Le règlement général relatif à la protection des données (ci-après le « RGPD ») [1] dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat [2]. En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives [3]. Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées [4].
M. Maximillian Schrems, ressortissant autrichien résidant en Autriche, est un utilisateur de Facebook depuis 2008. Comme pour les autres utilisateurs résidant dans l’Union, les données à caractère personnel de M. Schrems sont, en tout ou en partie, transférées par Facebook Ireland vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement. M. Schrems a déposé une plainte auprès de l’autorité irlandaise de contrôle, visant, en substance, à faire interdire ces transferts. Il a soutenu que le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays. Cette plainte a été rejetée, au motif notamment que, dans sa décision 2000/520 [5], la Commission avait constaté que les États-Unis assuraient un niveau adéquat de protection. Par un arrêt rendu le 6 octobre 2015, la Cour, saisie d’une question préjudicielle posée par la High Court (Haute Cour, Irlande), a jugé cette décision invalide (ci-après l’« arrêt Schrems I ») [6].
À la suite de l’arrêt Schrems I et de l’annulation consécutive, par la juridiction irlandaise, de la décision rejetant la plainte de M. Schrems, l’autorité de contrôle irlandaise a invité celui-ci à reformuler sa plainte compte tenu de l’invalidation, par la Cour, de la décision 2000/520. Dans sa plainte reformulée, M. Schrems maintient que les États-Unis n’offrent pas de protection suffisante des données transférées vers ce pays. Il demande de suspendre ou d’interdire, pour l’avenir, les transferts de ses données à caractère personnel depuis l’Union vers les États-Unis, que Facebook Ireland réalise désormais sur le fondement des clauses types de protection figurant à l’annexe de la décision 2010/87 [7]. Estimant que le traitement de la plainte de M. Schrems dépend, notamment, de la validité de la décision 2010/87, l’autorité de contrôle irlandaise a initié une procédure devant la High Court aux fins que celle-ci soumette à la Cour une demande de décision préjudicielle. Après l’ouverture de cette procédure, la Commission a adopté la décision (UE) 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis [8].
Par sa demande de décision préjudicielle, la juridiction de renvoi interroge la Cour sur l’applicabilité du RGPD à des transferts de données à caractère personnel fondés sur des clauses types de protection figurant dans la décision 2010/87, sur le niveau de protection requis par ce règlement dans le cadre d’un tel transfert et sur les obligations incombant aux autorités de contrôle dans ce contexte. En outre, la High Court soulève la question de la validité tant de la décision 2010/87 que de la décision 2016/1250.
Par son arrêt de ce jour, la Cour constate que l’examen de la décision 2010/87 au regard de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») ne révèle aucun élément de nature à affecter sa validité. En revanche, elle déclare la décision 2016/1250 invalide.
La Cour estime, tout d’abord, que le droit de l’Union, et notamment le RGPD, s’applique à un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, même si, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités du pays tiers concerné. Elle précise que ce type de traitement de données par les autorités d’un pays tiers ne saurait exclure un tel transfert du champ d’application du RGPD.
En ce qui concerne le niveau de protection requis dans le cadre d’un tel transfert, la Cour juge que les exigences prévues à cet effet par les dispositions du RGPD, qui ont trait à des garanties appropriées, des droits opposables et des voies de droit effectives, doivent être interprétées en ce sens que les personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données doivent bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte. Dans ce contexte, elle précise que l’évaluation de ce niveau de protection doit prendre en compte tant les stipulations contractuelles convenues entre l’exportateur des données établi dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données ainsi transférées, les éléments pertinents du système juridique de celui-ci.
S’agissant des obligations incombant aux autorités de contrôle dans le contexte d’un tel transfert, la Cour juge que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission, ces autorités sont notamment obligées de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers lorsqu’elles estiment, au regard des circonstances propres à ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays et que la protection des données transférées, requise par le droit de l’Union, ne peut pas être assurée par d’autres moyens, à défaut pour l’exportateur établi dans l’Union d’avoir lui-même suspendu ou mis fin à un tel transfert.
La Cour examine ensuite la validité de la décision 2010/87. Selon la Cour, la validité de cette décision n’est pas remise en cause par le seul fait que les clauses types de protection des données figurant dans celle-ci ne lient pas, en raison de leur caractère contractuel, les autorités du pays tiers vers lequel un transfert des données pourrait être opéré. En revanche, précise-t-elle, cette validité dépend du point de savoir si ladite décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer. La Cour constate que la décision 2010/87 met en place de tels mécanismes.
À cet égard, elle souligne, notamment, que cette décision instaure une obligation pour l’exportateur des donnés et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est respecté dans le pays tiers concerné et qu’elle oblige ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier.
La Cour procède, enfin, à l’examen de la validité de la décision 2016/1250 au regard des exigences découlant du RGPD, lu à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective. À cet égard, la Cour relève que cette décision consacre, à l’instar de la décision 2000/520, la primauté des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine, rendant ainsi possibles des ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers.
Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire. En se fondant sur les constatations figurant dans cette décision, la Cour relève que, pour certains programmes de surveillance, ladite réglementation ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’elle comporte pour la mise en oeuvre de ces programmes, pas plus que l’existence de garanties pour des personnes non américaines potentiellement visées. La Cour ajoute que, si la même réglementation prévoit des exigences que les autorités américaines doivent respecter, lors de la mise en oeuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.
Quant à l’exigence de protection juridictionnelle, la Cour juge que, contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains. Pour toutes ces raisons, la Cour déclare la décision 2016/1250 invalide.
RAPPEL : Le renvoi préjudiciel permet aux juridictions des États membres, dans le cadre d’un litige dont elles sont saisies, d’interroger la Cour sur l’interprétation du droit de l’Union ou sur la validité d’un acte de l’Union. La Cour ne tranche pas le litige national. Il appartient à la juridiction nationale de résoudre l’affaire conformément à la décision de la Cour. Cette décision lie, de la même manière, les autres juridictions nationales qui seraient saisies d’un problème similaire.
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO 2016, L 119, p. 1).
[2] Article 45 du RGPD.
[3] Article 46, paragraphe 1 et paragraphe 2, sous c), du RGPD.
[4] Article 49 du RGPD.
[5] Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique (JO 2000, L 215, p. 7).
[6] Arrêt de la Cour du 6 octobre 2015, Schrems, C-362/14 (voir également CP no 117/15).
[7] Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO 2010, L 39, p. 5), telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission du 16 décembre 2016 (JO 2016, L 344, p. 100).
[8] Décision d’exécution de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis (JO 2016, L 207, p. 1).
Restez en contact
Suivez-nous sur les réseaux sociaux
Subscribe to weekly newsletter