CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:T:2025:735

Affaire T‑183/23

Lisa Ballmann

contre

Comité européen de la protection des données

Arrêt du Tribunal du 16 juillet 2025

« Protection des données à caractère personnel – Réclamation contre le responsable du traitement des données à caractère personnel des utilisateurs d’un réseau social en ligne dans l’Union – Article 65, paragraphe 1, sous a), du règlement (UE) 2016/679 – Décision contraignante du Comité européen de la protection des données – Demande d’accès de l’auteur de la réclamation au dossier préparatoire à la décision contraignante – Refus d’accès – Recours en annulation – Acte susceptible de recours – Recevabilité – Article 41, paragraphe 2, sous b), de la charte des droits fondamentaux »

1. Recours en annulation – Actes susceptibles de recours – Notion – Actes produisant des effets juridiques obligatoires – Décision de refus d’accès au titre de la Charte au dossier préparatoire à la décision contraignante du Comité européen de la protection des données (CEPD) – Acte modifiant la situation juridique de la requérante – Acte fixant définitivement la position du CEPD par rapport au droit d’accès au dossier – Inclusion – Demande d’accès examinée parallèlement au titre du droit d’accès du public aux documents – Absence de pertinence

[Art. 263 TFUE ; charte des droits fondamentaux de l’Union européenne, art. 41, § 2, b) ; règlements du Parlement européen et du Conseil n^o 1049/2001 et 2016/679, art. 65, paragraphe 1, a)]

(voir points 26-28, 32-37)

2. Droits fondamentaux – Charte des droits fondamentaux – Droit à une bonne administration – Droit d’accès de toute personne au dossier la concernant – Portée – Exercice de ce droit subordonné à celui du droit d’être entendu – Absence – Dossier sans lien avec une procédure susceptible d’aboutir à un acte défavorable pour ladite personne – Inclusion – Condition – Absence de règles spécifiques limitant le droit d’accès au dossier dans le domaine concerné

(Charte des droits fondamentaux de l’Union européenne, art. 41)

(voir points 61-66, 75)

3. Droits fondamentaux – Charte des droits fondamentaux – Droit à une bonne administration – Droit d’accès de toute personne au dossier la concernant – Portée – Dossier préparatoire à la décision contraignante du Comité européen de la protection des données (CEPD) – Décision résultant du mécanisme de contrôle de la cohérence mis en œuvre lors d’un désaccord entre autorités de contrôle – Droit d’accès à ce dossier de l’auteur d’une réclamation introduite auprès d’une autorité de contrôle nationale portant sur des violations du règlement général sur la protection des données – Admissibilité

[Charte des droits fondamentaux de l’Union européenne, art. 41, § 2, b) ; règlement du Parlement européen et du Conseil 2016/679, art. 56, paragraphe 1, 60 et 65, paragraphe 1, a)]

(voir points 83-86)

Résumé

En accueillant un recours en annulation contre une décision du Comité européen de la protection des données (CEPD) rejetant une demande d’accès (ci-après la « décision attaquée »), présentée sur le fondement de l’article 41, paragraphe 2, sous b), de la charte européenne des droits fondamentaux de l’Union européenne (ci-après la « Charte »), au dossier préparatoire à sa décision contraignante (1), le Tribunal clarifie la portée et la nature du droit d’accès au dossier au titre de cette disposition de la Charte.

La requérante a saisi en 2018, par l’intermédiaire de l’association à but non lucratif NOYB - European Center for Digital Rights (ci-après « NOYB »), l’Österreichische Datenschutzbehörde (Autorité autrichienne de protection des données) d’une réclamation, conformément au règlement général sur la protection des données (2), à l’encontre de Facebook Ireland Ltd (devenue, en 2022, Meta) pour violation du RGPD lors des traitements de données à caractère personnel liés à l’utilisation du réseau social Facebook. L’Autorité autrichienne de protection des données a transmis cette réclamation à la Data Protection Commission (autorité de protection des données, Irlande, ci-après l’« autorité de contrôle irlandaise »), autorité de contrôle chef de file (3).

À la suite de son enquête, l’autorité de contrôle irlandaise a soumis aux autres autorités de contrôle nationales concernées un projet de décision (4), qui a fait l’objet de plusieurs objections pertinentes et motivées. En raison d’un désaccord entre l’autorité de contrôle irlandaise et les autres autorités de contrôle, celle-ci a saisi le CEPD dans le cadre du mécanisme de contrôle de la cohérence instauré par le RGPD (5) afin qu’il prenne position sur ces objections (6).

Après avoir eu communication du projet de décision, la requérante n’a plus été associée à la procédure et n’a pas eu copie de ces objections ni la possibilité de présenter des observations. NOYB a demandé au CEPD de permettre à la requérante d’être entendue après avoir eu accès au dossier complet de l’affaire, mais le CEPD a répondu, le 21 novembre 2022, que la requérante n’était pas susceptible d’être affectée défavorablement par la décision contraignante et qu’elle n’avait donc pas le droit d’être entendue devant lui. Le 5 décembre 2022, CEPD a adopté la décision contraignante, qui reprenait ces mêmes éléments de réponse. Le 31 décembre 2022, l’autorité de contrôle irlandaise a adopté une décision finale mettant en œuvre cette décision contraignante.

Par courriel du 6 janvier 2023, invoquant l’article 41 de la Charte, le RGPD et « le droit d’accès aux documents en vertu du droit de l’Union », NOYB a demandé au CEPD de lui communiquer la décision contraignante, la décision finale de l’autorité de contrôle irlandaise ainsi que les objections pertinentes et motivées formulées par les autres autorités de contrôle nationales à l’égard du projet de décision. Le CEPD a répondu que les liens Internet vers le texte de ces décisions lui seraient donnés après leur publication et que la demande d’accès aux objections serait traitée comme une demande d’accès aux documents au titre du règlement n^o 1049/2001 (7). Par la suite, l’autorité irlandaise a transmis la décision finale à NOYB, tandis que le CEPD lui a fourni le lien Internet vers le texte de la décision contraignante et lui a donné, sur le fondement du règlement n^o 1049/2001, un accès complet à certaines des objections pertinentes et motivées et un accès partiel à d’autres de ces objections.

Le 25 janvier 2023, NOYB a présenté auprès du CEPD une nouvelle demande d’accès au dossier complet de ce dernier, en invoquant principalement les droits de la requérante tirés de l’article 41 de la Charte « en tant que partie » ainsi que de « toute autre base juridique », telle que le règlement n^o 1049/2001. Par la décision attaquée figurant dans un courriel du 7 février 2023, le CEPD, envisageant la demande d’accès au dossier au regard du règlement n^o 1049/2001, a, d’une part, invité NOYB à clarifier la portée de cette demande et à accepter un arrangement équitable. D’autre part, il a indiqué qu’il avait, en parallèle, évalué de manière approfondie la demande d’accès au dossier au titre de la Charte et qu’il considérait que la requérante, en tant qu’auteure de la réclamation, ne disposait pas d’un droit d’accès à ce titre.

Après que la requérante a saisi le Tribunal le 7 avril 2023, le CEPD a donné à NOYB, le 12 avril 2023, sur le fondement du règlement n^o 1049/2001, un accès complet à certains des documents demandés par cette dernière et un accès partiel à d’autres de ces documents.

Appréciation du Tribunal

En premier lieu, rappelant (8) que constituent en principe des actes attaquables les mesures qui fixent définitivement la position d’une institution de l’Union européenne au terme d’une procédure administrative et qui visent à produire des effets juridiques obligatoires de nature à affecter les intérêts de la partie requérante, le Tribunal écarte la fin de non-recevoir soulevée par le CEPD. À cet égard, il relève que le CEPD a indiqué dans la décision attaquée avoir apprécié « de manière approfondie » la demande d’accès au dossier fondée sur la Charte avant de conclure à son rejet. En outre, cette demande d’accès et la décision attaquée étant intervenues à un moment où tant la décision contraignante que la décision finale de l’autorité de contrôle irlandaise avaient déjà été adoptées, la décision attaquée fixe définitivement la position du CEPD par rapport à cette demande d’accès, affectant ainsi immédiatement et de manière irréversible la situation juridique de la requérante quant à son éventuel droit d’accès au dossier du CEPD. L’examen en parallèle par le CEPD de la demande d’accès sur le fondement du règlement n^o 1049/2001 ne remet pas en cause cette conclusion, puisque ces deux voies d’accès aux documents relèvent de deux régimes juridiques différents.

Tout d’abord, ces deux droits n’ont pas les mêmes bénéficiaires, puisque le droit d’accès aux documents est reconnu à tout citoyen de l’Union et à toute personne physique ou morale résidant ou ayant son siège dans un État membre, tandis que le droit d’accès au dossier bénéficie à la personne concernée par celui-ci. Ensuite, ils ne visent pas nécessairement les mêmes documents : la Charte s’applique au dossier de la personne concernée, alors que le règlement n^o 1049/2001 s’applique à tout document d’une institution. Par ailleurs, si le règlement n^o 1049/2001 prévoit une procédure administrative en deux phases, préalable à un éventuel recours devant le juge de l’Union, une telle exigence n’existe pas pour une demande d’accès au dossier fondée sur la Charte. Enfin, le droit d’accès aux documents est soumis à certaines limites fondées sur des raisons d’intérêts publics ou privés, tandis que le droit d’accès au dossier n’est limité que par « le respect des intérêts légitimes de la confidentialité et du secret professionnel et des affaires ». Partant, il n’est pas garanti qu’une demande d’accès fondée sur le règlement n^o 1049/2001 aboutisse, en toutes circonstances, au même résultat, s’agissant des documents communiqués, qu’une demande formulée sur la base de la Charte.

En second lieu, sur le fond, s’agissant premièrement du caractère autonome du droit d’accès au dossier par rapport au droit d’être entendu, le Tribunal observe d’emblée qu’il n’existe aucun texte légal réglementant spécifiquement ni, a fortiori, limitant le droit de l’auteur d’une réclamation introduite en vertu du RGPD d’avoir accès au dossier du CEPD préparatoire à l’adoption d’une décision contraignante. En particulier, aucune limitation ne ressort ni du RGPD ni du règlement intérieur du CEPD.

S’agissant de l’article 41, paragraphe 2, sous b), de la Charte, tout d’abord, le Tribunal constate que le libellé de cette disposition ne limite pas le droit d’accès d’une personne au dossier qui la concerne à la circonstance que ce dossier soit afférent à une mesure susceptible de l’affecter défavorablement. Si une telle exigence figure au point a) du même paragraphe quant au droit d’être entendu, ni le libellé de ces dispositions ni celui de l’article 41 de la Charte, considéré dans son ensemble, ne subordonne, par principe, l’exercice du droit d’accès au dossier au droit d’être entendu. Certes, le droit d’accès au dossier constitue un préalable nécessaire à l’exercice effectif des droits de la défense, mais son champ d’application peut être plus étendu et ne saurait se réduire à être un corollaire du principe du respect des droits de la défense. Tel est le cas de la requérante, qui a sollicité l’accès au dossier du CEPD afin d’évaluer, sur la base de son contenu, l’opportunité d’introduire un recours juridictionnel.

De plus, l’article 41, paragraphe 2, sous b), de la Charte doit être lu conjointement avec le paragraphe 1 du même article, en ce sens que le droit d’accès au dossier est associé au droit pour toute personne de voir ses affaires traitées impartialement, équitablement et dans un délai raisonnable par l’administration de l’Union. Or, cette dernière ne se limite pas à prendre des mesures qui sont défavorables aux administrés, ou susceptibles de l’être. Le fait de devoir traiter les affaires d’une personne équitablement peut notamment être interprété comme impliquant l’obligation de communiquer à cette personne le dossier administratif qui la concerne.

De surcroît, le Tribunal relève que le droit d’accès au dossier prévu par la Charte constitue une composante du « droit à une bonne administration » (9), qui ne vise pas uniquement l’exercice du droit d’être entendu par l’administration de l’Union, mais revêt une portée plus large. Il englobe également d’autres droits ou principes que cette administration doit respecter dans ses rapports avec les administrés (10), qui ne se limitent pas aux situations dans lesquelles les droits de la défense sont appelés à s’appliquer. Partant, le Tribunal conclut qu’une personne dispose du droit d’accéder au dossier qui la concerne sur le fondement de la Charte, même sans être dans une situation où elle pourrait faire valoir son droit d’être entendue, sous réserve, toutefois, de l’absence de règles spécifiques dans le domaine en cause limitant l’exercice de ce droit d’accès au dossier (11).

Deuxièmement, s’agissant de la question de savoir si la demande de la requérante d’accès au dossier au titre de la Charte visait un dossier la concernant, le Tribunal relève, tout d’abord, que la décision contraignante a pour origine une réclamation présentée par la requérante au titre du RGPD. Or, ce dernier (12) accorde à toute personne concernée non seulement le droit d’introduire une réclamation auprès d’une autorité de contrôle si elle considère que le traitement de ses données à caractère personnel constitue une violation de ce règlement, mais aussi celui d’être informée, par cette autorité de contrôle, de l’état d’avancement et de l’issue de sa réclamation.

Ensuite, le Tribunal rappelle que lorsque, comme en l’espèce, le traitement de données présente un caractère transfrontalier (13), l’autorité de contrôle chef de file, étant tenue, dans le cadre de la procédure de coopération, de rechercher un consensus entre les autorités de contrôle, soumet sans tarder un projet de décision à ces autres autorités afin d’obtenir leur avis (14). Lorsque l’une des autres autorités de contrôle concernées formule une objection pertinente et motivée, l’autorité de contrôle chef de file, si elle ne la suit pas ou ne la juge pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence, en vue d’obtenir du CEPD une décision contraignante (15). Ce mécanisme visant à résoudre les conflits de points de vue entre l’autorité chef de file et les autres autorités de contrôle concernées, la compétence du CEPD est limitée aux seules questions faisant l’objet d’une objection pertinente et motivée. Ainsi, la décision contraignante s’adresse à l’ensemble des autorités concernées et porte uniquement sur ces questions (16).

Cependant, même si l’auteur d’une réclamation au titre du RGPD n’est pas formellement partie à la procédure d’adoption d’une décision contraignante, cette réclamation joue un rôle essentiel dans cette procédure. En effet, elle constitue, tout d’abord, le point de départ de l’ensemble du processus décisionnel. Ensuite, les objections sur lesquelles le CEPD statue dans le cadre d’une procédure engagée à la suite de cette réclamation tiennent souvent compte des faits et des arguments avancés par la personne concernée. Cette personne peut ainsi légitimement souhaiter vérifier si les éléments de sa réclamation ont été pris en considération par le CEPD, ou dans quelle mesure ils ont influencé le contenu de la décision contraignante. À cet égard, le Tribunal relève que, dans le cas d’espèce, la décision contraignante fait, à de nombreuses reprises, référence non seulement à la réclamation introduite par la requérante, mais également à cette dernière en tant que telle. Enfin, la requérante, en tant qu’auteure de la réclamation, a un intérêt direct à l’issue de la procédure, celle-ci visant à assurer une application concrète du RGPD à une situation impliquant le traitement de ses données à caractère personnel. Dès lors, le Tribunal conclut que le dossier du CEPD préparatoire à l’adoption de la décision contraignante concerne la requérante au sens de l’article 41, paragraphe 2, sous b), de la Charte.

1 Décision contraignante 3/2022 du CEPD.

2 Article 77 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

3 Conformément à l’article 56, paragraphe 1, du RGPD, qui accorde notamment la compétence pour agir à l’autorité de contrôle de l’établissement principal du responsable du traitement dans le cas du traitement transfrontalier effectué par ce dernier.

4 Conformément à l’article 60, paragraphe 3, du RGPD.

5 Article 60, paragraphe 4, du RGPD.

6 Article 65, paragraphe 1, sous a), du RGPD.

7 Règlement (CE) n^o 1049/2001 du Parlement européen et du Conseil, du 30 mai 2001, relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO 2001, L 145, p. 43).

8 Arrêt du 25 juin 2020, CSUE/KF (C 14/19 P, EU:C:2020:492, point 70).

9 Consacré par l’article 41 de la Charte.

10 Tels que le traitement des affaires dans un délai raisonnable, l’obligation de motivation des décisions, la responsabilité de l’Union pour réparer des dommages causés par son administration et l’obligation de communication dans la langue de l’Union utilisée par les administrés, prévus respectivement par les dispositions de l’article 41, paragraphe 1, paragraphe 2, sous c), paragraphes 3 et 4, de la Charte.

11 Conformément aux exigences de l’article 52, paragraphe 1, de la Charte.

12 Article 77 du RGPD.

13 Au sens de l’article 4, point 23, du RGPD.

14 Conformément à l’article 60, paragraphe 3, du RGPD.

15 Article 60, paragraphe 4, article 63 et article 65, paragraphe 1, sous a), du RGPD.

16 Article 65, paragraphe 1, sous a), et paragraphe 2, du RGPD.