Affaire C311/18

Data Protection Commissioner

contre

Facebook Ireland Ltd
et
Maximillian Schrems

[demande de décision préjudicielle, introduite par la High Court (Irlande)]

 Arrêt de la Cour (grande chambre) du 16 juillet 2020

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Règlement (UE) 2016/679 – Article 2, paragraphe 2 – Champ d’application – Transferts de données à caractère personnel vers des pays tiers à des fins commerciales – Article 45 – Décision d’adéquation de la Commission – Article 46 – Transferts moyennant des garanties appropriées – Article 58 – Pouvoirs des autorités de contrôle – Traitement des données transférées par les autorités publiques d’un pays tiers à des fins de sécurité nationale – Appréciation du caractère adéquat du niveau de protection assuré dans le pays tiers – Décision 2010/87/UE – Clauses types de protection pour le transfert de données à caractère personnel vers des pays tiers – Garanties appropriées offertes par le responsable du traitement – Validité – Décision d’exécution (UE) 2016/1250 – Adéquation de la protection assurée par le bouclier de protection des données Union européenne-États-Unis – Validité – Plainte d’une personne physique dont les données ont été transférées depuis l’Union européenne vers les États-Unis »

1.        Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Champ d’application – Notion de traitement de données à caractère personnel – Transferts de données à caractère personnel effectués à des fins commerciales, par un opérateur économique établi dans un État membre vers un autre opérateur établi dans un pays tiers – Inclusion – Données susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité nationale – Absence d’incidence

[Règlement du Parlement européen et du Conseil 2016/679, art. 2, § 1 et 2, a), b) et d), et art. 4, point 2]

(voir points 82, 83, 85-89, disp. 1)

2.        Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Transferts de données à caractère personnel vers des pays tiers – Transferts moyennant des garanties appropriées, fondés sur des clauses contractuelles types de protection des données – Notion de niveau de protection adéquat à assurer par le pays tiers concerné lors de tels transferts – Interprétation au regard du droit de l’Union – Critères d’appréciation

[Charte des droits fondamentaux de l’Union européenne, art. 52, § 3 ; règlement du Parlement européen et du Conseil 2016/679, art. 46, § 1 et 2, c)]

(voir points 92-96, 98-101, 103-105, disp. 2)

3.        Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Transferts de données à caractère personnel vers des pays tiers – Transferts moyennant des garanties appropriées, fondés sur des clauses contractuelles types de protection des données – Autorités nationales de contrôle – Pouvoirs – Contrôle des transferts de données à caractère personnel vers des pays tiers – Obligation de suspendre ou d’interdire de tels transferts en cas de violation du niveau de protection adéquat dans le pays tiers concerné – Conditions

[Charte des droits fondamentaux de l’Union européenne, art. 8, § 3 ; règlement du Parlement européen et du Conseil 2016/679, art. 45, 46, 51, § 1, 57, § 1, a) et f), et 58, §1, § 2, f) et j)]

(voir points 107, 108, 112-121, disp. 3)

4.        Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Transferts de données à caractère personnel vers des pays tiers – Transferts moyennant des garanties appropriées, fondés sur des clauses contractuelles types de protection des données – Décision 2010/87 instituant des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers – Garanties appropriées offertes par les responsables d’un tel traitement établis dans l’Union et par les autorités de contrôle – Obligation pour ces autorités de suspendre ou d’interdire de tels transferts en cas de violation desdites clauses – Droits au respect de la vie privée, à la protection des données personnelles et à une protection juridictionnelle effective – Absence de violation – Validité de la décision

[Charte des droits fondamentaux de l’Union européenne, art. 7, 8 et 47 ; règlement du Parlement européen et du Conseil 2016/679, art. 46, § 1 et 2, c) ; décision de la Commission 2010/87, annexe]

(voir points 128-130, 133-145, 148, 149, disp. 4)

5.        Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Transfert de données à caractère personnel vers des pays tiers – Adoption par la Commission d’une décision constatant un niveau de protection adéquat dans un pays tiers – Décision 2016/1250 constatant un niveau adéquat de protection assuré par le bouclier de protection des données Union européenne-États-Unis – Autorité nationale de contrôle saisie d’une demande mettant en cause le caractère adéquat du niveau de protection assuré dans ce pays tiers – Obligation pour cette autorité d’examiner la demande – Examen de la validité de la décision 2016/1250

(Art. 288, 4e al., TFUE ; règlement du Parlement européen et du Conseil 2016/679, art. 45, § 3 et 77, § 1 ; décision de la Commission 2016/1250, annexe II)

(voir points 151-161)

6.        Droits fondamentaux – Charte des droits fondamentaux de l’Union européenne – Respect de la vie privée – Protection des données à caractère personnel – Conservation et accès aux données à caractère personnel en vue de leur utilisation par les autorités publiques – Ingérence dans ces droits fondamentaux – Limitations à l’exercice de ces droits – Respect du principe de proportionnalité

(Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 52, § 1, 2e phrase ; règlement du Parlement européen et du Conseil 2016/679)

(voir points 170-176)

7.        Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Transfert de données à caractère personnel vers des pays tiers – Adoption par la Commission d’une décision constatant un niveau de protection adéquat dans un pays tiers – Décision 2016/1250 constatant un niveau adéquat de protection assuré par le bouclier de protection des données Union européenne-États-Unis – Absence d’un niveau de protection substantiellement équivalent à celui assuré en droit de l’Union – Violation des droits au respect de la vie privée, à la protection des données à caractère personnel et à une protection juridictionnelle effective des personnes visées par ces transferts – Mise en place d’un mécanisme de médiation dans le cadre du bouclier de protection des données – Absence d’incidence sur la violation du droit à une protection juridictionnelle effective – Invalidité de la décision

[Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 47, 52, § 1, 2e phrase ; règlement du Parlement européen et du Conseil 2016/679, art. 45, § 2, a), et 3 ; décision de la Commission 2016/1250, annexe II]

(voir points 180-185, 187-192, 195-201, disp. 5)

8.        Questions préjudicielles – Appréciation de validité – Déclaration d’invalidité d’un acte de l’Union – Décision 2016/1250 constatant un niveau adéquat de protection assuré par le bouclier de protection des données Union européenne-États-Unis – Effets – Limitation dans le temps – Absence

(Art. 267 TFUE ; règlement du Parlement européen et du Conseil 2016/679, art. 49 ; décision de la Commission 2016/1250)

(voir point 202)

Résumé

La Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

En revanche, elle juge que la décision 2010/87 de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide.

Le règlement général relatif à la protection des données (1) (RGPD) dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat (2). En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives (3). Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées (4).

M. Maximillian Schrems, ressortissant autrichien résidant en Autriche, est un utilisateur de Facebook depuis 2008. Comme pour les autres utilisateurs résidant dans l’Union, les données à caractère personnel de M. Schrems sont, en tout ou en partie, transférées par Facebook Ireland vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement. M. Schrems a déposé une plainte auprès de l’autorité irlandaise de contrôle, visant, en substance, à faire interdire ces transferts. Il a soutenu que le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays. Cette plainte a été rejetée, au motif notamment que, dans sa décision 2000/520 (5) (dite décision « sphère de sécurité »), la Commission avait constaté que les États-Unis assuraient un niveau adéquat de protection. Par un arrêt rendu le 6 octobre 2015, la Cour, saisie d’une question préjudicielle posée par la High Court (Haute Cour, Irlande), a jugé cette décision invalide (ci-après l’« arrêt Schrems I ») (6).

À la suite de l’arrêt Schrems I et de l’annulation consécutive, par la juridiction irlandaise, de la décision rejetant la plainte de M. Schrems, l’autorité de contrôle irlandaise a invité celui-ci à reformuler sa plainte compte tenu de l’invalidation, par la Cour, de la décision 2000/520. Dans sa plainte reformulée, M. Schrems maintient que les États-Unis n’offrent pas de protection suffisante des données transférées vers ce pays. Il demande de suspendre ou d’interdire, pour l’avenir, les transferts de ses données à caractère personnel depuis l’Union vers les États-Unis, que Facebook Ireland réalise désormais sur le fondement des clauses types de protection figurant à l’annexe de la décision 2010/87 (7). Estimant que le traitement de la plainte de M. Schrems dépend, notamment, de la validité de la décision 2010/87, l’autorité de contrôle irlandaise a initié une procédure devant la High Court (Haute Cour) aux fins que celle-ci soumette à la Cour une demande de décision préjudicielle. Après l’ouverture de cette procédure, la Commission a adopté la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (8) (dite décision « bouclier de protection des données »).

Par sa demande de décision préjudicielle, la juridiction de renvoi interroge la Cour sur l’applicabilité du RGPD à des transferts de données à caractère personnel fondés sur des clauses types de protection figurant dans la décision 2010/87, sur le niveau de protection requis par ce règlement dans le cadre d’un tel transfert et sur les obligations incombant aux autorités de contrôle dans ce contexte. En outre, la High Court soulève la question de la validité tant de la décision 2010/87 que de la décision 2016/1250.

Par son arrêt de ce jour, la Cour constate que l’examen de la décision 2010/87 au regard de la charte des droits fondamentaux ne révèle aucun élément de nature à affecter sa validité. En revanche, elle déclare la décision 2016/1250 invalide.

La Cour estime, tout d’abord, que le droit de l’Union, et notamment le RGPD, s’applique à un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, même si, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités du pays tiers concerné. Elle précise que ce type de traitement de données par les autorités d’un pays tiers ne saurait exclure un tel transfert du champ d’application du règlement.

En ce qui concerne le niveau de protection requis dans le cadre d’un tel transfert, la Cour juge que les exigences prévues à cet effet par les dispositions du RGPD, qui ont trait à des garanties appropriées, des droits opposables et des voies de droit effectives, doivent être interprétées en ce sens que les personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données doivent bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte. Dans ce contexte, elle précise que l’évaluation de ce niveau de protection doit prendre en compte tant les stipulations contractuelles convenues entre l’exportateur des données établi dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données ainsi transférées, les éléments pertinents du système juridique de celui-ci.

S’agissant des obligations incombant aux autorités de contrôle dans le contexte d’un tel transfert, la Cour juge que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission, ces autorités sont notamment obligées de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers lorsqu’elles estiment, au regard des circonstances propres à ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays et que la protection des données transférées, requise par le droit de l’Union, ne peut pas être assurée par d’autres moyens, à défaut pour l’exportateur établi dans l’Union d’avoir lui-même suspendu ou mis fin à un tel transfert.

La Cour examine ensuite la validité de la décision 2010/87. Selon la Cour, la validité de cette décision n’est pas remise en cause par le seul fait que les clauses types de protection des données figurant dans celle-ci ne lient pas, en raison de leur caractère contractuel, les autorités du pays tiers vers lequel un transfert des données pourrait être opéré. En revanche, précise-t-elle, cette validité dépend du point de savoir si ladite décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer. La Cour constate que la décision 2010/87 met en place de tels mécanismes. À cet égard, elle souligne, notamment, que cette décision instaure une obligation pour l’exportateur des données et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection soit respecté dans le pays tiers concerné et qu’elle oblige ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier.

La Cour procède, enfin, à l’examen de la validité de la décision 2016/1250 au regard des exigences découlant du RGPD, lu à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective. À cet égard, la Cour relève que cette décision consacre, à l’instar de la décision 2000/520, la primauté des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine, rendant ainsi possibles des ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers. Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées de manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire. En se fondant sur les constatations figurant dans cette décision, la Cour relève que, pour certains programmes de surveillance, ladite réglementation ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’elle comporte pour la mise en œuvre de ces programmes, pas plus que l’existence de garanties pour des personnes non américaines potentiellement visées. La Cour ajoute que, si la même réglementation prévoit des exigences que les autorités américaines doivent respecter, lors de la mise en œuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.

Quant à l’exigence de protection juridictionnelle, la Cour juge que, contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains. Pour toutes ces raisons, la Cour déclare la décision 2016/1250 invalide.


1      Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO 2016, L 119, p. 1).


2      Article 45 du RGPD.


3      Article 46, paragraphe 1 et paragraphe 2, sous c), du RGPD.


4      Article 49 du RGPD.


5      Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis (JO 2000, L 215, p.7).


6      Arrêt de la Cour du 6 octobre 2015, Schrems, C‑362/14 (voir également CP no 117/15).


7      Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO 2010, L 39, p. 5), telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission du 16 décembre 2016 (JO 2016, L 344, p. 100).


8      Décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (JO 2016, L 207, p. 1).