Amendes RGPD 2026: recours directs ouverts contre les décisions EDPB

Résumé — Le 10 février 2026, la CJUE juge que les décisions « contraignantes » de l’EDPB peuvent être attaquées directement par les entreprises. Conséquence: la méthodologie de calcul des amendes (art. 83 RGPD) et les ordres de mise en conformité adossés au mécanisme de cohérence deviennent justiciables devant le juge de l’UE, en plus des recours nationaux.

L’affaire

Le 10 février 2026, dans l’affaire C‑97/23 P, WhatsApp Ireland Ltd c. European Data Protection Board (EDPB), la Cour de justice de l’Union européenne (CJUE) a jugé qu’une décision contraignante de l’EDPB adoptée au titre de l’article 65 RGPD produit des effets juridiques à l’égard de tiers et peut, à ce titre, faire l’objet d’un recours en annulation devant la juridiction de l’Union par l’entreprise directement et individuellement concernée. La Cour infirme ainsi l’irrecevabilité prononcée en première instance et admet la recevabilité du recours de WhatsApp contre la décision 1/2021 de l’EDPB, adoptée dans le cadre du mécanisme de cohérence à l’issue de la procédure « one‑stop‑shop » en Irlande. Sources: CJUE — CP 11/26, CJUE — C‑97/23 P (Curia).

Deux jours plus tard, le 13 février 2026, le Conseil d’État (France) a rappelé qu’une décision de sanction de la CNIL pouvait se référer aux critères de l’article 83 RGPD sans devoir reproduire in extenso chaque étape de la méthode EDPB, dès lors que les éléments déterminants (gravité, durée, caractère intentionnel ou négligent, mesures correctrices, coopération, catégories de données, etc.) sont explicitement pris en compte. Source: CE 13/02/2026, n° 498628.

Le raisonnement juridique

• Base textuelle. L’article 83 du RGPD fixe les conditions générales d’infliction des amendes et les critères à considérer « dans chaque cas »; il impose des amendes « effectives, proportionnées et dissuasives » et liste les facteurs d’ajustement (83(2)(a) à (k)). Texte officiel: EUR‑Lex — art. 83 RGPD (FR).
• Méthode paneuropéenne. Les Lignes directrices 04/2022 de l’EDPB proposent une méthode en 5 étapes (qualification, point de départ, ajustements aggravants/atténuants, plafonds 83(4)-(6), vérification de proportionnalité). Version finale 2023: EDPB — Guidelines 04/2022.
• Effet des décisions EDPB. L’article 65 RGPD permet à l’EDPB d’adopter des « décisions contraignantes » pour résoudre des désaccords entre autorités. La CJUE, dans C‑97/23 P, qualifie ces décisions d’actes produisant des effets juridiques à l’égard de l’entreprise visée, donc susceptibles de recours direct devant les juridictions de l’UE. Cela complète les voies de droit du chapitre VIII (art. 78‑84 RGPD). Voir CJUE — CP 11/26 et la synthèse CNPD Chapitre VIII — voies de droit et sanctions.
• Contrôle national du raisonnement. Le Conseil d’État (13/02/2026, n° 498628) confirme que, devant le juge national, il suffit que l’autorité démontre avoir apprécié les critères de l’article 83; les lignes EDPB précisent la méthode mais ne créent pas d’obligation de « rejouer » le calcul à la décimale près, pourvu que la proportionnalité soit motivée. CE 13/02/2026, n° 498628.

Ce que ça change concrètement

1. Double niveau de contentieux à anticiper. En cas de décision nationale précédée d’une décision EDPB (art. 65), la stratégie de recours ne se limite plus à l’ordre juridictionnel local. L’entreprise directement affectée peut envisager un recours en annulation devant la juridiction de l’UE, dans les délais applicables. Voir le communiqué de la CJUE du 10/02/2026. Pour un accompagnement local, voyez notre page conformité RGPD au Luxembourg.
2. Méthodologie des amendes. Attendez‑vous à une demande accrue de traçabilité du « raisonnement 83 ». La CNPD doit démontrer, dossier par dossier, comment les critères 83(2) ont été pesés. Les lignes EDPB 04/2022 demeurent la grammaire commune; l’argument clé reste la proportionnalité in concreto. Références: EDPB 04/2022; article 83 RGPD. Côté organisation, la tenue d’un mandat DPO certifié facilite la documentation.
3. Coordination RGPD/NIS 2/DORA. Pour les entités financières, une sanction RGPD peut s’additionner à des attentes techniques sous NIS 2 ou DORA; la sécurité (art. 32 RGPD) et l’historique d’incidents seront scrutés. La méthode EDPB tient compte des mesures correctrices et de la coopération. Pour la résilience opérationnelle, consultez notre page cadre DORA.
4. Gouvernance de dossier. Documentez les évaluations de risques, les mesures, les notifications et la coopération avec la CNPD et les autorités concernées. Ce sont des leviers directs sur le quantum de l’amende (art. 83(2)(c), (f), (h)). Pour renforcer le dispositif, un RSSI externalisé peut piloter les chantiers sécurité.

Pièges fréquents

• Confondre « lignes EDPB » et norme impérative. Les Guidelines 04/2022 guident; elles n’ajoutent pas de nouveaux critères légaux. Le juge national contrôle la prise en compte loyale des facteurs de l’article 83, pas une check‑list arithmétique. CE 13/02/2026, n° 498628.
• Oublier l’effet juridique d’une décision EDPB. Si votre affaire a transité par l’art. 65 RGPD, négliger l’option d’un recours direct à Luxembourg (CJUE) est une erreur stratégique depuis le 10/02/2026. CJUE — CP 11/26.
• Sous‑documenter la proportionnalité. Les autorités exigent des preuves: durée, ampleur des données, caractère négligent ou intentionnel, correctifs, coopération (art. 83(2)). Une politique sans preuves opérationnelles pèse peu. EUR‑Lex — art. 83.
• Ignorer le lien « groupe/entreprise » pour le plafond. Les lignes EDPB rappellent l’usage du concept d’« entreprise » au sens du droit de la concurrence (cons. 150) pour l’assiette du CA mondial (2 %/4 %). EDPB 04/2022.
• Répliquer une défense « purement formelle ». Contester la motivation sans traiter le fond convainc rarement: l’essentiel est la prise en compte pertinente des critères de l’article 83, pas la reproduction d’un tableur. CE 13/02/2026, n° 498628.

Sources officielles

• CJUE — Communiqué de presse n° 11/26 (10/02/2026)
• CJUE — Page « Judgments and opinions » (C‑97/23 P)
• EDPB — Lignes directrices 04/2022 (finale 2023)
• EUR‑Lex — RGPD, article 83
• Conseil d’État (France) — 13/02/2026, n° 498628
• CNPD — Chapitre VIII (voies de droit et sanctions)

Pour un diagnostic ciblé au Luxembourg, contactez-nous via la page contact.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.