ORDONANȚA TRIBUNALULUI (Camera a patra extinsă)
7 decembrie 2022(*)
„Acțiune în anulare – Protecția datelor cu caracter personal – Proiect de decizie al autorității de supraveghere principale – Soluționarea litigiilor între autoritățile de supraveghere de către Comitetul European pentru Protecția Datelor – Decizie obligatorie – Articolul 60 alineatul (4) și articolul 65 alineatul (1) litera (a) din Regulamentul (UE) 2016/679 – Act care nu este supus căilor de atac – Act pregătitor – Lipsa afectării directe”
În cauza T‑709/21,
WhatsApp Ireland Ltd, cu sediul în Dublin (Irlanda), reprezentată de H.‑G. Kamann, F. Louis și A. Vallery, avocați, P. Nolan, B. Johnston și C. Monaghan, solicitors, P. Sreenan și D. McGrath, SC, și C. Geoghegan și E. Egan McGrath, barristers,
reclamantă,
împotriva
Comitetului European pentru Protecția Datelor, reprezentat de I. Vereecken și G. Le Grand, în calitate de agenți, asistați de G. Ryelandt, E. de Lophem și P. Vernet, avocați,
pârât,
TRIBUNALUL (Camera a patra extinsă),
compus, la deliberări, din domnii S. Gervasoni, președinte, L. Madise (raportor) și P. Nihoul, doamna R. Frendo și domnul J. Martín y Pérez de Nanclares, judecători,
grefier: domnul E. Coulon,
având în vedere faza scrisă a procedurii, și anume:
– cererea introductivă depusă la grefa Tribunalului la 1 noiembrie 2021;
– memoriul în apărare depus la grefa Tribunalului la 1 februarie 2022;
– replica depusă la grefa Tribunalului la 9 mai 2022;
– duplica depusă la grefa Tribunalului la 18 iulie 2022;
– măsura de organizare a procedurii prin care Tribunalul a invitat părțile să nu neglijeze, în cadrul replicii și al duplicii, să ia poziție cu privire la ansamblul chestiunilor importante referitoare la competența Tribunalului și la admisibilitatea acțiunii,
dă prezenta
Ordonanță
1 Prin acțiunea întemeiată pe articolul 263 TFUE, reclamanta, WhatsApp Ireland Ltd (denumită în continuare „WhatsApp”), solicită anularea Deciziei obligatorii 1/2021 a Comitetului European pentru Protecția Datelor (denumit în continuare „CEPD”) din 28 iulie 2021 privind litigiul dintre autoritățile de supraveghere vizate ce rezultă din proiectul de decizie privind WhatsApp elaborat de Data Protection Commission (autoritatea de supraveghere în domeniul protecției datelor cu caracter personal ale persoanelor fizice, Irlanda, denumită în continuare „autoritatea irlandeză de supraveghere”) (denumită în continuare „decizia atacată”).
Situația de fapt anterioară și ulterioară deciziei atacate și procedura
2 În urma intrării în vigoare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1), autoritatea irlandeză de supraveghere a primit din partea unor utilizatori și a unor neutilizatori ai mesageriei „WhatsApp” plângeri privind prelucrarea datelor cu caracter personal de către WhatsApp. Pe de altă parte, autoritatea federală germană de supraveghere a solicitat asistența autorității irlandeze de supraveghere cu privire la respectarea de către WhatsApp a obligațiilor de transparență ce revin operatorilor de date cu caracter personal în ceea ce privește o eventuală partajare a unor astfel de date cu alte entități ale grupului Facebook (redenumit în luna septembrie 2021 Meta).
3 Autoritatea irlandeză de supraveghere a inițiat din oficiu în luna decembrie 2018 o investigație cu caracter general privind respectarea de către WhatsApp a obligațiilor de transparență și de informare față de particulari (spre deosebire de întreprinderi) prevăzute la articolele 12, 13 și 14 din Regulamentul 2016/679, fără a aduce atingere măsurilor pe care le‑ar putea lua cu privire la sesizările individuale care o vizau. Autoritatea irlandeză de supraveghere a acționat în această privință în calitate de „autoritate de supraveghere principală”, astfel cum se prevede la articolul 56 alineatul (1) din Regulamentul 2016/679, întrucât WhatsApp avea în Irlanda sediul principal în calitate de operator pentru operațiunile mesageriei „WhatsApp” în Europa, această prelucrare având caracter transfrontalier.
4 După ce faza de investigație a fost finalizată în luna septembrie 2019 prin prezentarea unui raport final de către investigator, persoana responsabilă de luarea deciziei din cadrul autorității irlandeze de supraveghere a prezentat în luna decembrie 2020, în urma unor faze procedurale intermediare în cursul cărora WhatsApp a transmis observații, tuturor celorlalte autorități de supraveghere vizate de cauză, și anume tuturor celorlalte autorități de supraveghere ale statelor membre, un proiect de decizie în vederea obținerii avizului lor în privința sa, în conformitate cu cele prevăzute la articolul 60 alineatul (3) din Regulamentul 2016/679.
5 În luna ianuarie 2021, opt dintre aceste autorități de supraveghere, autoritatea federală germană de supraveghere, autoritatea de supraveghere din Baden‑Würtemberg, autoritățile maghiară, neerlandeză, poloneză, franceză, italiană și portugheză de supraveghere au exprimat obiecții cu privire la anumite aspecte ale acestui proiect de decizie. În plus, diferite autorități de supraveghere au făcut doar comentarii. Autoritatea irlandeză de supraveghere a răspuns în mod grupat celorlalte autorități de supraveghere interesate, propunând soluții de compromis. Deși, în urma acestui răspuns, una dintre autoritățile menționate și‑a retras una dintre obiecții, autoritatea irlandeză de supraveghere a constatat că între autoritățile de supraveghere vizate nu s‑a stabilit un consens cu privire la propunerile sale referitoare la celelalte aspecte care au făcut obiectul obiecțiilor și a decis să respingă toate aceste obiecții pentru a sesiza CEPD pentru soluționarea litigiului dintre autoritățile de supraveghere vizate cu privire la aspectele respective, în conformitate cu dispozițiile articolului 60 alineatul (4) și ale articolului 65 alineatul (1) litera (a) din Regulamentul 2016/679.
6 În luna mai 2021, autoritatea irlandeză de supraveghere a primit în scris observațiile WhatsApp cu privire la elementele dezbătute între autoritățile de supraveghere vizate, după ce i‑au transmis toate înscrisurile schimbate în această privință, și a transmis ea însăși CEPD observațiile menționate pentru a lua cunoștință de ele în cadrul procedurii de soluționare a litigiilor, care a fost inițiată de aceasta în luna iunie 2021.
7 CEPD, care, potrivit articolului 68 alineatul (3) din Regulamentul 2016/679, este alcătuit „din șeful unei autorități de supraveghere din fiecare stat membru și din Autoritatea Europeană pentru Protecția Datelor sau reprezentanții respectivi ai acestora”, a adoptat la 28 iulie 2021 decizia atacată cu o majoritate de două treimi, astfel cum se prevede la articolul 65 alineatul (2) din Regulamentul 2016/679. Decizia atacată este o decizie adresată autorității de supraveghere principale și tuturor autorităților de supraveghere vizate, obligatorie în privința acestora, așa cum prevede aceeași dispoziție, și privește toate chestiunile care au făcut obiectul unor obiecții relevante și motivate, astfel cum prevede articolul 65 alineatul (1) litera (a) din Regulamentul 2016/679. În această privință, în decizia atacată, CEPD a examinat mai întâi dacă fiecare obiecție exprimată de o autoritate de supraveghere vizată era relevantă și motivată. Acesta a luat poziție cu privire la o obiecție numai în cazul unui răspuns afirmativ la această chestiune prealabilă.
8 După ce autoritatea de supraveghere irlandeză a primit decizia atacată și a primit observații din partea WhatsApp cu privire la sancțiunile pecuniare pe care intenționa în final să i le aplice în lumina deciziei atacate, persoana responsabilă de luarea deciziei din cadrul acestei autorități a adoptat, la 20 august 2021, în conformitate cu articolul 65 alineatul (6) din Regulamentul 2016/679, o decizie finală, adresată WhatsApp (denumită în continuare „decizia finală”). În decizia finală s‑a apreciat că WhatsApp a încălcat principiul și obligațiile de transparență prevăzute la articolul 5 alineatul (1) litera (a), la articolul 12 alineatul (1), la articolul 13 alineatul (1) literele (c), (d), (e) și (f), la articolul 13 alineatul (2) literele (a), (c) și (e) și la articolul 14 din Regulamentul 2016/679. În schimb, în conținutul acesteia s‑a indicat că WhatsApp s‑a conformat obligațiilor prevăzute la articolul 13 alineatul (1) literele (a) și (b) și la articolul 13 alineatul (2) literele (b) și (d) din Regulamentul 2016/679. Cu titlu de măsuri corective adoptate în temeiul articolului 58 alineatul (2) literele (b), (d) și (i) din Regulamentul 2016/679, în privința WhatsApp în decizia finală a fost emis un avertisment, au fost puse în aplicare o serie de acțiuni, enumerate într‑o anexă, prin care se urmărește asigurarea în termen de trei luni a conformității cu dispozițiile Regulamentului 2016/679 care au fost încălcate și de asemenea au fost aplicate patru amenzi administrative referitoare la încălcările constatate ale articolului 5 alineatul (1) litera (a) și ale articolelor 12, 13 și 14 din Regulamentul 2016/679, în cuantum cumulat de 225 de milioane de euro.
9 În decizia finală, persoana responsabilă de luarea deciziei din cadrul autorității irlandeze de supraveghere a identificat aspectele pentru care decizia atacată îi impunea să revadă aprecierea expusă în proiectul de decizie evocat la punctul 4 de mai sus. Aceasta a ales, cu privire la aspectele respective, să reproducă ca atare, în casete evidențiate pe fond gri, motivele reținute de CEPD în decizia atacată și să stabilească doar de fiecare dată consecințele într‑un punct concluziv. Aceasta a precizat că, în decizia finală, pe de o parte, nu se referea la obiecțiile pe care CEPD le declarase nerelevante sau nemotivate și a căror temeinicie nu o apreciase în consecință și nici la obiecțiile despre care CEPD considerase că nu impuneau o modificare a aprecierii care figurează în proiectul de decizie și, pe de altă parte, nu lua poziție cu privire la aceste obiecții.
10 În conformitate cu articolul 65 alineatul (6) din Regulamentul 2016/679, la decizia finală a autorității irlandeze de supraveghere a fost anexată decizia atacată.
11 În această privință, rezultă că în decizia atacată CEPD a luat poziție în mod succesiv numai cu privire la următoarele aspecte, care au făcut, în opinia sa, obiectul unor obiecții relevante și motivate:
– cu privire la existența unei încălcări de către WhatsApp a obligațiilor de informare prevăzute la articolul 13 alineatul (1) litera (d) din Regulamentul nr. 2016/679 referitor la anumite informații care trebuie furnizate persoanelor vizate atunci când datele personale au fost colectate de la acestea. O asemenea încălcare nu fusese identificată de autoritatea irlandeză de supraveghere în proiectul său de decizie. CEPD a apreciat, dimpotrivă, că această dispoziție fusese încălcată de WhatsApp;
– cu privire la calificarea drept date cu caracter personal a elementelor ce rezultă dintr‑o procedură numită „Lossy Hashing Procedure”, aplicată datelor privind „contactele” neutilizatorilor de WhatsApp, ce figurează în agendele de adrese ale telefoanelor utilizatorilor de WhatsApp. Autoritatea irlandeză de supraveghere nu calificase elementele respective ca atare în proiectul său de decizie. Dimpotrivă, CEPD a apreciat că acestea constituiau în continuare date cu caracter personal. Potrivit deciziei atacate, acest aspect avea un posibil impact asupra eventualei constatări a unei încălcări de către WhatsApp a articolului 5 alineatul (1) litera (c) și a articolului 6 alineatul (1) din Regulamentul 2016/679 și un impact asupra amplorii încălcării de către WhatsApp a articolului 14 din Regulamentul 2016/679, precum și asupra nivelului sancțiunii pecuniare aplicate în acest scop;
– cu privire la existența unei încălcări de către WhatsApp a principiului transparenței prevăzut la articolul 5 alineatul (1) litera (a) din Regulamentul 2016/679, pe care autoritatea irlandeză de supraveghere nu o identificase în proiectul său de decizie. CEPD a apreciat, dimpotrivă, că acest principiu fusese încălcat de WhatsApp;
– cu privire la constatarea unei încălcări de către WhatsApp a articolului 13 alineatul (2) litera (e) din Regulamentul 2016/679 privind anumite informații care trebuie furnizate persoanelor vizate atunci când au fost colectate de la acestea date cu caracter personal, colectare pe care autoritatea irlandeză de supraveghere nu a considerat că este în măsură să o efectueze, întrucât organul de investigare nu luase poziție cu privire la această chestiune în cursul investigației, și în privința căreia a apreciat doar că poate emite o recomandare. Dimpotrivă, CEPD a apreciat că investigația acoperea toate dispozițiile articolului 13 din Regulamentul 2016/679 și trebuia constatată o încălcare a dispoziției citate anterior;
– cu privire la existența unei încălcări de către WhatsApp a articolului 6 alineatul (1) din Regulamentul 2016/679 referitor la condițiile de legalitate a unei prelucrări de date cu caracter personal, cu privire la care autoritatea irlandeză de supraveghere nu se pronunțase. CEPD a apreciat că, pentru motive procedurale, nu era astfel posibil să se pronunțe și să constate o asemenea încălcare;
– cu privire la extinderea motivelor încălcării de către WhatsApp a obligațiilor de informare prevăzute la articolul 14 din Regulamentul 2016/679, referitor la informațiile care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, ca urmare a analizei referitoare la a doua liniuță de mai sus. CEPD a confirmat impactul pe care trebuia să îl aibă această extindere asupra măsurilor corective comportamentale și a sancțiunii impuse WhatsApp;
– cu privire la existența unei încălcări de către WhatsApp a principiului prevăzut la articolul 5 alineatul (1) litera (c) din Regulamentul 2016/679, de a colecta doar datele adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate, în privința căreia autoritatea irlandeză de supraveghere nu se pronunțase. CEPD a apreciat că o asemenea încălcare nu era demonstrată pe baza dosarului, ținând seama în special de sfera de investigare reținută pentru procedură în privința WhatsApp;
– cu privire la termenul, stabilit la șase luni de autoritatea irlandeză de supraveghere, în care, prin intermediul unor măsuri corective, WhatsApp trebuia să se conformeze cerințelor pe care le încălcase din Regulamentul 2016/679. CEPD a redus acest termen la trei luni;
– în cadrul măsurilor corective, cu privire la modalitățile de informare a neutilizatorilor de WhatsApp referitoare la prelucrarea datelor personale ale acestora de către WhatsApp, CEPD confirmând aprecierea formulată de autoritatea irlandeză de supraveghere în această privință în proiectul său de decizie;
– în cadrul măsurilor corective, cu privire la menționarea motivelor suplimentare ale încălcării de către WhatsApp o obligațiilor prevăzute la articolul 14 din Regulamentul 2016/679 (a se vedea a doua liniuță de mai sus), CEPD arătând că această mențiune era necesară pentru a garanta că WhatsApp ia măsurile corective adecvate în această privință;
– având în vedere articolul 83 din Regulamentul 2016/679, referitor la „condiții generale pentru impunerea amenzilor administrative”, cu privire la criteriile legate de cuantumul amenzilor care trebuie aplicate WhatsApp. CEPD a apreciat că autoritatea irlandeză de supraveghere interpretase în mod greșit criteriul legat de cifra de afaceri anuală mondială a întreprinderii în cauză, că aceasta interpretase în mod corect noțiunea de „exercițiu financiar anterior”, că aceasta interpretase în mod greșit norma potrivit căreia, dacă mai multe dispoziții din Regulamentul 2016/679 sunt încălcate în cadrul aceleiași operațiuni de prelucrare sau al unor operațiuni de prelucrare conexe, cuantumul total al amenzii administrative nu poate depăși cuantumul stabilit pentru cea mai gravă încălcare, că aceasta interpretase în mod corect anumite criterii de stabilire a amenzii menționate la articolul 83 alineatele (1) și (2) din Regulamentul 2016/679 (caracterul intenționat sau din neglijență al încălcărilor, gravitatea acestora), dar interpretase în mod greșit alte criterii dintre acestea (luarea în considerare a cifrei de afaceri pentru cuantificarea sancțiunii, independent de calculul plafonului acesteia și, mai global, necesitatea ca sancțiunea să fie efectivă, proporțională și disuasivă);
– cu privire la nivelul amenzilor, CEPD apreciind că, având în vedere erorile făcute de autoritatea irlandeză de supraveghere în interpretarea anumitor criterii privind cuantumul amenzii (a se vedea a unsprezecea liniuță de mai sus) și încălcările suplimentare de către WhatsApp care trebuie constatate (a se vedea prima, a treia, a patra și a șasea liniuță de mai sus), cuantumul amenzilor avute în vedere de autoritatea irlandeză de supraveghere la un nivel total cuprins între 30 și 50 de milioane de euro trebuia majorat.
12 În paralel, WhatsApp a atacat decizia finală în fața unei instanțe irlandeze și a solicitat Tribunalului anularea deciziei atacate.
13 În cadrul prezentei proceduri, Computer & Communication Industry Association a formulat o cerere de intervenție în susținerea reclamantei, în timp ce Republica Finlanda, Comisia Europeană și Autoritatea Europeană pentru Protecția Datelor au formulat o cerere de intervenție în susținerea CEPD. Din perspectiva intervențiilor lor, părțile principale au solicitat ca elemente din dosar să nu fie comunicate anumitor intervenienți, din cauza caracterului lor confidențial. În acest stadiu, nu s‑a statuat cu privire la cererile respective.
14 Măsura de organizare a procedurii adoptată în urma depunerii memoriului în apărare, prin care părțile principale au fost invitate să nu neglijeze, în cadrul replicii și al duplicii, să ia poziție cu privire la toate chestiunile importante referitoare la competența Tribunalului și admisibilitatea acțiunii, a menționat cu privire la acest aspect calificarea drept act al unui organ al Uniunii Europene a deciziei atacate, calificarea drept act atacabil a deciziei atacate, calitatea procesuală activă a reclamantei și interesul său de a exercita acțiunea.
Concluziile părților
15 WhatsApp solicită anularea în tot a deciziei atacate sau, cu titlu subsidiar, a părților sale relevante, precum și obligarea CEPD la plata cheltuielilor de judecată.
16 CEPD solicită respingerea acțiunii ca inadmisibilă și, cu titlu subsidiar, respingerea acesteia ca nefondată, iar cu titlu încă mai subsidiar, limitarea anulării deciziei atacate la părțile sale pertinente. CEPD solicită de asemenea obligarea reclamantei la plata cheltuielilor de judecată.
În drept
17 În temeiul articolului 129 din Regulamentul de procedură al Tribunalului, la propunerea judecătorului raportor, Tribunalul poate oricând, din oficiu, după ascultarea părților principale, să decidă să se pronunțe prin ordonanță motivată asupra cauzelor de inadmisibilitate pentru motive de ordine publică.
18 În prezenta cauză, Tribunalul consideră că este suficient de lămurit de înscrisurile din dosar și decide, în temeiul acestui articol, să se pronunțe asupra admisibilității acțiunii fără continuarea procedurii.
19 Astfel, verificarea competenței Tribunalului și cea a calității procesuale active a reclamantului sunt chestiuni de ordine publică, precum verificarea altor elemente legate de admisibilitatea unei acțiuni, și în speță părțile principale au avut posibilitatea de a‑și dezvolta observațiile în această privință în urma măsurii de organizare a procedurii evocate la punctul 14 de mai sus, după ce, în memoriul în apărare, însuși CEPD a invocat, de altfel, inadmisibilitatea acțiunii.
20 În speță, trebuie amintit, cu titlu introductiv, cadrul juridic instituțional în care se înscrie decizia atacată.
Cadrul juridic instituțional
21 Capitolul VI din Regulamentul 2016/679 este intitulat „Autorități de supraveghere independente”. În cadrul acestuia, articolul 51 prevede că fiecare stat membru „se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament”, că fiecare dintre aceste autorități „contribuie la aplicarea coerentă a prezentului regulament în întreaga Uniune” și că, în acest scop, „autoritățile de supraveghere cooperează atât între ele, cât și cu Comisia, în conformitate cu capitolul VII”.
22 Articolul 55 prevede că fiecare autoritate de supraveghere are competența să îndeplinească sarcinile și să exercite competențele care îi sunt conferite în conformitate cu Regulamentul 2016/679 pe teritoriul statului membru de care aparține, iar articolul 56 arată că, fără a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a sediului unic al operatorului sau al persoanei împuternicite de operator este competentă să acționeze în calitate de autoritate de supraveghere principală pentru prelucrarea transfrontalieră efectuată de respectivul operator sau respectiva persoană împuternicită în cauză în conformitate cu procedura prevăzută la articolul 60. După cum s‑a arătat la punctul 3 de mai sus, în prezenta cauză, autoritatea irlandeză de supraveghere a acționat împotriva WhatsApp în calitate de autoritate principală.
23 Articolul 58 alineatul (2) din Regulamentul 2016/679 prevede că fiecare autoritate de supraveghere are competențe corective în privința operatorului și persoanei împuternicite de operator și printre altele la literele (b), (d) și (i), competențe de a emite avertismente adresate acestora în cazul în care operațiunile de prelucrare au încălcat dispozițiile Regulamentului 2016/679, de a le da dispoziții să asigure conformitatea operațiunilor de prelucrare cu dispozițiile Regulamentului 2016/679, specificând, după caz, modalitatea și termenul‑limită pentru aceasta, și de a le impune amenzi administrative.
24 Capitolul VII din Regulamentul 2016/679, care urmează dispozițiile citate anterior la punctele 21-23 de mai sus, este intitulat „Cooperare și coerență”.
25 În secțiunea „Cooperare” din acest capitol, articolul 60, el însuși intitulat „Cooperarea dintre autoritatea de supraveghere principală și celelalte autorități de supraveghere vizate”, prevede printre altele:
„(1) Autoritatea de supraveghere principală cooperează cu celelalte autorități de supraveghere vizate, în conformitate cu prezentul articol, în încercarea de a ajunge la un consens. Autoritatea de supraveghere principală și autoritățile de supraveghere vizate își comunică reciproc toate informațiile relevante.
[…]
(3) Autoritatea de supraveghere principală comunică fără întârziere informațiile relevante referitoare la această chestiune celorlalte autorități de supraveghere vizate. Autoritatea de supraveghere principală transmite fără întârziere un proiect de decizie celorlalte autorități de supraveghere vizate, pentru a obține avizul lor, și ține seama în mod corespunzător de opiniile acestora.
(4) În cazul în care oricare dintre celelalte autorități de supraveghere vizate exprimă, în termen de patru săptămâni după ce a fost consultată în conformitate cu alineatul (3) din prezentul articol, o obiecție relevantă și motivată la proiectul de decizie, autoritatea de supraveghere principală, în cazul în care nu dă curs obiecției relevante și motivate sau consideră că obiecția nu este relevantă sau motivată, sesizează mecanismul pentru asigurarea coerenței menționat la articolul 63.
(5) În cazul în care intenționează să dea curs obiecției relevante și motivate formulate, autoritatea de supraveghere principală transmite celorlalte autorități de supraveghere vizate un proiect revizuit de decizie pentru a obține avizul acestora. Acest proiect revizuit de decizie face obiectul procedurii menționate la alineatul (4) pe parcursul unei perioade de două săptămâni.
(6) În cazul în care niciuna dintre celelalte autorități de supraveghere vizate nu a formulat obiecții la proiectul de decizie transmis de autoritatea de supraveghere principală în termenul menționat la alineatele (4) și (5), se consideră că autoritatea de supraveghere principală și autoritățile de supraveghere vizate sunt de acord cu proiectul de decizie respectiv, care devine obligatoriu pentru acestea.
(7) Autoritatea de supraveghere principală adoptă decizia și o notifică sediului principal sau sediului unic al operatorului sau al persoanei împuternicite de operator, după caz, și informează celelalte autorități de supraveghere vizate și comitetul cu privire la decizia în cauză, incluzând un rezumat al elementelor și motivelor relevante. Autoritatea de supraveghere la care a fost depusă plângerea informează reclamantul cu privire la decizie.
[…]
(10) În urma notificării deciziei autorității de supraveghere principale […], operatorul sau persoana împuternicită de operator ia măsurile necesare pentru a se asigura că activitățile de prelucrare sunt în conformitate cu decizia în toate sediile sale din Uniune. Operatorul sau persoana împuternicită de operator notifică măsurile luate în vederea respectării deciziei autorității de supraveghere principale, care informează celelalte autorități de supraveghere vizate.”
26 În secțiunea „Asigurarea coerenței” din același capitol VII din Regulamentul 2016/679, articolul 63, intitulat „Mecanismul pentru asigurarea coerenței”, prevede:
„Pentru a contribui la aplicarea coerentă a prezentului regulament în întreaga Uniune, autoritățile de supraveghere cooperează între ele și, după caz, cu Comisia prin mecanismul pentru asigurarea coerenței, astfel cum se prevede în prezenta secțiune.”
27 CEPD intervine în mecanismul respectiv. Statutul CEPD este stabilit în a treia și ultima secțiune din capitolul VII din Regulamentul 2016/679, intitulată „Comitetul european pentru protecția datelor”.
28 În această secțiune, articolul 68 prevede:
„(1) Comitetul european pentru protecția datelor («comitetul») este instituit ca organ al Uniunii și are personalitate juridică.
[…]
(3) Comitetul este alcătuit din șeful unei autorități de supraveghere din fiecare stat membru și din Autoritatea Europeană pentru Protecția Datelor sau reprezentanții respectivi ai acestora.
[…]”
29 În aceeași secțiune, articolul 70, intitulat „Sarcinile comitetului”, prevede:
„(1) Comitetul asigură aplicarea coerentă a prezentului regulament. În acest scop, din proprie inițiativă sau, după caz, la solicitarea Comisiei, comitetul are, în special, următoarele sarcini:
(a) să monitorizeze și să asigure aplicarea corectă a prezentului regulament, în cazurile prevăzute la articolele 64 și 65, fără a aduce atingere sarcinilor autorităților naționale de supraveghere;
[…]”
30 Pe de altă parte, același articol 70 enumeră în detaliu celelalte sarcini ale CEPD, care sunt în esență sarcini de consiliere pe care trebuie să le exercite prin intermediul avizelor, orientărilor, recomandărilor și „bunelor practici”.
31 În secțiunea „Asigurarea coerenței”, evocată la punctul 26 de mai sus, după articolul 64, care enumeră situațiile în care CEPD emite un aviz, articolul 65, intitulat „Soluționarea litigiilor de către comitet”, prevede printre altele:
„(1) Pentru a asigura aplicarea corectă și coerentă a prezentului regulament în cazuri individuale, comitetul adoptă o decizie obligatorie în următoarele cazuri:
(a) atunci când, în unul dintre cazurile menționate la articolul 60 alineatul (4), o autoritate de supraveghere vizată a formulat o obiecție relevantă și motivată la un proiect de decizie a autorității de supraveghere principale și autoritatea de supraveghere principală nu a dat curs obiecției sau a respins o astfel de obiecție ca nefiind relevantă sau motivată. Decizia obligatorie se referă la toate chestiunile vizate de obiecția relevantă și motivată, în special la chestiunea dacă prezentul regulament a fost încălcat;
[…]
(2) Decizia menționată la alineatul (1) se adoptă […] cu o majoritate de două treimi a membrilor comitetului. […] Decizia menționată la alineatul (1) se motivează și se adresează autorității de supraveghere principale și tuturor autorităților de supraveghere vizate, fiind obligatorie pentru acestea.
[…]
(5) Președintele comitetului notifică, fără întârzieri nejustificate, decizia menționată la alineatul (1) autorităților de supraveghere vizate. Comitetul informează Comisia cu privire la acest lucru. Decizia se publică pe site‑ul comitetului, fără întârziere, după notificarea de către autoritatea de supraveghere a deciziei finale menționate la alineatul (6).
(6) Autoritatea de supraveghere principală sau, dacă este cazul, autoritatea de supraveghere la care s‑a depus plângerea își adoptă decizia finală pe baza deciziei menționate la alineatul (1) din prezentul articol, fără întârziere nejustificată și în termen de cel mult o lună de la notificarea de către comitet a deciziei sale. […] Decizia finală se referă la decizia menționată la alineatul (1) din prezentul articol și precizează faptul că decizia menționată la respectivul alineat va fi publicată pe site‑ul al comitetului, în conformitate cu alineatul (5). La decizia finală se anexează decizia menționată la alineatul (1) din prezentul articol.”
32 Capitolul VIII din Regulamentul 2016/679, intitulat „Căi de atac, răspundere și sancțiuni”, abordează „dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere” la articolul 78 și „dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator” la articolul 79. Acesta nu cuprinde nicio dispoziție cu privire la eventuale căi de atac împotriva deciziilor obligatorii ale CEPD adoptate în temeiul articolului 65 alineatul (1) citat anterior. Articolul 78 alineatul (4) prevede însă că, „[î]n cazul în care acțiunile sunt introduse împotriva unei decizii a unei autorități de supraveghere care a fost precedată de […] o decizie a comitetului în cadrul mecanismului pentru asigurarea coerenței, autoritatea de supraveghere transmite curții […] decizia respectivă.”
33 În motivarea Regulamentului 2016/679, considerentul (143) enunță:
„Orice persoană fizică sau juridică are dreptul de a introduce o acțiune în anulare împotriva deciziilor comitetului în fața Curții de Justiție, în conformitate cu condițiile prevăzute la articolul 263 […] TFUE. În calitate de destinatare ale acestor decizii, autoritățile de supraveghere vizate care doresc să le conteste trebuie să introducă o acțiune împotriva deciziilor respective în termen de două luni de la data la care le‑au fost notificate, în conformitate cu articolul 263 […] TFUE. În cazul în care deciziile comitetului vizează în mod direct și individual un operator, o persoană împuternicită de operator sau reclamantul, aceștia din urmă pot introduce o acțiune în anularea respectivelor decizii în termen de două luni de la publicarea acestora pe site‑ul comitetului, în conformitate cu articolul 263 […] TFUE. Fără a aduce atingere acestui drept în temeiul articolului 263 […] TFUE, orice persoană fizică sau juridică ar trebui să aibă dreptul la o cale de atac judiciară eficientă în fața instanței naționale competente împotriva unei decizii a unei autorități de supraveghere care produce efecte juridice privind respectiva persoană. O astfel de decizie se referă în special la exercitarea competențelor de investigare, corective și de autorizare de către autoritatea de supraveghere sau la refuzul sau respingerea plângerilor. Cu toate acestea, dreptul la o cale de atac judiciară eficientă nu include măsuri ale autorităților de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consiliere furnizată de aceasta. Acțiunile împotriva unei autorități de supraveghere ar trebui să fie aduse în fața instanțelor statului membru în care este stabilită autoritatea de supraveghere și ar trebui să se desfășoare în conformitate cu dreptul procesual al statului membru respectiv. Respectivele instanțe ar trebui să își exercite competența judiciară deplină, care ar trebui să includă competența de a examina toate aspectele de fapt sau de drept care au relevanță pentru litigiul cu care acestea sunt sesizate.
În cazul în care o plângere a fost respinsă sau refuzată de o autoritate de supraveghere, reclamantul poate introduce o acțiune la instanțele din același stat membru. În contextul căilor de atac judiciare privind aplicarea prezentului regulament, instanțele naționale care consideră necesară o decizie privind chestiunea respectivă pentru a le permite să ia o hotărâre pot sau, în cazul prevăzut la articolul 267 […] TFUE, trebuie să solicite Curții de Justiție să pronunțe o decizie preliminară privind interpretarea dreptului Uniunii, inclusiv a prezentului regulament. În plus, în cazul în care o decizie a unei autorități de supraveghere care pune în aplicare o decizie a comitetului este contestată în fața unei instanțe naționale și este în discuție validitatea deciziei comitetului, respectiva instanță națională nu are competența de a declara nulă decizia comitetului, ci trebuie să aducă chestiunea validității în fața Curții de Justiție, în conformitate cu articolul 267 […] TFUE, astfel cum a fost interpretat de Curtea de Justiție, ori de câte ori instanța națională consideră decizia nulă. Cu toate acestea, o instanță națională nu poate să transmită o chestiune cu privire la validitatea deciziei comitetului la cererea unei persoane fizice sau juridice care a avut posibilitatea de a introduce o acțiune în anulare împotriva respectivei decizii, în special dacă aceasta era vizată în mod direct și individual de decizia în cauză, dar nu a făcut acest lucru în termenul prevăzut la articolul 263 […] TFUE.”
Cu privire la admisibilitatea acțiunii
34 Articolul 263 TFUE, ale cărui prim, al doilea, al patrulea și al cincilea paragraf sunt reproduse în continuare, prevede:
„Curtea de Justiție a Uniunii Europene controlează legalitatea actelor legislative, a actelor Consiliului, ale Comisiei și ale Băncii Centrale Europene, altele decât recomandările și avizele, și a actelor Parlamentului European și ale Consiliului European menite să producă efecte juridice față de terți. Aceasta controlează, de asemenea, legalitatea actelor organelor, oficiilor sau agențiilor Uniunii destinate să producă efecte juridice față de terți.
În acest scop, Curtea are competența să se pronunțe cu privire la acțiunile formulate de un stat membru, de Parlamentul European, de Consiliu sau de Comisie, pentru motive de necompetență, de încălcare a unor norme fundamentale de procedură, de încălcare a tratatelor sau a oricărei norme de drept privind aplicarea acestuia ori de abuz de putere.
[…]
Orice persoană fizică sau juridică poate formula, în condițiile prevăzute la primul și al doilea paragraf, o acțiune împotriva actelor al căror destinatar este sau care o privesc direct și individual, precum și împotriva actelor normative care o privesc direct și care nu presupun măsuri de executare.
Actele de constituire a organelor, oficiilor și agențiilor Uniunii pot să prevadă condiții și proceduri speciale privind acțiunile formulate de persoanele fizice sau juridice împotriva actelor acestor organe, oficii sau agenții care sunt destinate să producă efecte juridice față de ele.
[…]”
35 Din articolul 263 TFUE primul paragraf reiese că instanța Uniunii este competentă să controleze legalitatea unui act al unui organ al Uniunii destinat să producă efecte juridice față de terți. Reiese, în plus, din același articol al patrulea paragraf că, pentru a putea formula o acțiune admisibilă împotriva unui act individual al unui organ al Uniunii al cărui destinatar nu este, o persoană juridică trebuie, în principiu, să fie vizată direct și individual de acesta. În prezenta cauză, după cum s‑a arătat la punctul 32 de mai sus, nicio dispoziție care să corespundă prevederii articolului 263 TFUE al cincilea paragraf nu figurează în Regulamentul 2016/679, chiar dacă în speță WhatsApp este efectiv supusă condițiilor prevăzute la al patrulea paragraf al acestui articol de a fi vizată direct și individual de decizia atacată pentru ca acțiunea sa împotriva deciziei menționate să poată fi admisibilă.
36 Mai întâi, trebuie să se constate că decizia atacată, adoptată de CEPD, este într‑adevăr un act al unui organ al Uniunii. În mod cert, dispozitivul instituțional prevăzut de Regulamentul 2016/679, prezentat la punctele 21-31 de mai sus, în special competența exclusivă a autorităților naționale de supraveghere de a adopta măsuri corective în privința operatorilor și a persoanelor împuternicite de operatori, precum și mecanismele de cooperare și de asigurare a coerenței între aceste autorități, inclusiv în cadrul CEPD, care regrupează în esență astfel de autorități, ar putea lăsa să se considere că acesta din urmă este doar un organism de coordonare între autoritățile naționale. Cu toate acestea, potrivit articolului 68 alineatul (1) din Regulamentul 2016/679, CEPD a fost instituit ca organ al Uniunii și are personalitate juridică. În plus, CEPD este abilitat, în această calitate, să adopte în temeiul articolelor 64 și 65 din Regulamentul 2016/679 avize și, în cadrul soluționării litigiilor între autoritățile naționale de supraveghere, decizii precum decizia atacată, obligatorii față de autoritățile de supraveghere vizate, aceste avize și aceste decizii fiind, așadar, acte ale unui organ al Uniunii.
37 În continuare, trebuie să se constate că decizia atacată este menită să producă efecte juridice față de terți, întrucât este o „decizie obligatorie” în privința autorităților de supraveghere vizate, adoptată în temeiul articolului 65 din Regulamentul 2016/679.
38 Cu toate acestea, atunci când un reclamant nu este unul dintre reclamanții, numiți „privilegiați”, menționați nominal cu titlu individual la articolul 263 TFUE al doilea paragraf, s‑a statuat în mod constant că, pentru a constitui un act atacabil de către reclamant, acest act trebuie să producă efecte juridice obligatorii de natură a afecta interesele reclamantului, modificând în mod distinct situația juridică a acestuia (Hotărârea din 11 noiembrie 1981, IBM/Comisia, 60/81, EU:C:1981:264, punctul 9; a se vedea de asemenea Hotărârea din 18 noiembrie 2010, NDSHT/Comisia, C‑322/09 P, EU:C:2010:701, punctul 45 și jurisprudența citată).
39 Curtea a statuat de asemenea că, în cazul în care un asemenea reclamant nu este destinatarul actului pe care îl atacă, condiția potrivit căreia actul trebuie să modifice în mod distinct situația juridică a reclamantului se suprapune cu condițiile prevăzute la articolul 263 al patrulea paragraf TFUE, cu alte cuvinte, atunci când actul atacat nu este un act normativ care nu presupune măsuri de executare, cu necesitatea ca reclamantul să fie vizat în mod direct și individual de acest act (a se vedea în acest sens Hotărârea din 13 octombrie 2011, Deutsche Post și Germania/Comisia, C‑463/10 P și C‑475/10 P, EU:C:2011:656, punctul 38).
40 În speță, se poate observa de la bun început, având în vedere natura actului atacat care este un act individual, că WhatsApp este vizată individual de decizia atacată, întrucât aceasta privește anumite aspecte ale unui proiect de decizie finală a autorității irlandeze de supraveghere care o vizează în mod specific. Contrar celor susținute de CEPD în duplică, decizia atacată nu se limitează la enunțarea unor principii sau la interpretarea anumitor dispoziții din Regulamentul 2016/679 care ar putea privi orice operator. În decizia atacată, după cum s‑a arătat la punctul 11 de mai sus, CEPD se pronunță cu privire la respectarea de către WhatsApp a unora dintre obligațiile sale în raport cu Regulamentul 2016/679, califică drept date cu caracter personal elemente rezultate din procedura numită „Lossy Hashing Procedure”, care este o prelucrare efectuată numai de WhatsApp, și se pronunță cu privire la anumite măsuri corective care trebuie impuse WhatsApp, în special cu privire la anumite aspecte ale stabilirii amenzilor administrative care urmează să îi fie aplicate. Decizia atacată este astfel specifică WhatsApp, chiar dacă presupune, ca foarte frecvent în actele individuale, enunțarea sau amintirea principiilor și a interpretărilor de natură generală.
41 În continuare, trebuie examinată chestiunea dacă decizia atacată produce efecte juridice care modifică în mod distinct situația juridică a WhatsApp și dacă aceasta o privește în mod direct, în sensul articolului 263 al patrulea paragraf TFUE.
42 Din acest punct de vedere, trebuie să se observe, după cum subliniază de această dată în mod întemeiat CEPD, că decizia atacată nu modifică în sine situația juridică a WhatsApp. Astfel, contrar deciziei finale a autorității irlandeze de supraveghere, aceasta nu îi este direct opozabilă și constituie în privința sa un act pregătitor sau intermediar, într‑o procedură care, în conformitate cu dispozițiile articolului 58 alineatul (2) și ale articolelor 60, 63 și 65 din Regulamentul 2016/679, citate la punctele 23-26, precum și la punctul 31 de mai sus, trebuie încheiată tocmai prin adoptarea unei decizii finale a unei autorități naționale de supraveghere a cărei destinatară este această întreprindere (a se vedea în acest sens și prin analogie Hotărârea din 24 iunie 1986, AKZO Chemie și AKZO Chemie UK/Comisia, 53/85, EU:C:1986:256, punctul 19).
43 În această privință, s‑a statuat în numeroase rânduri că, în procedurile care conduc la elaborarea de acte în mai multe etape, nu constituie în principiu acte atacabile măsurile intermediare al căror obiectiv este de a pregăti decizia finală (a se vedea în acest sens Hotărârea din 11 noiembrie 1981, IBM/Comisia, 60/81, EU:C:1981:264, punctul 10, și Hotărârea din 26 ianuarie 2010, Internationaler Hilfsfonds/Comisia, C‑362/08 P, EU:C:2010:40, punctul 52 și jurisprudența citată).
44 Excepțiile de la principiul amintit la punctul 43 de mai sus privesc cazul în care măsura intermediară are efecte juridice autonome în privința cărora nu poate fi asigurată o protecție jurisdicțională suficientă în cadrul unei acțiuni introduse împotriva deciziei prin care se pune capăt procedurii (a se vedea în acest sens Hotărârea din 11 noiembrie 1981, IBM/Comisia, 60/81, EU:C:1981:264, punctele 11 și 12, și Hotărârea din 13 octombrie 2011, Deutsche Post și Germania/Comisia, C‑463/10 P și C‑475/10 P, EU:C:2011:656, punctele 53 și 54). Cu titlu de exemple, asemenea excepții au fost identificate în cadrul unei proceduri de control al respectării normelor de concurență aplicabile întreprinderilor (a se vedea în acest sens Hotărârea din 24 iunie 1986, AKZO Chemie și AKZO Chemie UK/Comisia, 53/85, EU:C:1986:256, punctul 20), în cadrul unei proceduri de control al respectării normelor în materie de ajutoare de stat (a se vedea în acest sens Hotărârea din 9 octombrie 2001, Italia/Comisia, C‑400/99, EU:C:2001:528, punctele 55-63) și, în ceea ce privește o măsură accesorie sau asigurătorie care precedă o decizie definitivă, pentru suspendarea unui funcționar vizat de o procedură disciplinară (a se vedea în acest sens Hotărârea din 5 mai 1966, Gutmann/Comisia, 18/65 și 35/65, EU:C:1966:24, p. 168).
45 În speță, o protecție jurisdicțională efectivă în privința deciziei atacate este, dimpotrivă, asigurată WhatsApp prin intermediul căii de atac de care dispune în fața instanței naționale împotriva deciziei finale a autorității irlandeze de supraveghere, care permite aprecierea validității deciziei atacate. Astfel cum prevăd dispozițiile articolului 78 alineatul (1) din Regulamentul 2016/679, care arată că dreptul la o cale de atac judiciară efectivă trebuie asigurat fiecărei persoane din fiecare stat membru împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează, WhatsApp a atacat în fața unei instanțe irlandeze decizia finală edictată de autoritatea irlandeză de supraveghere și poate invoca în cadrul acestei căi de atac nelegalitatea aprecierilor obligatorii care figurează în decizia atacată, reluate în această decizie finală. Trebuie amintit în această privință că articolul 267 TFUE permite să se invoce în fața instanței naționale lipsa validității actelor adoptate de instituțiile, organele, oficiile sau agențiile Uniunii, prevăzând că, în cazul în care instanța națională apreciază că o decizie în această privință îi este necesară pentru a pronunța o hotărâre, aceasta poate sau trebuie să sesizeze Curtea de Justiție a Uniunii Europene cu o întrebare preliminară în aprecierea validității. În cazul în care constată, la finalul procedurii preliminare, că un asemenea act, deși este pregătitor pentru o decizie care provine de la o autoritate a unui stat membru, este lipsit de validitate, instanța națională trebuie să deducă consecințele în ceea ce privește legalitatea acestei decizii care cauzează prejudicii persoanei în cauză (a se vedea în acest sens Hotărârea din 30 octombrie 1975, Rey Soda și alții, 23/75, EU:C:1975:142, punctul 51, și Hotărârea din 20 martie 2018, Šroubárna Ždánice/Consiliul, T‑442/16, nepublicată, EU:T:2018:159, punctul 34).
46 În plus, decizia atacată nu are, în privința WhatsApp, niciun efect juridic autonom în raport cu decizia finală emisă de autoritatea irlandeză de supraveghere: toate aprecierile care figurează în prima sunt reluate în a doua, iar prima nu are niciun efect care ar fi independent de conținutul celei de a doua, contrar situației din cauzele în care s‑au pronunțat Hotărârea din 5 mai 1966, Gutmann/Comisia (18/65 și 35/65, EU:C:1966:24), Hotărârea din 24 iunie 1986, AKZO Chemie și AKZO Chemie UK/Comisia (53/85, EU:C:1986:256), și Hotărârea din 9 octombrie 2001, Italia/Comisia (C‑400/99, EU:C:2001:528), menționate la punctul 44 de mai sus.
47 În această privință, deși principiile amintite la punctele 43 și 44 de mai sus au fost stabilite în privința procedurilor care țin, în ceea ce privește decizia finală, de competența instituțiilor sau a altor entități ale Uniunii, niciun motiv nu justifică ca situația să fie diferită atunci când, precum în speță, legislația Uniunii încredințează supravegherea aplicării normelor speciale ale Uniunii unor autorități naționale specifice în cadrul procedurilor care presupun mai multe etape și se pune în discuție o măsură intermediară adoptată de un organ al Uniunii cu ocazia unei asemenea proceduri finalizate printr‑o decizie a unei autorități naționale.
48 WhatsApp susține, desigur, că decizia atacată constă într‑o poziție definitivă a CEPD care trebuia să fie urmată de autoritatea irlandeză de supraveghere în decizia finală. Acest argument este înțeles în sensul că decizia atacată ar fi astfel în mod necesar un act atacabil și s‑ar distinge de măsurile intermediare care nu exprimă decât o opinie provizorie care ar constitui, singure, acte neatacabile.
49 Cu toate acestea, așa cum s‑a amintit la punctul 38 de mai sus, pentru ca un act să fie atacabil de un alt reclamant decât reclamanții numiți privilegiați, menționați la articolul 263 TFUE al doilea paragraf, actul respectiv trebuie printre altele să modifice în mod distinct situația juridică a acestuia. Or, faptul că un act intermediar exprimă poziția definitivă a unei autorități care va trebui să fie reluată în decizia finală de închidere a procedurii în discuție, precum în speță, întrucât decizia atacată conține o analiză definitivă cu privire la anumite aspecte ale deciziei finale, nu înseamnă neapărat că acest act intermediar modifică el însuși în mod distinct situația juridică a reclamantului, așa cum s‑a demonstrat în speță la punctele 42-47 de mai sus. În măsura în care, astfel cum s‑a amintit la punctul 39 de mai sus, această condiție se suprapune cu condițiile prevăzute la articolul 263 al patrulea paragraf TFUE, și anume în special cu necesitatea ca reclamantul să fie direct vizat de actul respectiv, acest lucru poate fi verificat în speță examinându-se dacă WhatsApp este direct vizată de decizia atacată.
50 Or, așa cum susține în mod întemeiat CEPD, WhatsApp nu este vizată direct de decizia atacată.
51 Astfel, s‑a statuat în mod constant că, pentru a privi în mod direct un reclamant care nu este destinatar al unui act, acest act trebuie, în primul rând, să producă în mod direct efecte juridice asupra situației acestui reclamant și, în al doilea rând, să nu lase nicio putere de apreciere destinatarilor însărcinați cu punerea sa în aplicare, aceasta având un caracter automat și decurgând doar din reglementarea Uniunii, fără aplicarea altor norme intermediare (Hotărârea din 13 mai 1971, International Fruit Company și alții/Comisia, 41/70-44/70, EU:C:1971:53, punctele 23-28, Hotărârea din 5 mai 1998, Dreyfus/Comisia, C‑386/96 P, EU:C:1998:193, punctul 43, și Hotărârea din 17 septembrie 2009, Comisia/Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, punctul 48).
52 În ceea ce privește prima dintre aceste condiții, așa cum s‑a arătat deja la punctul 42 de mai sus, decizia atacată nu are caracter opozabil față de WhatsApp, care ar permite, fără o etapă suplimentară în procedură, să fie sursă de obligații pentru ea sau, după caz, de drepturi pentru alți particulari. Aceasta diferă astfel, de exemplu, de actele care au făcut obiectul Hotărârii din 23 aprilie 1986, Les Verts/Parlamentul (294/83, EU:C:1986:166), din care s‑a observat, la punctul 31 din hotărârea menționată, pentru a concluziona că priveau în mod direct asociația reclamantă, că „[acestea constituiau] o reglementare completă, suficientă sieși și care [nu necesita] niciun fel de dispoziții de aplicare”. În speță, decizia atacată nu reprezintă etapa finală a procedurii complete prevăzute la articolele 58, 60 și 65 din Regulamentul 2016/679.
53 În ceea ce privește a doua dintre aceste condiții, referitoare la puterea de apreciere a autorității însărcinate cu punerea în aplicare a actului în discuție, trebuie să se constate că, deși decizia atacată era obligatorie pentru autoritatea irlandeză de supraveghere în ceea ce privește aspectele la care se referea, aceasta i‑a lăsat o marjă de apreciere în legătură cu conținutul deciziei finale.
54 Într‑adevăr, așa cum reiese dintr‑o comparație între conținutul deciziei atacate, prezentat la punctul 11 de mai sus, care adresează instrucțiuni autorităților de supraveghere vizate, și conținutul deciziei finale adresate WhatsApp, prezentat la punctul 8 de mai sus, decizia atacată are un conținut parțial în raport cu decizia finală.
55 Astfel, cele două decizii au în comun constatarea unei încălcări de către WhatsApp a principiului transparenței prevăzut la articolul 5 alineatul (1) litera (a) și a obligațiilor prevăzute la articolul 13 alineatul (1) litera (d) și la articolul 13 alineatul (2) litera (e) din Regulamentul 2016/679, calificarea drept date cu caracter personal a elementelor rezultate din procedura numită „Lossy Hashing Procedure”, aplicată datelor privind „contactele” neutilizatorilor de WhatsApp ce figurează în agendele de adrese ale telefoanelor utilizatorilor de WhatsApp, constatarea unei încălcări de către WhatsApp a obligațiilor prevăzute la articolul 14 din Regulamentul 2016/679 ca urmare a acestei calificări, termenul de trei luni acordat WhatsApp pentru a se conforma cerințelor prevăzute în Regulamentul 2016/679, anumite aspecte ale măsurilor corective, și anume cele referitoare datele cu caracter personal ale neutilizatorilor de WhatsApp și obligației de a furniza utilizatorilor de WhatsApp informațiile prevăzute la articolul 13 alineatul (2) litera (e) din Regulamentul 2016/679, interpretarea criteriilor privind cuantumul amenzilor administrative aplicate WhatsApp și majorarea cuantumului acestor amenzi în raport cu nivelul total de 30-50 de milioane de euro avut în vedere în proiectul de decizie al autorității irlandeze de supraveghere.
56 În schimb, în ceea ce privește următoarele aspecte, decizia finală rezultă din aprecierea autorității irlandeze de control fără ca CEPD să fi exprimat în decizia atacată o poziție în această privință: constatarea încălcării de către WhatsApp a obligațiilor prevăzute la articolul 12 alineatul (1), la articolul 13 alineatul (1) literele (c), (e) și (f), precum și la articolul 13 alineatul (2) literele (a) și (c) din Regulamentul 2016/679; constatarea respectării de către WhatsApp a obligațiilor prevăzute la articolul 13 alineatul (1) literele (a) și (b), precum și la articolul 13 alineatul (2) literele (b) și (d) din Regulamentul 2016/679; calitatea WhatsApp atunci când prelucrează datele cu caracter personal ale neutilizatorilor mesageriei sale; cea mai mare parte a conținutului măsurilor corective impuse WhatsApp, și anume cele prin care se urmărește asigurarea respectării obligațiilor care figurează la articolul 12 alineatul (1), la articolul 13 alineatul (1) literele (c), (d), (e) și (f) și la articolul 13 alineatul (2) literele (a) și (c) din Regulamentul 2016/679; stabilirea concretă a nivelului amenzilor administrative aplicate WhatsApp, care conduce la o sumă totală de 225 de milioane de euro.
57 Trebuie să se observe în special că autoritatea irlandeză de supraveghere și‑a exercitat marja de apreciere pentru a acționa în conformitate cu instrucțiunile care au fost date în decizia atacată în ceea ce privește calificarea drept date cu caracter personal a elementelor rezultate din procedura numită „Lossy Hashing Procedure” și în ceea ce privește amenzile administrative.
58 În ceea ce privește primul aspect, și anume chestiunea prelucrării datelor cu caracter personal ale neutilizatorilor de WhatsApp, în special a elementelor rezultate din procedura numită „Lossy Hashing Procedure”, astfel cum reiese din cuprinsul punctului 111 din decizia finală, următoarea etapă a analizei prin care se urmărește să se stabilească dacă WhatsApp încălcase, în privința acestor persoane, obligațiile prevăzute la articolul 14 din Regulamentul 2016/679 era dacă, în ceea ce privește prelucrarea datelor cu caracter personal în discuție, WhatsApp acționa în calitate de operator sau de simplă persoană împuternicită de operator care acționează în numele unui utilizator al mesageriei sale care a activat funcția „Contacte”. Or, această etapă a analizei, încheiată prin reținerea primei ipoteze, rezultă dintr‑o apreciere a autorității irlandeze de supraveghere fără ca CEPD să fi exprimat în decizia atacată o poziție în această privință.
59 În ceea ce privește stabilirea amenzilor administrative, deși decizia atacată conține instrucțiuni în legătură cu interpretarea criteriilor privind cuantumul amenzilor administrative aplicate în temeiul Regulamentului 2016/679 și majorarea cuantumului total al amenzilor care urmează să fie aplicate WhatsApp în speță în raport cu ceea ce s‑a avut în vedere în proiectul de decizie al autorității irlandeze de supraveghere, aceasta și‑a păstrat marja de apreciere pentru a stabili cuantumul concret al amenzilor care urmează să fie aplicate WhatsApp. De altfel, așa cum s‑a indicat la punctul 8 de mai sus, înainte de a adopta decizia finală, autoritatea irlandeză de supraveghere a solicitat WhatsApp observații cu privire la noile amenzi administrative pe care intenționa să i le aplice, ceea ce este în concordanță cu constatarea că autoritatea respectivă păstra o marjă de apreciere în această privință. În speță, se poate observa că în decizia finală a fost reținută în final limita inferioară a intervalului privind noile amenzi avute în vedere de către autoritatea irlandeză de supraveghere.
60 Or, decizia finală constituie un întreg din care nu pot fi detașate părțile ce corespund instrucțiunilor care figurează în decizia atacată prin elaborarea unei „subdecizii” finale pentru care autoritatea de supraveghere nu ar fi dispus de nicio marjă de apreciere. Astfel, investigația și decizia finală a autorității irlandeze de supraveghere au privit respectarea de către WhatsApp a principiului transparenței și a tuturor obligațiilor concrete care au legătură cu acesta prevăzute în Regulamentul 2016/679. Prin urmare, practica globală a WhatsApp în această privință a fost analizată în decizia finală și același aspect al practicii respective a făcut obiectul unei examinări în raport cu mai multe dispoziții relevante din Regulamentul 2016/679, de exemplu în raport cu articolul 5 alineatul (1) litera (a), cu articolul 12 alineatul (1) și cu multiplele dispoziții ale articolului 13 din Regulamentul 2016/679, decizia atacată referindu‑se numai la analiza în raport cu unele dintre aceste dispoziții. Nu ar avea niciun sens să se detașeze de analiza globală efectuată în decizia finală anumite elemente particulare, în condițiile în care procedura inițiată în privința WhatsApp, la inițiativa și sub responsabilitatea autorității irlandeze de supraveghere în calitate de autoritate de supraveghere principală, privea aprecierea generală a respectării de către WhatsApp a principiului transparenței. În special, în ceea ce privește stabilirea sancțiunilor pecuniare, cuantumul fiecăreia dintre cele patru amenzi administrative a fost stabilit de autoritatea irlandeză de supraveghere în raport cu ansamblul încălcărilor constatate privind articolul 5 alineatul (1) litera (a), articolele 12, 13 și, respectiv, 14 din Regulamentul 2016/679.
61 În consecință, niciuna dintre cele două condiții amintite la punctul 51 de mai sus, care ar permite, în cazul în care ar fi îndeplinite, să se considere că WhatsApp este vizată direct prin decizia atacată, nu este îndeplinită.
62 Rezultă din cele ce precedă că acțiunea formulată de WhatsApp nu este admisibilă.
63 Rezultatul acestei analize este în concordanță cu ceea ce s‑a putut statua în ceea ce privește alte proceduri în care un act al Uniunii cu caracter obligatoriu privind întreprinderile este adresat unui stat membru.
64 Astfel, în domeniul controlului ajutoarelor de stat, s‑a statuat că, atunci când Comisia adoptă o decizie prin care un ajutor deja acordat este declarat ilegal și incompatibil cu piața internă și dispune ca statul membru care l‑a acordat să recupereze ajutoarele plătite, beneficiarii acestor ajutoare plătite sunt vizați direct și individual de decizia menționată (a se vedea în acest sens Hotărârea din 19 octombrie 2000, Italia și Sardegna Lines/Comisia, C‑15/98 și C‑105/99, EU:C:2000:570, punctele 33-36). În această privință, s‑a observat că, din momentul adoptării unei decizii de acest tip, beneficiarii respectivi sunt expuși riscului ca avantajele pe care le‑au primit să fie recuperate, iar astfel situația lor juridică este afectată (Hotărârea din 9 iunie 2011, Comitato „Venezia vuole vivere” și alții/Comisia, C‑71/09 P, C‑73/09 P și C‑76/09 P, EU:C:2011:368, punctul 56). Acest lucru se explică, având în vedere că procedura de control este în acest stadiu finalizată, prin faptul că nu trebuie adusă nicio apreciere suplimentară pe fond, întrucât sumele care trebuie recuperate sunt stabilite mecanic în funcție de decizia Comisiei și de ajutoarele acordate anterior întreprinderilor în cauză, că statul membru este obligat să inițieze el însuși recuperarea acestor ajutoare și să o încheie cu succes, în afara unor împrejurări excepționale (a se vedea în acest sens Hotărârea din 7 iunie 1988, Comisia/Grecia, 63/87, EU:C:1988:285, Hotărârea din 20 septembrie 1990, Comisia/Germania, C‑5/89, EU:C:1990:320, punctele 15 și 16, și Hotărârea din 20 martie 1997, Alcan Deutschland, C‑24/95, EU:C:1997:163), și că terții pot acționa pe baza deciziei Comisiei în fața administrației în cauză sau a instanței naționale pentru a fi rambursate ajutoarele în discuție, fără să fi suportat ei înșiși sarcina probei că au fost acordate în mod nelegal (a se vedea prin analogie Hotărârea din 12 februarie 2008, CELF și ministre de la Culture et de la Communication, C‑199/06, EU:C:2008:79, punctele 23 și 39-41). În speță, decizia atacată nu se situează într‑un stadiu analog, întrucât procedura de control nu era finalizată cu adoptarea sa, aprecieri suplimentare privind respectarea de către WhatsApp a dispozițiilor Regulamentului 2016/679 și sancțiunea aplicată încă trebuiau confirmate sau formulate de autoritatea de supraveghere principală, iar decizia atacată nu putea servi ea însăși drept temei juridic pentru impunerea de obligații în sarcina WhatsApp.
65 De asemenea, s‑a statuat că o decizie a Comisiei adresată unui stat membru, prin care i se indica faptul că o finanțare europeană în favoarea unei întreprinderi era redusă în raport cu ceea ce se prevăzuse ca urmare a neeligibilității pentru această finanțare a anumitor cheltuieli prezentate de întreprinderea respectivă o privea în mod direct și individual pe aceasta din urmă, întrucât decizia în discuție o priva de o parte din asistența financiară care îi fusese acordată inițial fără ca statul membru să dispună de o putere de apreciere în această privință (Hotărârea din 4 iunie 1992, Infortec/Comisia, C‑157/90, EU:C:1992:243, punctul 17). Cu toate acestea, în speță, contrar deciziei Comisiei care a condus la aprecierea respectivă, decizia atacată nu este, așa cum s‑a constatat la punctul 52 de mai sus, ultima etapă a procedurii complete în discuție și, așa cum s‑a constatat la punctele 56 și 57 de mai sus, aceasta a lăsat o marjă de apreciere autorității irlandeze de supraveghere.
66 Într‑un mod mai global, inadmisibilitatea acțiunii formulate de WhatsApp în fața Tribunalului împotriva deciziei atacate se înscrie în logica sistemului căilor de atac jurisdicționale instituit prin Tratatul UE și Tratatul FUE.
67 Astfel cum prevede articolul 2 din Tratatul UE, Uniunea se întemeiază, printre altele, pe respectarea statului de drept. Articolul 6 alineatul (1) din Tratatul UE prevede că Uniunea recunoaște drepturile, libertățile și principiile prevăzute în Carta drepturilor fundamentale a Uniunii Europene, iar articolul 47 din aceasta din urmă garantează dreptul la o cale de atac efectivă și la un proces echitabil. Articolul 19 din Tratatul UE prevede că Curtea de Justiție a Uniunii Europene asigură respectarea dreptului în interpretarea și aplicarea tratatelor și, printre altele, aceasta hotărăște în conformitate cu tratatele cu privire la acțiunile introduse de un stat membru, de o instituție ori de persoane fizice sau juridice și, cu titlu preliminar, la solicitarea instanțelor judecătorești naționale, cu privire la interpretarea dreptului Uniunii sau la validitatea actelor adoptate de instituții, precum și în celelalte cazuri prevăzute în tratate. Același articol prevede că statele membre stabilesc căile de atac necesare pentru a asigura o protecție jurisdicțională efectivă în domeniile reglementate de dreptul Uniunii.
68 Mai precis, Tratatul FUE, în special articolul 263 din acesta, referitor la acțiunile directe în fața Curții de Justiție a Uniunii Europene, și articolul 267, referitor la situațiile în care aceasta din urmă se pronunță cu titlu preliminar, în special cu privire la validitatea și la interpretarea actelor adoptate de instituțiile, organele, oficiile sau agențiile Uniunii, a instituit un sistem complet al căilor de atac de natură să asigure controlul legalității actelor Uniunii (a se vedea în acest sens Hotărârea din 25 iulie 2002, Unión de Pequeños Agricultores/Consiliul, C‑50/00 P, EU:C:2002:462, punctul 40). Participă la acest sistem atât Curtea de Justiție a Uniunii Europene, din care face parte Tribunalul, cât și instanțele naționale. În acest sistem, persoanele care nu pot, din cauza condițiilor de admisibilitate prevăzute la articolul 263 TFUE, să atace direct acte ale Uniunii în fața Curții de Justiție a Uniunii Europene au posibilitatea de a invoca, prin excepția de nelegalitate, lipsa validității unui asemenea act în fața instanței naționale, introducând la aceasta o acțiune împotriva măsurilor naționale de aplicare a actului respectiv. În această situație, este de competența instanței naționale, în cazul în care apreciază că este necesară o decizie cu privire la acest aspect pentru a pronunța o hotărâre și are îndoieli cu privire la validitatea actului respectiv, să sesizeze cu titlu preliminar Curtea de Justiție a Uniunii Europene (a se vedea în acest sens și prin analogie Hotărârea din 25 iulie 2002, Unión de Pequeños Agricultores/Consiliul, C‑50/00 P, EU:C:2002:462, punctul 40).
69 Logica acestui sistem, care explică în special interpretarea condițiilor de admisibilitate a acțiunilor directe enunțate la articolul 263 TFUE, care a fost amintită în cursul analizei care figurează la punctele 35-62 de mai sus, este că acțiunea jurisdicțională a Curții de Justiție a Uniunii Europene și cea a instanțelor naționale se completează în mod eficient, iar instanța Uniunii și instanța națională nu sunt determinate să se pronunțe în același timp, cu ocazia unor proceduri paralele, cu privire la validitatea aceluiași act al Uniunii, fie în mod direct sau, în ceea ce privește instanța națională în cazul în care ridică problema validității actului în discuție, în urma unei întrebări preliminare. Această logică a putut justifica în special faptul că s‑a statuat ca un reclamant care ar fi putut, fără nicio îndoială, să atace direct o decizie a Uniunii în fața Curții de Justiție a Uniunii Europene să nu mai poată pune în discuție ulterior validitatea acestei decizii, în special cu ocazia unei proceduri ulterioare în fața instanței naționale (a se vedea în acest sens Hotărârea din 9 martie 1994, TWD Textilwerke Deggendorf, C‑188/92, EU:C:1994:90, punctul 17; a se vedea de asemenea în acest sens Hotărârea din 9 iunie 2011, Comitato „Venezia vuole vivere” și alții/Comisia, C‑71/09 P, C‑73/09 P și C‑76/09 P, EU:C:2011:368, punctul 58 și jurisprudența citată). Invers, s‑a statuat în mod constant că nelegalitatea unui act al Uniunii neatacabil care servește drept temei pentru un alt act poate fi invocată cu ocazia unei acțiuni împotriva acestui al doilea act (Hotărârea din 11 noiembrie 1981, IBM/Comisia, 60/81, EU:C:1981:264, punctul 12 și, a contrario, referințele jurisprudențiale precedente).
70 În speță, a admite admisibilitatea acțiunii WhatsApp împotriva deciziei atacate ar conduce la continuarea a două proceduri jurisdicționale paralele, care se suprapun în mod semnificativ, una în fața Tribunalului, care pune în discuție decizia atacată, cealaltă în fața unei instanțe irlandeze, care pune în discuție decizia finală, din care o parte a motivelor se întemeiază pe decizia atacată. De altfel, WhatsApp a invocat, pentru a obține un termen pentru depunerea replicii în fața Tribunalului, sarcina de lucru paralelă pe care i‑o impunea procedura în fața instanței irlandeze sesizate. Cu excepția situației în care una sau alta dintre instanțele sesizate suspendă procedura inițiată în fața sa, ceea ce s‑ar putea traduce printr‑o prelungire a timpului necesar pentru a obține o soluție definitivă cu privire la legalitatea deciziei finale, aceste proceduri paralele ar putea chiar să conducă la situația în care, în același timp, Curtea, cu titlu preliminar, și Tribunalul, prin intermediul acțiunii directe a WhatsApp, ar fi invitate să se pronunțe cu privire la validitatea deciziei atacate. Ținând seama de sistemul căilor de atac evocat la punctele 68 și 69 de mai sus și de dispozițiile articolului 78 din Regulamentul 2016/679 privind dreptul la o cale de atac judiciară efectivă împotriva unei autorități de supraveghere, va fi, după caz, de competența instanței irlandeze sesizate, singura competentă în această privință, să controleze legalitatea deciziei finale opozabile WhatsApp, adresând o întrebare preliminară în aprecierea validității Curții de Justiție a Uniunii Europene în ceea ce privește decizia atacată în cazul în care apreciază că este necesar să se pronunțe cu privire la litigiul dintre WhatsApp și autoritatea irlandeză de supraveghere. Instanța irlandeză sesizată ar putea, în această privință, să soluționeze litigiul cu care este sesizată fie prin respingerea excepției de nelegalitate care ar putea fi invocată împotriva deciziei atacate fără a se adresa Curții, dacă nu are îndoieli cu privire la validitatea acestei decizii, fie, dimpotrivă, prin sesizarea Curții în cazul în care are astfel de îndoieli, fie prin soluționarea litigiului independent de chestiunea validității deciziei atacate, ținând seama de motivele invocate în fața acesteia. Soluția respectivă este conformă cu interesul unei bune administrări a justiției, ținând seama de riscurile pe care le implică procedurile jurisdicționale paralele evocate la începutul prezentului punct.
71 În sfârșit, trebuie să se arate, în ceea ce privește considerentul (143) al Regulamentului 2016/679 citat la punctul 33 de mai sus, care poate lăsa să se înțeleagă că o acțiune precum cea a WhatsApp în fața Tribunalului ar fi inadmisibilă, că un considerent al unui regulament, deși poate permite clarificarea unei interpretări ce urmează a fi dată unei norme de drept, nu poate constitui în sine o asemenea normă, iar preambulul unui act al Uniunii nu are valoare juridică obligatorie (a se vedea Hotărârea din 26 octombrie 2017, Marine Harvest/Comisia, T‑704/14, EU:T:2017:753, punctul 150 și jurisprudența citată; a se vedea de asemenea în acest sens Hotărârea din 24 noiembrie 2005, Deutsches Milch‑Kontor, C‑136/04, EU:C:2005:716, punctul 32 și jurisprudența citată). Or, în speță acest considerent nu constituie suportul niciunei dispoziții din Regulamentul 2016/679, după cum s‑a arătat la punctele 32 și 35 de mai sus. În plus, o explicație care figurează în motivarea unui regulament nu poate prevala asupra normelor de drept primar aplicabile care figurează în tratate, în speță asupra celor de la primul și al patrulea paragraf ale articolului 263 TFUE, a cărui esență este de altfel amintită în parte în considerentul în discuție cu mențiunea, în prima teză, că „[o]rice persoană fizică sau juridică are dreptul de a introduce o acțiune în anulare împotriva deciziilor comitetului în fața Curții de Justiție, în conformitate cu condițiile prevăzute la [articolul 263 TFUE]”.
72 Rezultă din tot ceea ce precedă că acțiunea trebuie respinsă ca inadmisibilă.
Cu privire la cererile de intervenție
73 Conform articolului 142 alineatul (2) din Regulamentul de procedură, intervenția este accesorie litigiului principal și rămâne fără obiect și atunci când cererea introductivă este declarată inadmisibilă.
74 În consecință, nu mai este necesară pronunțarea asupra cererilor de intervenție și nici asupra cererilor de protecție a confidențialității unor elemente din dosar pe care le‑au ocazionat.
Cu privire la cheltuielile de judecată
75 Potrivit articolului 134 alineatul (1) din Regulamentul de procedură, partea care cade în pretenții este obligată, la cerere, la plata cheltuielilor de judecată. Întrucât WhatsApp a căzut în pretenții, se impune obligarea acesteia la plata cheltuielilor de judecată, în conformitate cu concluziile CEPD, sub rezerva celor arătate la punctul 76 de mai jos.
76 Pe de altă parte, în temeiul articolului 144 alineatul (10) din Regulamentul de procedură, dacă judecata în cauza principală se finalizează înainte de pronunțarea cu privire la o cerere de intervenție, autorul cererii de intervenție și părțile principale suportă, fiecare, propriile cheltuieli de judecată aferente cererii de intervenție. În speță, WhatsApp, CEPD, Republica Finlanda, Comisia, Autoritatea Europeană pentru Protecția Datelor și Computer & Communication Industry Association vor suporta fiecare propriile cheltuieli de judecată aferente cererilor de intervenție.
Pentru aceste motive,
TRIBUNALUL (Camera a patra extinsă)
dispune:
1) Respinge acțiunea ca inadmisibilă.
2) Nu mai este necesară pronunțarea cu privire la cererile de intervenție formulate de Republica Finlanda, Comisia Europeană, Autoritatea Europeană pentru Protecția Datelor și Computer & Communication Industry Association și nici cu privire la cererile de confidențialitate pe care le‑au ocazionat.
3) WhatsApp Ireland Ltd va suporta propriile cheltuieli de judecată, precum și pe cele efectuate de Comitetul European pentru Protecția Datelor, cu excepția cheltuielilor de judecată ale acestuia din urmă aferente cererilor de intervenție.
4) Comitetul European pentru Protecția Datelor, Republica Finlanda, Comisia, Autoritatea Europeană pentru Protecția Datelor și Computer & Communication Industry Association vor suporta fiecare propriile cheltuieli de judecată aferente cererilor de intervenție.
Dată la Luxemburg, la 7 decembrie 2022.