Affaire C‑362/14

Maximillian Schrems

contre

Data Protection Commissioner

[demande de décision préjudicielle, introduite par la High Court (Irlande)]

«Renvoi préjudiciel – Données à caractère personnel – Protection des personnes physiques à l’égard du traitement de ces données – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Directive 95/46/CE – Articles 25 et 28 – Transfert de données à caractère personnel vers des pays tiers – Décision 2000/520/CE – Transfert de données à caractère personnel vers les États-Unis – Niveau de protection inadéquat – Validité – Plainte d’une personne physique dont les données ont été transférées depuis l’Union européenne vers les États-Unis – Pouvoirs des autorités nationales de contrôle»

Sommaire – Arrêt de la Cour (grande chambre) du 6 octobre 2015

1.        Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Interprétation à la lumière des droits fondamentaux

(Charte des droits fondamentaux de l’Union européenne; directive du Parlement européen et du Conseil 95/46)

2.        Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Autorités nationales de contrôle – Exigence d’indépendance

(Art. 16, § 2, TFUE; charte des droits fondamentaux de l’Union européenne, art. 8, § 3; directive du Parlement européen et du Conseil 95/46, 62e considérant et art. 28, § 1)

3.        Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Autorités nationales de contrôle – Pouvoirs – Contrôle des transferts de données à caractère personnel vers des pays tiers – Inclusion

(Charte des droits fondamentaux de l’Union européenne, art. 8, § 3; directive du Parlement européen et du Conseil 95/46, art. 28)

4.        Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Transfert de données à caractère personnel vers des pays tiers – Adoption par la Commission d’une décision constatant un niveau de protection adéquat dans un pays tiers – Décision ayant un caractère contraignant pour tous les États membres destinataires – Examen de la validité d’une telle décision – Rôles respectifs des autorités nationales de contrôle et des juridictions nationales

(Art. 288, al. 4, TFUE; charte des droits fondamentaux de l’Union européenne, art. 8, § 3, et 47; directive du Parlement européen et du Conseil 95/46, art. 25, § 6, et 28, § 3 et 4)

5.        Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Transfert de données à caractère personnel vers des pays tiers – Adoption par la Commission d’une décision constatant un niveau de protection adéquat dans un pays tiers – Autorité nationale de contrôle saisie d’une demande relative à la protection des droits et libertés à l’égard du traitement des données transférées concernant le demandeur – Demandeur contestant le niveau de protection adéquat dans ce pays tiers – Obligation pour ladite autorité d’examiner la demande – Portée de l’examen

(Charte des droits fondamentaux de l’Union européenne, art. 7, 8 et 47; directive du Parlement européen et du Conseil 95/46, art. 25, § 6, et 28)

6.        Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Transfert de données à caractère personnel vers des pays tiers – Adoption par la Commission d’une décision constatant un niveau de protection adéquat dans un pays tiers – Notion de niveau de protection adéquat – Critères d’appréciation – Pouvoir d’appréciation de la Commission

(Directive du Parlement européen et du Conseil 95/46, art. 25, § 2 et 6)

7.        Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Transfert de données à caractère personnel vers des pays tiers – Adoption par la Commission d’une décision constatant un niveau de protection adéquat dans un pays tiers – Décision 2000/520 constatant un niveau de protection adéquat aux États-Unis – Invalidité

(Charte des droits fondamentaux de l’Union européenne; directive du Parlement européen et du Conseil 95/46, art. 25, § 6, et 28; décision de la Commission 2000/520, art. 1er à 4)

8.        Droits fondamentaux – Respect de la vie privée – Protection des données à caractère personnel – Réglementation de l’Union comportant une ingérence dans ces droits fondamentaux – Conditions – Garanties suffisantes contre les risques d’abus – Respect du principe de proportionnalité

(Charte des droits fondamentaux de l’Union européenne, art. 7 et 8)

1.        Voir le texte de la décision.

(cf. point 38)

2.        Voir le texte de la décision.

(cf. points 40, 41)

3.        Les autorités nationales de contrôle disposent d’un large éventail de pouvoirs et ceux-ci, énumérés de façon non exhaustive à l’article 28, paragraphe 3, de la directive 95/46, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, constituent autant de moyens nécessaires à l’exécution de leurs tâches, comme le souligne le considérant 63 de cette directive. Ainsi, lesdites autorités jouissent, notamment, de pouvoirs d’investigation, tels que celui de recueillir toutes les informations nécessaires à l’accomplissement de leur mission de contrôle, de pouvoirs effectifs d’intervention, tels que celui d’interdire temporairement ou définitivement un traitement de données, ou encore du pouvoir d’ester en justice.

S’agissant du pouvoir de contrôler les transferts de données à caractère personnel vers les pays tiers, il ressort, certes, de l’article 28, paragraphes 1 et 6, de la directive 95/46 que les pouvoirs des autorités nationales de contrôle concernent les traitements de données à caractère personnel effectués sur le territoire de l’État membre dont ces autorités relèvent, de sorte qu’elles ne disposent pas de pouvoirs, sur le fondement de cet article 28, à l’égard des traitements de telles données effectués sur le territoire d’un pays tiers. Toutefois, l’opération consistant à faire transférer des données à caractère personnel depuis un État membre vers un pays tiers constitue, en tant que telle, un traitement de données à caractère personnel au sens de l’article 2, sous b), de la directive 95/46 effectué sur le territoire d’un État membre. Par conséquent, les autorités nationales de contrôle étant, conformément à l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne et à l’article 28 de la directive 95/46, chargées du contrôle du respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, chacune d’entre elles est investie de la compétence de vérifier si un transfert de ces données depuis l’État membre dont elle relève vers un pays tiers respecte les exigences posées par cette directive.

(cf. points 43-45, 47)

4.        La Commission peut adopter, sur le fondement de l’article 25, paragraphe 6, de la directive 95/46, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, une décision constatant qu’un pays tiers assure un niveau de protection adéquat. Une telle décision a, conformément au second alinéa de cette disposition, pour destinataires les États membres qui doivent prendre les mesures nécessaires pour se conformer à celle-ci. En vertu de l’article 288, quatrième alinéa, TFUE, elle a un caractère contraignant pour tous les États membres destinataires et s’impose donc à tous leurs organes, en ce qu’elle a pour effet d’autoriser des transferts de données à caractère personnel depuis les États membres vers le pays tiers visé par celle-ci.

Ainsi, aussi longtemps que la décision de la Commission n’a pas été déclarée invalide par la Cour, seule compétente pour constater l’invalidité d’un acte de l’Union, les États membres et leurs organes, au nombre desquels figurent leurs autorités de contrôle indépendantes, ne sauraient, certes, adopter des mesures contraires à cette décision, telles que des actes visant à constater avec effet contraignant que le pays tiers visé par ladite décision n’assure pas un niveau de protection adéquat. En effet, les actes des institutions de l’Union jouissent, en principe, d’une présomption de légalité et produisent, dès lors, des effets juridiques aussi longtemps qu’ils n’ont pas été retirés, annulés dans le cadre d’un recours en annulation ou déclarés invalides à la suite d’un renvoi préjudiciel ou d’une exception d’illégalité.

Si les juridictions nationales sont, certes, en droit d’examiner la validité d’un acte de l’Union, elles ne sont toutefois pas dotées de la compétence pour constater elles-mêmes l’invalidité d’un tel acte. A fortiori, lors de l’examen d’une demande, au sens de l’article 28, paragraphe 4, de cette directive, portant sur la compatibilité d’une telle décision de la Commission avec la protection de la vie privée et des libertés et droits fondamentaux des personnes, les autorités nationales de contrôle ne sont pas en droit de constater elles-mêmes l’invalidité d’une telle décision.

Dans l’hypothèse où ladite autorité parvient à la conclusion que les éléments avancés au soutien d’une telle demande sont dépourvus de fondement et rejette, de ce fait, cette dernière, la personne ayant introduit ladite demande doit, ainsi qu’il résulte de l’article 28, paragraphe 3, second alinéa, de la directive 95/46, lu à la lumière de l’article 47 de la charte des droits fondamentaux de l’Union européenne, avoir accès aux voies de recours juridictionnelles lui permettant de contester une telle décision lui faisant grief devant les juridictions nationales. Dans ces conditions, ces juridictions sont tenues de surseoir à statuer et de saisir la Cour d’une procédure de renvoi préjudiciel en appréciation de validité lorsqu’elles considèrent qu’un ou plusieurs moyens d’invalidité avancés par les parties ou, le cas échéant, soulevés d’office sont fondés.

Dans l’hypothèse contraire, où ladite autorité estime fondés les griefs avancés par la personne l’ayant saisie d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de ses données à caractère personnel, cette même autorité doit, conformément à l’article 28, paragraphe 3, premier alinéa, troisième tiret, de la directive 95/46, lu à la lumière notamment de l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne, pouvoir ester en justice. À cet égard, il incombe au législateur national de prévoir des voies de recours permettant à l’autorité nationale de contrôle concernée de faire valoir les griefs qu’elle estime fondés devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité de la décision de la Commission, à un renvoi préjudiciel aux fins de l’examen de la validité de cette décision.

(cf. points 51, 52, 61, 62, 64, 65)

5.        L’article 25, paragraphe 6, de la directive 95/46, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lu à la lumière des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’une décision adoptée au titre de cette disposition, par laquelle la Commission constate qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre, au sens de l’article 28 de cette directive, examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n’assurent pas un niveau de protection adéquat.

S’il en était autrement, les personnes dont les données à caractère personnel ont été ou pourraient être transférées vers le pays tiers concerné seraient privées du droit, garanti à l’article 8, paragraphes 1 et 3, de la charte des droits fondamentaux de l’Union européenne, de saisir les autorités nationales de contrôle d’une demande aux fins de la protection de leurs droits fondamentaux.

En outre, une demande, au sens de l’article 28, paragraphe 4, de la directive 95/46, par laquelle une telle personne fait valoir que le droit et les pratiques de ce pays n’assurent pas, nonobstant ce qu’a constaté la Commission dans une décision adoptée au titre de l’article 25, paragraphe 6, de cette directive, un niveau de protection adéquat, doit être comprise comme portant, en substance, sur la compatibilité de cette décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes. Dans ces conditions, lorsqu’une personne, dont les données à caractère personnel ont été ou pourraient être transférées vers un pays tiers ayant fait l’objet d’une décision de la Commission au titre de l’article 25, paragraphe 6, de la directive 95/46, saisit une autorité nationale de contrôle d’une telle demande, il incombe à cette autorité d’examiner ladite demande avec toute la diligence requise.

(cf. points 58, 59, 63, 66 et disp. 1)

6.        L’expression «niveau de protection adéquat» figurant à l’article 25, paragraphe 6, de la directive 95/46, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être comprise comme exigeant que ce pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de cette directive, lue à la lumière de la charte des droits fondamentaux de l’Union européenne.

Dans ces conditions, lors de l’examen du niveau de protection offert par un pays tiers, la Commission est tenue d’apprécier le contenu des règles applicables dans ce pays résultant de la législation interne ou des engagements internationaux de celui-ci ainsi que la pratique visant à assurer le respect de ces règles, cette institution devant, conformément à l’article 25, paragraphe 2, de la directive 95/46, prendre en compte toutes les circonstances relatives à un transfert de données à caractère personnel vers un pays tiers. De même, au regard du fait que le niveau de protection assuré par un pays tiers est susceptible d’évoluer, il incombe à la Commission, après l’adoption d’une décision au titre de l’article 25, paragraphe 6, de la directive 95/46, de vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause est toujours justifiée en fait et en droit. Une telle vérification s’impose, en tout état de cause, lorsque des indices font naître un doute à cet égard.

Compte tenu, d’une part, du rôle important que joue la protection des données a' caractère personnel au regard du droit fondamental au respect de la vie privée et, d’autre part, du nombre important de personnes dont les droits fondamentaux sont susceptibles d’être violés en cas de transfert de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat, le pouvoir d’appréciation de la Commission quant au caractère adéquat de ce niveau s’avère réduit, de sorte qu’il convient de procéder à un contrôle strict des exigences découlant de l’article 25 de la directive 95/46, lu à la lumière de la charte des droits fondamentaux de l’Union européenne.

(cf. points 73, 75, 76, 78)

7.        L’adoption par la Commission d’une décision au titre de l’article 25, paragraphe 6, de la directive 95/46, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, telle que la décision 2000/520, relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique, exige la constatation dûment motivée, de la part de cette institution, que le pays tiers concerné assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti dans l’ordre juridique de l’Union.

Or, dans la mesure où la Commission, dans sa décision 2000/520, n’en a pas fait état, l’article 1er de cette décision méconnaît les exigences fixées à l’article 25, paragraphe 6, de la directive 95/46, lu à la lumière de la charte des droits fondamentaux de l’Union européenne, et il est de ce fait invalide. En effet, les principes de la «sphère de sécurité» sont uniquement applicables aux organisations américaines autocertifiées recevant des données à caractère personnel depuis l’Union, sans qu’il soit exigé que les autorités publiques américaines soient soumises au respect desdits principes. De surcroît, la décision 2000/520 rend possible des ingérences, fondées sur des exigences relatives à la sécurité nationale et à l’intérêt public ou sur la législation interne des États-Unis, dans les droits fondamentaux des personnes dont les données à caractère personnel sont ou pourraient être transférées depuis l’Union vers les États-Unis, sans comporter de constatation quant à l’existence, aux États-Unis, de règles à caractère étatique destinées à limiter les éventuelles ingérences dans ces droits et sans faire état de l’existence d’une protection juridique efficace contre des ingérences de cette nature.

En outre, la Commission a outrepassé la compétence qui lui est attribuée à l’article 25, paragraphe 6, de la directive 95/46, lu à la lumière de la charte des droits fondamentaux de l’Union européenne, en adoptant l’article 3 de la décision 2000/520, lequel est de ce fait invalide. En effet, cet article doit être compris comme privant les autorités nationales de contrôle des pouvoirs qu’elles tirent de l’article 28 de la directive 95/46, dans le cas où une personne avance, à l’occasion d’une demande au titre de cette disposition, des éléments susceptibles de remettre en cause la compatibilité avec la protection de la vie privée et des libertés et droits fondamentaux des personnes d’une décision de la Commission ayant constaté, sur le fondement de l’article 25, paragraphe 6, de cette directive, qu’un pays tiers assure un niveau de protection adéquat. Or, le pouvoir d’exécution accordé par le législateur de l’Union à la Commission à l’article 25, paragraphe 6, de la directive 95/46 ne confère pas à cette institution la compétence de restreindre lesdits pouvoirs des autorités nationales de contrôle.

Les articles 1er et 3 de la décision 2000/520 étant indissociables des articles 2 et 4 ainsi que des annexes de celle-ci, leur invalidité a pour effet d’affecter la validité de cette décision dans son ensemble.

(cf. points 82, 87-89, 96-98, 102-105 et disp. 2)

8.        Une réglementation de l’Union comportant une ingérence dans les droits fondamentaux garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne doit prévoir des règles claires et précises régissant la portée et l’application d’une mesure et imposant un minimum d’exigences, de sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement leurs données contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données. La nécessité de disposer de telles garanties est d’autant plus importante lorsque les données à caractère personnel sont soumises à un traitement automatique et qu’il existe un risque important d’accès illicite à ces données. En outre et surtout, la protection du droit fondamental au respect de la vie privée au niveau de l’Union exige que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire.

Ainsi, n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données.

En particulier, une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée, tel que garanti par l’article 7 de la charte des droits fondamentaux de l’Union européenne.

De même, une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective, tel que consacré à l’article 47 de la charte des droits fondamentaux de l’Union européenne. En effet, le premier alinéa de cet article exige que toute personne dont les droits et libertés garantis par le droit de l’Union ont été violés ait droit à un recours effectif devant un tribunal dans le respect des conditions prévues à cet article. À cet égard, l’existence même d’un contrôle juridictionnel effectif destiné à assurer le respect des dispositions du droit de l’Union est inhérente à l’existence d’un État de droit.

(cf. points 91-95)