Par un arrêt du 12 mars 2026 (numéro 52757C du rôle), la Cour administrative a statué sur l'appel d’un des grands acteurs mondiaux au niveau du commerce en ligne contre un jugement du tribunal administratif du 18 mars 2025 (numéro 46578 du rôle) l’ayant débouté de son recours contre une décision de la Commission nationale de la protection des données (CNPD), établissement public, l’ayant notamment condamné à une amende de 746 millions d’euros, ainsi qu'à des mesures de coercition sous peine de paiement d'une astreinte journalière de 746.000 euros.
Le litige porte sur la base légale du traitement de données à caractère personnel à des fins de publicité basée sur les intérêts opéré par la société en question et du respect de diverses dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard des traitements des données à caractère personnel et à la libre circulation des données (RGPD).
A l'audience des plaidoiries du 8 janvier 2026, les mandataires des parties ont pu confirmer unanimement à la Cour que, depuis peu, l’appelante, se trouvait conforme aux exigences de l’ordonnancement juridique en place concernant la protection des données à caractère personnel pour les points ci-avant litigieux. Ceci a expressément été confirmé par le mandataire de la CNPD à l’audience des plaidoiries, tirant la conclusion que les volets de l’affaire ayant trait aux mesures de coercition, sous peine d’astreintes, étaient de ce fait devenus sans objet.
De la sorte, même si la Cour était amenée à statuer par rapport à un recours en réformation qui signifie que, normalement, elle doit se placer au moment où elle rend son arrêt pour juger de l'affaire, dans le cas précis de l'espèce, il s'agissait intégralement de statuer par rapport à des questions du passé.
Dans son arrêt du 12 mars 2026, la Cour a d’abord statué par rapport à des moyens de procédure, invoqués par l’appelante, en confirmant le tribunal par le rejet de ceux-ci, sauf à accueillir un point de l'appelante concernant le périmètre de l'instruction menée par la CNPD, les griefs tirés de l'article 21 du RGPD étant jugés par la Cour comme se trouvant hors périmètre et ne pouvant pas donner lieu à décision contre l’appelante.
La Cour a analysé par la suite les différentes violations du RGPD retenues par la CNPD dans sa décision querellée et entérinées par le tribunal. La Cour est globalement arrivée à la même conclusion que les premiers juges, sauf à écarter certains éléments ponctuels comme étant non vérifiés. Ces violations étaient constatées par rapport aux faits vérifiés au moment de l’ouverture de l’enquête, moment considéré comme pertinent par la CNPD dans sa décision.
La Cour a par la suite accueilli le moyen de l'appelante, au vu de l'aveu même de la CNPD, consistant à reprocher à celle-ci de ne pas avoir analysé le critère de la faute, à savoir la vérification de l’existence soit d’une violation intentionnelle du RGPD, sinon pour le moins d’une négligence vérifiée dans le chef du responsable du traitement des données par rapport aux violations du RGPD retenues.
Cependant, en application d'une jurisprudence de la Cour de justice de l’Union européenne (CJUE) depuis deux arrêts du 5 décembre 2023 (affaires « DEUTSCHE WOHNEN » et « NACIONALINIS », C-807/21 et C-683/21), il appartient à l’autorité de contrôle de faire l'analyse de l'existence d'un comportement fautif, qui peut consister soit en un acte délibéré, soit en une négligence du responsable du traitement des données à caractère personnel par rapport aux violations constatées du RGPD.
Il est de jurisprudence constante que les arrêts de la CJUE, sur les points d'application du droit de l'Union européenne, rétroagissent au jour de l’entrée en vigueur de cette législation et valaient dès lors également pour la CNPD au moment de la prise de la décision querellée.
Étant donné que de l'aveu de la CNPD celle-ci n'a pas effectué cette analyse, la Cour n'a pas pu statuer en dernière instance au contentieux sur la problématique en question et s'est trouvée forcée, afin de garantir le principe du recours effectif garanti notamment par le RGPD, de renvoyer l'affaire devant la CNPD afin qu'elle fasse pour une première fois l'analyse en question.
La Cour a encore retenu qu’une seconde analyse n’avait pas été opérée par la CNPD à sa juste mesure au regard des principes dégagés par la CJUE en la matière, à savoir celle du choix de la mesure la plus adéquate parmi l'éventail large de celles prévues par la réglementation en place. En effet, l’autorité de contrôle avait opéré une démarche consistant à prononcer quasi automatiquement, à la suite du constat des violations à la réglementation du RGPD, une amende.
Ici encore l'analyse afférente de l’autorité de contrôle devra être faite pour une première fois sur renvoi.
Afin de permettre à la CNPD de statuer à nouveau, notamment par rapport aux deux analyses à effectuer pour la première fois, la Cour a annulé la décision querellée de la CNPD du 15 juillet 2021 sous tous ses volets, étant entendu que la Cour a confirmé l'essentiel des violations du RGPD entrevues au moment de l’ouverture de l’enquête et que celles-ci sont aujourd’hui résorbées.
Dans les conditions données, la Cour a débouté les deux parties de leurs demandes en allocation d'une indemnité de procédure respectives.
Elle a en outre fait masse des frais et dépens des deux instances et les a imposés pour moitié à chacune des deux parties.