Demande de décision préjudicielle présentée par la High Court (Irlande) le 9 mai 2018 – Data Protection Commissioner / Facebook Ireland Limited, Maximilian Schrems

(Affaire C-311/18)

Langue de procédure : l’anglais

Juridiction de renvoi

High Court (Irlande)

Parties dans la procédure au principal

Partie requérante : Data Protection Commissioner

Parties défenderesses : Facebook Ireland Limited, Maximilian Schrems

Questions préjudicielles

1.    Lorsque des données à caractère personnel sont transférées, à des fins commerciales, par une société privée d’un État membre de l’Union européenne (UE) à une société privée dans un pays tiers conformément à la décision 2010/87/UE 1 telle que modifiée par la décision de la Commission 2016/2297 2 (« la décision CCT ») et sont susceptibles d’être ensuite traitées par les autorités du pays tiers à des fins de sécurité nationale mais également de maintien de l’ordre public et de conduite des affaires étrangères du pays tiers, le droit de l’Union [y inclus la charte des droits fondamentaux de l’Union européenne (« la Charte »)] est-il applicable au transfert des données, nonobstant les dispositions de l’article 4, paragraphe 2, TUE relatives à la sécurité nationale et les dispositions du premier tiret de l’article 3, paragraphe 2, de la directive 95/46/CE 3 (« la directive ») relatives à la sécurité publique, la défense et la sûreté de l’État ?

2.    1) Pour déterminer si le transfert de données, conformément à la décision CCT, de l’UE vers un pays tiers où ces données sont susceptibles d’être ensuite traitées à des fins de sécurité nationale, viole les droits d’un particulier, l’instrument de comparaison pertinent aux fins de la directive est-il :

a)    la Charte, le TUE, le TFUE, la directive, la Convention européenne des droits de l’homme (ou toute autre disposition du droit de l’UE) ; ou

b)    la législation interne d’un ou de plusieurs États membres ?

2)    Si l’instrument de comparaison pertinent est b), les pratiques en matière de sécurité nationale dans un ou plusieurs États membres doivent-elles également être incluses dans l’instrument de comparaison ?

3.    Pour évaluer si un pays tiers garantit aux données à caractère personnel qui y sont transférées le niveau de protection requis par le droit de l’Union aux fins de l’article 26 de la directive, convient-il de se référer :

a)    aux règles applicables dans le pays tiers résultant de son droit interne ou de ses engagements internationaux, et à la pratique visant à assurer le respect de ces règles, y compris les règles professionnelles et les mesures de sécurité qui sont observées dans le pays tiers ;

ou

b)    aux règles mentionnées sous a), auxquelles s’ajoutent les pratiques administratives, réglementaires et de conformité ainsi que les garanties, procédures, protocoles, mécanismes de surveillance et recours extra-judiciaires tels qu’ils existent dans le pays tiers ?

4.    Compte tenu des faits établis par la High Court (Haute Cour, Irlande) concernant le droit des États-Unis, le transfert des données à caractère personnel de l’UE vers les États-Unis conformément à la décision CCT viole-t-il les droits des particuliers protégés par les articles 7 ou 8 de la Charte ?

5.    Compte tenu des faits établis par la High Court (Haute Cour) concernant le droit des États-Unis, si des données à caractère personnel sont transférées de l’UE vers les États-Unis conformément à la décision CCT :

a)    Le niveau de protection accordé par les États-Unis respecte-t-il le contenu essentiel du droit d’un particulier à un recours juridictionnel pour violation de ses droits à la confidentialité des données garanti par l’article 47 de la Charte ?

En cas de réponse affirmative à la question sous a) :

b)    Les limitations imposées par le droit des États-Unis au droit d’un particulier à un recours juridictionnel sont-elles, dans le contexte de la sécurité nationale des États-Unis, proportionnées au sens de l’article 52 de la Charte et n’excèdent-t-elles pas ce qui est nécessaire à des fins de sécurité nationale dans une société démocratique ?

6.    1) À la lumière des dispositions de la directive et en particulier des articles 25 et 26 lus à la lumière de la Charte, quel est le niveau de protection requis à accorder aux données à caractère personnel transférées dans un pays tiers en vertu de clauses contractuelles types adoptées conformément à une décision de la Commission au titre de l’article 26, paragraphe 4 ?

2) Quels sont les aspects à prendre en compte pour évaluer si le niveau de protection accordé aux données transférées dans un pays tiers conformément à la décision CCT satisfait aux exigences de la directive et de la Charte ?

7.    Le fait que les clauses contractuelles types s’appliquent entre l’exportateur et l’importateur de données et ne lient pas les autorités nationales d’un pays tiers qui peuvent exiger de l’importateur qu’il mette à la disposition de ses services de sécurité, pour traitement ultérieur, les données à caractère personnel transférées conformément aux clauses prévues dans la décision CCT, exclut-il que ces clauses offrent des garanties suffisantes telles qu’envisagées à l’article 26, paragraphe 2, de la directive ?

8.    Si un importateur de données d’un pays tiers est soumis à des règles de surveillance qui, du point de vue d’une autorité en charge de la protection des données, enfreignent les clauses de l’annexe à la décision CCT ou les articles 25 et 26 de la directive ou la Charte, une autorité en charge de la protection des données est-elle tenue de faire usage de ses pouvoirs d’exécution au titre de l’article 28, paragraphe 3, de la directive afin de suspendre les flux de données, ou l’exercice de ces pouvoirs est-il limité aux seuls cas exceptionnels, à la lumière du onzième considérant de la [décision 2010/87/UE], ou bien une autorité en charge de la protection des données peut-elle exercer son pouvoir discrétionnaire pour ne pas suspendre les flux de données ?

9.    1) Aux fins de l’article 25, paragraphe 6, de la directive, la décision 2016/1250 4 (« la décision bouclier ») constitue-t-elle une constatation d’application générale liant les autorités en charge de la protection des données et les juridictions des États membres, selon laquelle les États-Unis assurent un niveau de protection adéquat au sens de l’article 25, paragraphe 2, de la directive en raison de leur droit interne ou de leurs engagements internationaux ?

2) Si tel n’est pas le cas, quelle est la pertinence, le cas échéant, de la décision bouclier pour l’appréciation du caractère suffisant des garanties offertes aux données transférées aux États-Unis conformément à la décision CCT ?

10.    Compte tenu des conclusions de la High Court (Haute Cour) en ce qui concerne le droit des États-Unis, la mise en place du médiateur « bouclier de protection des données » conformément à l’annexe A de l’annexe III de la décision bouclier, en combinaison avec le régime existant aux États-Unis, garantit-elle que les États-Unis offrent un recours compatible avec l’article 47 de la Charte aux personnes dont les données à caractère personnel sont transférées aux États-Unis conformément à la décision CCT ?

11.    La décision CCT viole-t-elle les articles 7, 8 ou 47 de la Charte ?

____________

1     Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO 2010, L 39, p. 5).

2     Décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, modifiant les décisions 2001/497/CE et 2010/87/UE relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers et vers des sous-traitants établis dans ces pays, en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO 2016, L 344, p. 100).

3     Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

4     Décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (JO 2016, L 207, p. 1).