Arrêt de la Cour (grande chambre) du 6 octobre 2015 (demande de décision préjudicielle de la High Court (Irlande) - Irlande) – Maximillian Schrems / Data Protection Commissioner

(Affaire C-362/14)1

(Renvoi préjudiciel – Données à caractère personnel – Protection des personnes physiques à l’égard du traitement de ces données – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Directive 95/46/CE – Articles 25 et 28 – Transfert de données à caractère personnel vers des pays tiers – Décision 2000/520/CE – Transfert de données à caractère personnel vers les États-Unis – Niveau de protection inadéquat – Validité – Plainte d’une personne physique dont les données ont été transférées depuis l’Union européenne vers les États-Unis – Pouvoirs des autorités nationales de contrôle)

Langue de procédure: l’anglais

Juridiction de renvoi

High Court (Irlande)

Parties dans la procédure au principal

Partie requérante: Maximillian Schrems

Partie défenderesse: Data Protection Commissioner

Dispositif

L’article 25, paragraphe 6, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, telle que modifiée par le règlement (CE) n° 1882/2003 du Parlement européen et du Conseil, du 29 septembre 2003, lu à la lumière des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’une décision adoptée au titre de cette disposition, telle que la décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46 relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique, par laquelle la Commission européenne constate qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre, au sens de l’article 28 de cette directive, telle que modifiée, examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n’assurent pas un niveau de protection adéquat.

La décision 2000/520 est invalide.

____________

1 JO C 351 du 06.10.2014