← Tous les articles

consultant

C‑97/23 P — Les décisions contraignantes de l’EDPB sont attaquables

La CJUE admet le recours direct contre une décision contraignante de l’EDPB (WhatsApp v. EDPB, 10/02/2026). Conséquence: vos schémas de partage intra‑groupe doivent être documentés et défendables devant le juge de l’UE.

En bref — Le 10 février 2026, la CJUE a jugé recevable le recours en annulation introduit par WhatsApp Ireland contre la décision contraignante 1/2021 de l’EDPB, ouvrant la voie à un contrôle juridictionnel direct des décisions prises au titre de l’article 65 du RGPD. Les groupes devront pouvoir défendre leurs flux intra‑groupe et leurs bases légales devant le juge de l’UE (CJUE, C‑97/23 P; communiqué n° 11/26).

L’affaire

La CJUE a annulé l’ordonnance du Tribunal de 2022 ayant déclaré irrecevable l’action de WhatsApp Ireland contre la décision contraignante 1/2021 de l’EDPB et a renvoyé l’affaire pour examen au fond. La Cour qualifie la décision de l’EDPB d’« acte attaquable » produisant des effets juridiques et présentant un lien de « préoccupation directe » pour l’entreprise (CJUE, C‑97/23 P, 10.02.2026). Voir le communiqué de presse CJUE n° 11/26 et la fiche InfoCuria.

Contexte: l’EDPB avait adopté la Binding Decision 1/2021 à propos des obligations de transparence de WhatsApp Ireland (personnes non utilisatrices incluses) et de l’explication des échanges de données au sein de Meta, décision ayant ensuite guidé la décision finale de la DPC (Irlande).

Le raisonnement juridique

La CJUE consacre la nature contraignante des décisions de l’EDPB dans le mécanisme de cohérence (art. 63 et 65 RGPD): elles lient l’autorité chef de file et les autorités concernées et affectent la situation juridique des entreprises. Elles constituent donc des actes attaquables au sens des articles 263 et 264 TFUE (source: communiqué n° 11/26).

Sur le fond RGPD (Binding Decision 1/2021), plusieurs exigences structurantes pour le partage intra‑groupe sont rappelées:

  • Transparence (art. 5(1)(a), 12–14 RGPD): expliquer clairement les destinataires intra‑groupe, les finalités, et tout transfert hors EEE.
  • Base légale (art. 6 RGPD): ne pas inférer une base du seul fait de l’appartenance au groupe; l’intérêt légitime (art. 6(1)(f)) exige un test en trois temps et un équilibre documenté; l’exécution du contrat (art. 6(1)(b)) n’inclut pas les usages secondaires marketing/profilage.
  • Transferts internationaux (chap. V, art. 44–49): si des entités du groupe sont hors EEE, sécuriser les flux (SCC, BCR, DPF lorsque applicable).

Au Luxembourg, la CNPD souligne que les BCR (art. 47 RGPD) sont l’outil structurant pour des flux récurrents intra‑groupe et détaille les conditions/frais d’approbation (lignes directrices 04/2025; dossier BCR en FR et en EN).

L’EDPB a également mis en consultation les Guidelines 1/2024 sur l’article 6(1)(f) (intérêt légitime), renforçant l’attente d’une analyse circonstanciée.

Ce que ça change concrètement

  • Risque contentieux accru: les décisions contraignantes de l’EDPB seront contestables directement devant les juridictions de l’UE. Vos positions internes (bases légales, notices, LIA) doivent résister à un examen européen (CJUE, C‑97/23 P; communiqué n° 11/26).
  • Anticiper le « bundle de preuves » RGPD: pour des flux intra‑groupe, préparez: (1) un registre art. 30 par entité/finalité listant précisément les destinataires; (2) un LIA documenté, versionné et relu par le DPO; (3) des notices art. 13–14 alignées avec les flux réels, incluant les personnes non utilisatrices; (4) un schéma de transferts chap. V (SCC/BCR/DPF) et TIAs si hors DPF.
  • Choisir l’instrument de transfert: pour des flux réguliers et multi‑finalités, les BCR offrent une cohérence de long terme; les SCC conviennent à des flux ciblés.
  • Transparence étendue: en cas de données sur des non‑clients (prospects, contacts importés, audiences similaires), clarifiez source, finalités, base légale et offrez un canal d’opposition effectif. Voir la guidance « Transparence » de l’EDPB.

Pour un ancrage local, consolidez vos pratiques de conformité et vos interactions avec la CNPD dans une approche RGPD Luxembourg outillée.

Pièges fréquents

  1. « Groupe = même responsable »: chaque société est un responsable distinct; l’échange interne reste un « destinataire » à nommer et justifier (RGPD art. 4(7), 26; lignes directrices EDPB responsables/sous‑traitants).
  2. Extension indue de l’« exécution du contrat »: marketing, mesure d’audience avancée ou enrichissement de profil ne relèvent pas automatiquement de l’art. 6(1)(b) sans consentement valable ou intérêt légitime équilibré (EDPB, Binding Decision 1/2021).
  3. LIA « boilerplate »: un test d’intérêt légitime sans pondération réelle (non‑clients, mineurs, données sensibles inférées) est irrecevable; la consultation EDPB 1/2024 exige une analyse circonstanciée et un droit d’opposition effectif.
  4. Transferts hors EEE sous‑estimés: nearshore hors EEE ou data lake global = transfert au sens du chap. V; sans DPF, BCR ou SCC + TIA, l’exposition est élevée (voir la notion de transfert CNPD).
  5. Notices « centrées produit »: elles doivent identifier les entités destinataires, préciser les finalités réelles et expliquer les droits des non‑utilisateurs (art. 12–14 RGPD; lignes directrices « Transparence » EDPB).

Sources officielles

Besoin d’un appui opérationnel pour structurer votre dossier RGPD et vos LIA ? Envisagez un DPO externalisé pour sécuriser vos arbitrages et votre documentation.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →