étant, en vertu de l’article 56, paragraphe 6, du RGPD, le seul interlocuteur de cette entreprise en sa qualité de responsable du traitement.

86   S’agissant du second critère, le Comité soutient que l’autorité de contrôle irlandaise aurait conservé un véritable pouvoir d’appréciation quant aux conclusions à établir dans sa décision finale, qui aurait une portée plus large que la décision litigieuse et qui comporterait des constatations sur lesquelles le Comité n’a pas été invité à se prononcer, la saisine de ce dernier étant limitée aux questions qui ont fait l’objet d’objections pertinentes et motivées. En tout état de cause, il existerait une interdépendance entre la décision litigieuse et la décision finale. Il ne serait pas possible de dissocier les parties de cette dernière décision qui correspondraient aux instructions du Comité, ce que viendrait corroborer le fait que ce dernier a laissé une certaine marge d’appréciation à l’autorité de contrôle irlandaise sur plusieurs aspects.

87   Dans de telles circonstances, une juridiction nationale serait mieux placée pour réexaminer cette décision finale, en posant, le cas échéant, des questions préjudicielles à la Cour au sujet des dispositions du RGPD appliquées tant d’office que sur la base des instructions du Comité.

88   Selon le Comité, l’autorité de contrôle irlandaise aurait également conservé une certaine marge d’appréciation sur les questions abordées dans la décision litigieuse, en particulier celles relatives, d’une part, aux conséquences juridiques à tirer de la qualification des données soumises à la compression avec perte, en tant que données à caractère personnel, et, d’autre part, à la fixation du montant des amendes à infliger à WhatsApp. S’agissant de ce premier aspect, cette autorité aurait conservé un pouvoir discrétionnaire et aurait procédé à un examen autonome, notamment quant au respect de l’article 14 du RGPD. Il serait erroné, à cet égard, de soutenir que le Comité aurait procédé à une évaluation « complète », la compétence de ce dernier étant limitée au contenu des objections pertinentes et motivées, et ne s’étendant pas à l’ensemble de la procédure d’infraction. Quant au second aspect, à savoir la fixation des amendes, si la décision litigieuse comporte des instructions générales relatives aux amendes, celle-ci ne traiterait pas de la mise en œuvre de ces instructions ni du calcul de ces amendes.

89   La République fédérale d’Allemagne estime que, dès lors que l’autorité chef de file était sa seule interlocutrice, WhatsApp ne peut être considérée comme étant directement concernée par la décision litigieuse. Une telle décision n’aurait pas vocation à être mise en œuvre de manière autonome, mais devrait toujours être suivie d’une décision finale de cette autorité. Le législateur de l’Union aurait, en effet, fait le choix délibéré d’un contrôle décentralisé du RGPD, sans opter pour la création d’une autorité européenne et centrale de protection des données.

–    Appréciation de la Cour

90   La deuxième branche du premier moyen du pourvoi porte sur le point de savoir si le Tribunal a commis une erreur de droit en considérant, aux points 50 à 60 de l’ordonnance attaquée, que la décision litigieuse ne concernait pas directement WhatsApp, au sens de l’article 263, quatrième alinéa, TFUE, et que le recours introduit par cette dernière était, par conséquent, irrecevable.

91   En vertu de cette disposition, toute personne physique ou morale peut former, dans les conditions prévues aux premier et deuxième alinéas de l’article 263 TFUE, un recours contre les actes dont elle est le destinataire ou qui la concernent directement et individuellement ainsi que contre les actes réglementaires qui la concernent directement et qui ne comportent pas de mesures d’exécution.

92   Ainsi, la recevabilité d’un recours introduit par une personne physique ou morale contre un acte dont elle n’est pas le destinataire, au titre de l’article 263, quatrième alinéa, TFUE, est subordonnée notamment à la condition que cet acte la concerne directement et individuellement (arrêt du 3 décembre 2019, Iccrea Banca, C‑414/18, EU:C:2019:1036, point 64 et jurisprudence citée).

93   En l’espèce, ainsi que le Tribunal l’a constaté au point 40 de l’ordonnance attaquée, il est établi que WhatsApp est individuellement concernée par la décision litigieuse, dès lors que celle-ci concerne certains aspects du projet de décision finale qui visent spécifiquement la situation de cette entreprise. Toutefois, aux points 52 et 53 de cette ordonnance, le Tribunal a estimé que WhatsApp n’était pas directement concernée par la décision litigieuse, au motif, d’une part, que celle-ci n’avait pas un caractère opposable à WhatsApp qui permettrait, sans étape supplémentaire dans la procédure, d’être source d’obligations pour elle, ou, le cas échéant, de droits pour d’autres particuliers, et, d’autre part, que, même si la décision litigieuse liait l’autorité de contrôle irlandaise quant aux aspects sur lesquels elle portait, elle lui aurait laissé une marge d’appréciation quant au contenu de la décision finale.

94   À cet égard, il y a lieu de rappeler que, selon une jurisprudence constante, la condition selon laquelle une personne physique ou morale doit être directement concernée par la décision faisant l’objet de son recours requiert que deux conditions soient cumulativement satisfaites, à savoir que la mesure contestée, d’une part, produise directement des effets sur la situation juridique de cette personne et, d’autre part, ne laisse aucun pouvoir d’appréciation aux destinataires chargés de sa mise en œuvre, celle-ci ayant un caractère purement automatique et découlant de la seule réglementation de l’Union, sans application d’autres règles intermédiaires (arrêt du 4 octobre 2024, Commission et Conseil/Front Polisario, C‑779/21 P et C‑799/21 P, EU:C:2024:835, point 87 ainsi que jurisprudence citée).

95   Avant d’examiner le respect de ces deux conditions en l’espèce, il y a lieu de préciser que l’absence d’opposabilité directe de l’acte attaqué à l’égard de la partie requérante de même que la circonstance que cet acte ne constitue pas la dernière étape d’une procédure composite ne font pas obstacle à ce que cette partie requérante puisse être directement concernée par ledit acte lorsque le destinataire du même acte ne dispose d’aucun pouvoir d’appréciation (voir, en ce sens, arrêts du 4 juin 1992, Infortec/Commission, C‑157/90, EU:C:1992:243, points 13 et 17 ; du 3 décembre 2019, Iccrea Banca, C‑414/18, EU:C:2019:1036, points 65 et 67, ainsi que du 12 juillet 2022, Nord Stream 2/Parlement et Conseil, C‑348/20 P, EU:C:2022:548, point 74).

96   Par conséquent, ainsi que M^me l’avocate générale l’a observé aux points 139 et 144 de ses conclusions, le Tribunal a commis une erreur de droit en considérant, au point 52 de l’ordonnance attaquée, que WhatsApp ne saurait être directement concernée par la décision litigieuse au motif que cette dernière n’aurait pas un caractère opposable à WhatsApp et ne constituerait pas l’ultime étape de la procédure prévue aux articles 58, 60 et 65 du RGPD.

97   S’agissant du respect de la première des conditions rappelées au point 94 du présent arrêt, il convient d’apprécier si l’acte attaqué est la source d’une modification caractérisée de la situation juridique de la personne physique ou morale en cause, en s’attachant à la substance de cet acte et en appréciant les effets de celui-ci au regard de critères objectifs, tels que le contenu dudit acte, en tenant compte, le cas échéant, du contexte de l’adoption de ce dernier ainsi que des pouvoirs de l’institution, de l’organe ou de l’organisme qui en est l’auteur (voir, en ce sens, arrêts du 11 novembre 1981, IBM/Commission, 60/81, EU:C:1981:264, point 9, et du 18 juin 2024, Commission/CRU, C‑551/22 P, EU:C:2024:520, point 65 ainsi que jurisprudence citée).

98   En l’espèce, ainsi qu’il est indiqué au point 30 du présent arrêt, le Comité a, dans la décision litigieuse, notamment décidé que WhatsApp avait méconnu des obligations d’information énoncées à l’article 13, paragraphe 1, sous d), du RGPD et commis une infraction à l’article 13, paragraphe 2, sous e), de celui-ci. Par conséquent, cette décision modifie la situation juridique de WhatsApp, celle-ci étant en particulier amenée, en raison de l’intervention du Comité, à modifier sa relation contractuelle avec les utilisateurs du service de messagerie fourni par WhatsApp. Il s’ensuit qu’il existe un lien direct entre ladite décision et ses effets sur la situation de WhatsApp, au sens de la jurisprudence citée aux points 94 et 95 du présent arrêt.

99   Contrairement à ce que soutient le Comité, la circonstance que l’autorité de contrôle irlandaise est, en vertu de l’article 56, paragraphe 6, du RGPD, le seul interlocuteur de WhatsApp, en tant que responsable du traitement, est sans incidence sur ce constat. En effet, cette disposition vise uniquement à organiser les relations entre un responsable du traitement ou sous-traitant, une autorité de contrôle chef de file et les autorités de contrôle concernées, de sorte qu’elle ne porte pas sur les voies de recours ouvertes à l’égard des décisions du Comité.

100 S’agissant du respect de la seconde des conditions rappelées au point 94 du présent arrêt, afin d’apprécier si un acte laisse à ses destinataires une marge d’appréciation en vue de sa mise en œuvre, il y a lieu d’examiner les effets juridiques produits par les dispositions de cet acte, qui sont visées par le recours, sur la situation de la personne invoquant le droit de recours au titre de l’article 263, quatrième alinéa, deuxième membre de phrase, TFUE (arrêt du 12 juillet 2022, Nord Stream 2/Parlement et Conseil, C‑348/20 P, EU:C:2022:548, point 98 et jurisprudence citée).

101 L’existence d’une telle marge d’appréciation devra notamment être écartée s’il est établi que les dispositions de l’acte qui sont visées par le recours ont eu pour conséquence directe de soumettre cette personne à des obligations dont le résultat ne pouvait être modifié par l’entité chargée de mettre subséquemment en œuvre cet acte (voir, en ce sens, arrêt du 12 juillet 2022, Nord Stream 2/Parlement et Conseil, C‑348/20 P, EU:C:2022:548, point 114).

102 En l’espèce, ainsi qu’il ressort des points 71 et 72 du présent arrêt, il y a lieu de rappeler que la décision litigieuse lie l’autorité de contrôle chef de file et les autorités de contrôle concernées. Celles-ci ne peuvent pas s’écarter de la position retenue par le Comité dans cette décision et rappelée au point 30 du présent arrêt. En effet, ladite décision tranche les questions de droit faisant l’objet de la saisine de celui-ci et lie inconditionnellement ces autorités, s’agissant en particulier du constat de violation de certaines dispositions du RGPD, de la qualification des données soumises à une compression avec perte en tant que données à caractère personnel ainsi que de l’obligation de rehausser le montant des amendes envisagées. Lesdites autorités n’ont pas la possibilité de modifier le résultat des appréciations portées, pour ce qui est de ces questions, par le Comité, au sens de la jurisprudence citée au point précédent du présent arrêt.

103 À cet égard, en vertu de l’article 70, paragraphe 1, sous a), du RGPD, le Comité a pour mission de veiller à l’application cohérente du RGPD, en surveillant et en garantissant, ainsi qu’il ressort du considérant 10 de celui-ci, une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement de leurs données à caractère personnel dans l’ensemble de l’Union, dans les cas prévus, notamment, à l’article 65 du RGPD, sans préjudice des missions des autorités de contrôle nationales.

104 Dans ce contexte, il importe peu que la portée de la décision finale s’étende à des questions ne relevant pas de la saisine du Comité, à savoir à des aspects qui n’ont pas fait l’objet d’objections pertinentes et motivées, au sens de l’article 65, paragraphe 1, sous a), du RGPD, ou à des questions ne relevant pas de la compétence de cet organe, telles que, notamment, la fixation du montant précis de l’amende à infliger au responsable du traitement ou à un sous-traitant, laquelle incombe à l’autorité de contrôle saisie en vertu de l’article 58, paragraphe 2, sous i), ainsi que de l’article 83 du RGPD.

105 En outre, s’il existe, certes, un lien d’interdépendance entre la décision litigieuse et la décision finale, il n’en demeure pas moins que celles-ci constituent des actes distincts et que la portée de la décision litigieuse est bien délimitée, ainsi qu’il ressort de l’énumération reprise au point 30 du présent arrêt. Dans ces conditions, ce lien d’interdépendance n’est pas de nature à faire obstacle au constat que WhatsApp est directement concernée par la décision litigieuse.

106 En particulier, si l’introduction simultanée d’un recours en annulation devant le juge de l’Union, sur le fondement de l’article 263 TFUE, à l’égard de la décision contraignante du Comité, et devant le juge national, au titre de l’article 78 du RGPD, à l’égard de la décision finale adoptée, sur la base de cette décision contraignante, par l’autorité de contrôle nationale, donne lieu, certes, à deux procédures parallèles, cette situation n’a pas pour conséquence que les effets de la décision du Comité devraient être considérés comme étant indirects, en l’espèce, par rapport à WhatsApp.

107 En effet, d’une part, selon la jurisprudence de la Cour, lorsque la solution du litige pendant devant la juridiction nationale dépend de la validité de la décision d’un organe de l’Union, il résulte de l’obligation de coopération loyale que la juridiction nationale devrait, afin d’éviter de prendre une décision allant à l’encontre de celle de cet organe, surseoir à statuer jusqu’à ce qu’une décision définitive sur le recours en annulation soit prononcée par les juridictions de l’Union, sauf si elle considère que, dans les circonstances de l’espèce, il est justifié de déférer une question préjudicielle à la Cour sur la validité de la décision dudit organe (voir, en ce sens, arrêts du 14 décembre 2000, Masterfoods et HB, C‑344/98, EU:C:2000:689, point 57, ainsi que du 25 juillet 2018, Georgsmarienhütte e.a., C‑135/16, EU:C:2018:582, point 24).

108 D’autre part, il y a également lieu d’indiquer que le principe de bonne administration de la justice peut justifier, en cas de saisine concomitante du Tribunal, dans le cadre d’un recours en annulation, et de la Cour, dans le cadre d’un renvoi préjudiciel, que la Cour fasse usage, si elle le considère approprié, de l’article 54, troisième alinéa, du statut de la Cour de justice de l’Union européenne afin de suspendre la procédure pendante devant elle au profit de celle introduite devant le Tribunal (arrêt du 25 juillet 2018, Georgsmarienhütte e.a., C‑135/16, EU:C:2018:582, point 25).

109 Par conséquent, les deux conditions visées au point 94 du présent arrêt étant satisfaites, WhatsApp est directement concernée par la décision litigieuse.

110 Eu égard aux considérations qui précèdent, il convient donc d’accueillir la deuxième branche du premier moyen du pourvoi et, par conséquent, d’annuler l’ordonnance attaquée.

 Sur la troisième branche du premier moyen

111 Par la troisième branche de son premier moyen, WhatsApp fait valoir qu’est entachée d’une erreur de droit la constatation du Tribunal, aux points 66 à 70 de l’ordonnance attaquée, selon laquelle l’irrecevabilité de son recours s’inscrit dans la logique du système des voies de recours juridictionnelles établi par les traités UE et FUE.

112 Eu égard à la conclusion retenue au point 110 du présent arrêt, il n’y a pas lieu de statuer sur la troisième branche du premier moyen.

 Sur le second moyen, tiré d’une erreur de droit dans l’interprétation et l’application de l’article 65 du RGPD et du principe d’application cohérente du droit de l’Union

113 En se référant à l’argumentation développée dans le cadre du premier moyen, WhatsApp soutient que le Tribunal a méconnu l’article 65, paragraphe 1, du RGPD et le principe d’application cohérente du droit de l’Union en jugeant, aux points 41 à 60 de l’ordonnance attaquée, que la décision litigieuse ne produisait pas d’effets juridiques autres que ses effets contraignants à l’égard des autorités de contrôle concernées.

114 WhatsApp se bornant à renvoyer à l’argumentation développée à l’appui de son premier moyen, et eu égard à la conclusion retenue au point 110 du présent arrêt, il n’y a pas lieu de statuer sur ce second moyen, dès lors que celui-ci n’est pas susceptible d’entraîner une annulation plus étendue de l’ordonnance attaquée.

 Sur le renvoi de l’affaire devant le Tribunal

115 Conformément à l’article 61, premier alinéa, du statut de la Cour de justice de l’Union européenne, en cas d’annulation de la décision du Tribunal, la Cour peut statuer elle-même définitivement sur le litige, lorsque celui-ci est en état d’être jugé.

116 Cette condition est satisfaite en l’espèce en tant que l’affaire concerne la seule recevabilité du recours introduit devant le Tribunal.

117 à cet égard, premièrement, ainsi qu’il ressort du point 76 du présent arrêt, la décision litigieuse constitue un acte attaquable aux fins de l’article 263, premier alinéa, TFUE. Deuxièmement, ainsi qu’il est constaté au point 109 du présent arrêt, WhatsApp est directement concernée par la décision litigieuse, au sens de l’article 263, quatrième alinéa, TFUE. Troisièmement, cette décision concerne individuellement WhatsApp, ainsi que le Tribunal l’a lui‑même constaté au point 40 de l’ordonnance attaquée.

118 Par conséquent, les conditions consacrées aux premier et quatrième alinéas de l’article 263 TFUE étant ainsi remplies, et en l’absence de tout autre motif d’irrecevabilité, le recours en annulation est déclaré recevable.

119 Cependant, le Tribunal n’ayant pas examiné le fond du recours introduit devant lui, lequel appelle une appréciation détaillée en fait et en droit, le litige n’est pas en état d’être jugé sur le fond.

120 Partant, il y a lieu de renvoyer l’affaire devant le Tribunal.

 Sur les dépens

121 L’affaire étant renvoyée devant le Tribunal, il convient de réserver les dépens afférents à la procédure de pourvoi.

Par ces motifs, la Cour (grande chambre) déclare et arrête :

1)   L’ordonnance du Tribunal de l’Union européenne du 7 décembre 2022, WhatsApp Ireland/Comité européen de la protection des données (T‑709/21, EU:T:2022:783), est annulée.

2)   L’affaire est renvoyée devant le Tribunal de l’Union européenne.

3)   Les dépens sont réservés.