DOCUMENT DE TRAVAIL
ORDONNANCE DU TRIBUNAL (deuxième chambre)
22 novembre 2017 (*)
« Recours en annulation – Espace de liberté, de justice et de sécurité – Protection des personnes physiques à l’égard du traitement des données personnelles – Transfert des données à caractère personnel vers les États‑Unis – Société à but non lucratif de droit irlandais – Absence de protection des données personnelles pour les personnes morales – Responsable du traitement – Recours au nom de membres et de soutiens – Recours dans l’intérêt du public – Irrecevabilité »
Dans l’affaire T‑670/16,
Digital Rights Ireland Ltd, établie à Bennettsbridge (Irlande), représentée par M. E. McGarr, solicitor,
partie requérante,
contre
Commission européenne, représentée par MM. H. Kranenborg et D. Nardi, en qualité d’agents,
partie défenderesse,
ayant pour objet une demande fondée sur l’article 263 TFUE et tendant à l’annulation de la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE/États-Unis (JO 2016, L 207, p. 1),
LE TRIBUNAL (deuxième chambre),
composé de MM. M. Prek, président, E. Buttigieg et B. Berke (rapporteur), juges,
greffier : M. E. Coulon,
rend la présente
Ordonnance
Antécédents du litige
1 En vertu de l’article 25, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de cette directive, le pays tiers en question assure un niveau de protection adéquat.
2 Aux termes de l’article 25, paragraphe 5, de la directive 95/46, si la Commission européenne constate qu’un pays tiers n’assure pas un niveau de protection adéquat, elle doit engager des négociations en vue de remédier à cette situation.
3 En outre, l’article 25, paragraphe 6, de la directive 95/46 prévoit que la Commission peut constater qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 de cet article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.
4 À la suite de l’arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650), ayant déclaré invalide la décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46, relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États‑Unis d’Amérique (JO 2000, L 215, p. 7), la Commission a engagé des négociations avec cet État dans la perspective d’un renforcement de la protection des données personnelles transférées depuis l’Union européenne.
5 Après l’examen de la législation des États‑Unis d’Amérique et de leurs engagements officiels, la Commission a adopté la décision d’exécution (UE) 2016/1250, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE/États‑Unis (JO 2016, L 207, p. 1, ci-après la « décision attaquée ») par laquelle elle a constaté, en substance, que les États‑Unis d’Amérique assuraient un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États‑Unis dans le cadre du bouclier de protection des données UE/États‑Unis (ci-après le « bouclier de protection »).
6 La décision attaquée a pour effet d’autoriser le transfert vers les États‑Unis de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, vers des organisations établies dans cet État qui ont adhéré au bouclier de protection.
Procédure et conclusions des parties
7 Le 16 septembre 2016, le présent recours a été introduit par la requérante, Digital Rights Ireland. Cette dernière est une société à but non lucratif de droit irlandais qui a pour objet, en substance, la défense des libertés individuelles sur Internet.
8 Par actes déposés au greffe du Tribunal les 12, 14, 16, 20, 22 et 29 décembre 2016, la République tchèque, la République fédérale d’Allemagne, l’Irlande, le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord, les États-Unis d’Amérique, le Royaume des Pays-Bas, Business Software Alliance (BSA), la République française et Microsoft Corporation ont demandé à intervenir au soutien des conclusions de la Commission.
9 Par actes déposés au greffe du Tribunal les 19 et 22 décembre 2016, la Quadrature du Net, French Data Network, la Fédération des Fournisseurs d’Accès à Internet Associatifs et l’Union fédérale des consommateurs ‑ Que choisir (UFC ‑ Que choisir) ont demandé à intervenir au soutien des conclusions de Digital Rights Ireland.
10 Par acte séparé déposé au greffe du Tribunal le 23 décembre 2016, la Commission a soulevé une exception d’irrecevabilité au titre de l’article 130 du règlement de procédure du Tribunal.
11 Le 15 février 2017, la requérante a présenté ses observations sur cette exception d’irrecevabilité.
12 Le 18 juillet 2017, le Tribunal a interrogé la requérante sur l’existence pour elle d’un intérêt à agir à l’encontre de la décision attaquée.
13 Le 1er août 2017, la requérante a répondu à la question du Tribunal.
14 La requérante conclut à ce qu’il plaise au Tribunal :
– déclarer le recours recevable ;
– condamner la Commission aux dépens.
15 La Commission conclut à ce qu’il plaise au Tribunal :
– déclarer le recours irrecevable ;
– condamner la requérante aux dépens ;
En droit
16 Aux termes de l’article 130, paragraphe 1, du règlement de procédure, si une partie le demande, le Tribunal peut statuer sur l’exception d’irrecevabilité sans engager le débat au fond. En application de l’article 130, paragraphe 6, dudit règlement, le Tribunal peut décider d’ouvrir la phase orale sur cette demande.
17 En l’espèce, le Tribunal s’estime suffisamment éclairé par les pièces du dossier et par la réponse de la requérante à la question posée et décide qu’il n’y a pas lieu d’ouvrir la procédure orale.
18 En vertu de l’article 263, quatrième alinéa, TFUE, « [t]oute personne physique ou morale peut former, dans les conditions prévues aux premier et deuxième alinéas, un recours contre les actes dont elle est le destinataire ou qui la concernent directement et individuellement, ainsi que contre les actes réglementaires qui la concernent directement et qui ne comportent pas de mesures d’exécution ».
19 En outre, un recours en annulation intenté par une personne physique ou morale n’est recevable que dans la mesure où le requérant a un intérêt à voir annuler l’acte attaqué (voir ordonnance du 26 mars 2014, Adorisio e.a./Commission, T‑321/13, non publiée, EU:T:2014:175, point 20 et jurisprudence citée).
20 Un tel intérêt suppose que l’annulation de cet acte soit susceptible, par elle-même, d’avoir des conséquences juridiques ou que le recours soit susceptible, par son résultat, de procurer un bénéfice à la partie qui l’a intenté (voir, en ce sens, arrêt du 28 mai 2013, Abdulrahim/Conseil et Commission, C‑239/12 P, EU:C:2013:331, point 61, et ordonnance du 26 mars 2014, Adorisio e.a./Commission, T‑321/13, non publiée, EU:T:2014:175, point 21 et jurisprudence citée).
21 La requérante estime qu’elle est recevable à introduire un recours tant en son nom propre qu’au nom de ses membres, de ses soutiens et du public en général.
Sur la recevabilité du recours intenté par la requérante en son nom propre
22 Afin de démontrer le caractère recevable du recours en son nom propre, la requérante avance trois séries d’arguments. Le Tribunal estime qu’il convient de vérifier si ceux-ci permettent de démontrer l’existence d’un intérêt à agir au sens de la jurisprudence citée aux points 19 et 20 ci-dessus.
23 En premier lieu, la requérante fait valoir que, dans la mesure où elle possède un téléphone portable et un ordinateur, ses propres données personnelles sont susceptibles d’être transférées aux États-Unis en application de la décision attaquée.
24 Toutefois, en sa qualité de personne morale, la requérante ne possède pas de données personnelles au sens de la directive 95/46 laquelle ne prévoit une protection des données personnelles qu’au profit des personnes physiques.
25 En outre, en vertu de la jurisprudence, dans la mesure où la protection des données à caractère personnel garantie par l’article 8 de la charte des droits fondamentaux de l’Union européenne se rapporte à toute information concernant une personne physique identifiée ou identifiable, les personnes morales ne peuvent se prévaloir de cette disposition que dans la mesure où le nom légal de la personne morale identifie une ou plusieurs personnes physiques (voir, en ce sens, arrêts du 9 novembre 2010, Volker und Markus Schecke et Eifert, C‑92/09 et C‑93/09, EU:C:2010:662, points 52 et 53, et du 17 décembre 2015, WebMindLicenses, C‑419/14, EU:C:2015:832, point 79).
26 Dès lors que la requérante est une personne morale et que son nom légal n’identifie aucune personne physique, elle ne peut pas se prévaloir de la protection de données personnelles.
27 La décision attaquée n’est ainsi pas susceptible de porter atteinte à un éventuel droit à la protection des données personnelles de la requérante.
28 L’annulation de la décision attaquée n’est donc pas de nature à avoir, par elle-même, des conséquences juridiques pour la requérante ou de lui procurer un avantage à cet égard.
29 En deuxième lieu, selon la requérante, la décision attaquée affecte sa situation en tant que responsable du traitement des données personnelles de ses soutiens.
30 À cet égard, l’article 2, sous b), de la directive 95/46 définit le traitement de données à caractère personnel comme toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
31 En outre, aux termes de l’article 2, sous d), de cette directive, un responsable du traitement est défini comme la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.
32 Il ressort également du considérant 47 de ladite directive que, lorsqu’un message contenant des données à caractère personnel est transmis via un service de télécommunications ou de courrier électronique dont le seul objet est de transmettre des messages de ce type, c’est la personne dont émane le message, et non celle qui offre le service de transmission, qui sera normalement considérée comme responsable du traitement de données à caractère personnel contenues dans le message. Toutefois, les personnes qui offrent ces services seront normalement considérées comme responsables du traitement des données à caractère personnel supplémentaires nécessaires au fonctionnement du service.
33 En collectant les données personnelles de ses soutiens et, le cas échéant, en les transmettant par courrier électronique, la requérante agit donc comme le responsable du traitement de ces données.
34 Toutefois, le considérant 14 de la décision attaquée précise que le bouclier de protection s’applique aux organisations américaines, qu’elles agissent comme responsable du traitement ou comme sous-traitant. Il ressort également du considérant 15 de cette décision que les principes du bouclier de protection ne s’appliquent au traitement des données personnelles par une organisation américaine que dans la mesure où ce traitement ne relève pas du champ d’application de la législation de l’Union et que le bouclier de protection ne porte pas atteinte à l’application de la législation de l’Union régissant le traitement des données à caractère personnel dans les États membres.
35 Dès lors, la décision attaquée ne s’applique aux responsables du traitement européens que dans la mesure où elle les autorise à procéder à des transferts à destination des organisations des États-Unis ayant adhéré au bouclier de protection.
36 La décision attaquée a donc pour effet d’octroyer à la requérante le droit de procéder à des transferts à certaines conditions. Elle ne restreint pas ses droits, ni ne lui impose d’obligations.
37 Par conséquent, l’annulation de la décision attaquée n’est pas susceptible de lui procurer un avantage en tant que responsable du traitement.
38 En troisième lieu, la requérante allègue l’existence d’un risque que l’utilisation de services de communication électronique aux fins du traitement des données dont elle est responsable entraîne leur transfert aux États-Unis par un prestataire de ces services.
39 Elle fait ainsi valoir, en substance, qu’elle se mettrait elle-même dans l’illégalité si elle devait faire application de la décision attaquée et en déduit que la décision attaquée porterait atteinte à son obligation, prévue à l’article 17 de la directive 95/46 et par le droit irlandais, d’assurer le traitement légal des données dont elle est responsable du traitement
40 Toutefois, un tel transfert des données dont elle a la charge serait, par nature, effectué par un service de communication électronique en conformité avec la réglementation applicable, telle qu’elle découle notamment de la décision attaquée.
41 Dans ces conditions, ce transfert ne saurait être considéré comme une violation, par la requérante, de son obligation d’assurer le traitement légal des données dont elle a la charge. En effet, il ne pourrait être reproché à la requérante de violer son obligation de traitement légal en ayant procédé à un transfert de données à caractère personnel conforme à la règlementation applicable.
42 Dès lors que l’application de la décision attaquée dans la situation avancée par la requérante n’aboutirait pas à la violation de ses obligations, l’annulation de cette décision n’est pas non plus de nature à lui procurer un avantage à cet égard.
43 La requérante ne dispose donc pas d’un intérêt à agir.
44 Dans ces conditions, il n’y a pas lieu de se prononcer sur les arguments de la requérante relatifs à son affectation individuelle ou sur la qualification de la décision attaquée comme acte ne comportant pas de mesures d’exécution au sens de l’article 263, quatrième alinéa, dernier membre de phrase, TFUE.
Sur la recevabilité du recours intenté par la requérante au nom de ses membres, de ses soutiens et du public en général
45 En vertu d’une jurisprudence constante, les recours formés par des associations sont recevables dans trois situations, à savoir lorsqu’elles représentent les intérêts de personnes qui, elles, seraient recevables à agir, ou lorsqu’elles sont individualisées en raison de l’affectation de leurs intérêts propres en tant qu’association, notamment parce que leur position de négociateur a été affectée par l’acte dont l’annulation est demandée, ou encore lorsqu’une disposition légale leur reconnaît expressément une série de facultés à caractère procédural (voir ordonnance du 23 novembre 2015, Milchindustrie-Verband et Deutscher Raiffeisenverband/Commission, T‑670/14, EU:T:2015:906, point 14 et jurisprudence citée).
46 À cet égard, la requérante prétend, d’une part, représenter les intérêts de ses membres et soutiens et, d’autre part, agir dans l’intérêt du public sur le fondement de dispositions de droit de l’Union qui auraient ouvert la possibilité d’intenter des actio popularis dans l’intérêt général.
47 Tout d’abord, ainsi que le fait valoir la Commission sans être contredite par la requérante, force est de constater que cette dernière n’est pas une association et qu’elle ne peut, partant, se prévaloir de la jurisprudence relative à la recevabilité des recours des associations intentés au nom de leurs membres.
48 En tout état de cause, dans la mesure où la requérante prétend introduire le présent recours au nom de ses membres et de ses soutiens, il y a lieu de relever qu’elle ne démontre pas avoir été habilitée à intenter des recours en justice au nom et pour le compte de ces derniers aux fins de la protection de leurs données personnelles.
49 Par ailleurs, son implication dans des procédures juridictionnelles nationales et de l’Union ne permet pas non plus d’établir la qualité pour agir de la requérante dès lors qu’elle ne lui a pas conféré une position de négociateur clairement circonscrite dans la procédure ayant abouti à l’adoption de la décision attaquée au sens de la jurisprudence (voir, en ce sens, arrêts du 2 février 1988, Kwekerij van der Kooy e.a./Commission, 67/85, 68/85 et 70/85, EU:C:1988:38, point 21 ; du 24 mars 1993, CIRFS e.a./Commission, C‑313/90, EU:C:1993:111, point 30, et du 9 juillet 2009, 3F/Commission, C‑319/07 P, EU:C:2009:435, point 88).
50 Ensuite, il découle de l’existence de conditions de recevabilité spécifiques pour les recours en annulation formés par des particuliers, prévues à l’article 263 TFUE, que le droit de l’Union ne permet pas, en principe, la possibilité pour un requérant d’introduire une actio popularis dans l’intérêt général.
51 À cet égard, l’article 10 bis de la directive 85/337/CEE du Conseil, du 27 juin 1985, concernant l’évaluation des incidences de certains projets publics et privés sur l’environnement (JO 1985, L 175, p. 40), telle que modifiée par la directive 2003/35/CE du Parlement européen et du Conseil, du 26 mai 2003 (JO 2003, L 156, p. 17), et l’article 9, paragraphe 3, de la convention sur l’accès à l’information, la participation du public au processus décisionnel et l’accès à la justice en matière d’environnement, signée à Aarhus le 25 juin 1998, invoqués par la requérante, ne sont pas applicables à la protection des données personnelles.
52 Enfin, en ce qui concerne l’argument de la requérante tiré de ce que son recours devrait être déclaré recevable en application du considérant 142 et de l’article 80, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 février 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données) (JO 2016, L 119, p. 1), en vertu duquel, les États membres peuvent prévoir que tout organisme, organisation ou association, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente s’il considère que les droits d’une personne concernée prévus dans ce règlement ont été violés du fait d’un traitement, il suffit de constater que ce règlement ne sera applicable qu’à partir du 25 mai 2018.
53 Par conséquent, la requérante ne dispose pas d’une qualité pour agir au nom de ses membres et soutiens ou au nom du public en général.
54 Le recours est donc irrecevable.
Sur les demandes d’intervention
55 Conformément à l’article 142, paragraphe 2, du règlement de procédure, l’intervention est accessoire au litige au principal et perd son objet, notamment, lorsque la requête est déclarée irrecevable.
56 Par conséquent, il n’y a plus lieu de statuer sur les demandes en intervention.
Sur les dépens
57 Aux termes de l’article 134, paragraphe 1, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens.
58 La requérante ayant succombé, il convient de la condamner aux dépens, conformément aux conclusions de la Commission.
59 En vertu de l’article 144, paragraphe 10, du règlement de procédure, s’il est mis fin à l’instance dans l’affaire principale avant qu’il soit statué sur une demande en intervention, le demandeur en intervention supporte ses propres dépens.
60 En l’espèce, la République tchèque, la République fédérale d’Allemagne, l’Irlande, le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord, les États-Unis d’Amérique, le Royaume des Pays-Bas, la République française, BSA, Microsoft Corporation, la Quadrature du Net, French Data Network, la Fédération des Fournisseurs d’Accès à Internet Associatifs et UFC ‑ Que choisir supporteront donc leurs propres dépens.
Par ces motifs,
LE TRIBUNAL (deuxième chambre)
ordonne :
1) Le recours est irrecevable.
2) Il n’y a plus lieu de statuer sur les demandes en intervention de la République tchèque, de la République fédérale d’Allemagne, de l’Irlande, du Royaume-Uni de Grande-Bretagne et d’Irlande du Nord, des États-Unis d’Amérique, du Royaume des Pays-Bas, de la République française, de Business Software Alliance (BSA), de Microsoft Corporation, de la Quadrature du Net, de French Data Network, de la Fédération des Fournisseurs d’Accès à Internet Associatifs et de l’Union fédérale des consommateurs ‑ Que choisir (UFC ‑ Que choisir).
3) Digital Rights Ireland Ltd est condamnée aux dépens à l’exception de ceux afférents aux demandes d’intervention.
4) La République tchèque, la République fédérale d’Allemagne, l’Irlande, le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord, les États-Unis d’Amérique, le Royaume des Pays-Bas, la République française, BSA, Microsoft Corporation, la Quadrature du Net, French Data Network, la Fédération des Fournisseurs d’Accès à Internet Associatifs et UFC ‑ Que choisir supporteront leurs propres dépens afférents aux demandes d’intervention.
Fait à Luxembourg, le 22 novembre 2017.