CJUE – Schrems II (Facebook Ireland et Schrems) – C-311/18

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-311/18

Nom:

Schrems II (Facebook Ireland et Schrems)

Date:

16 juillet 2020

Pays:

Irlande

Lien:

Cliquer ici

Contexte

A la suite de l'arrêt "Schrems" (CJUE, 6 octobre 2015, C-362/14), la juridiction de renvoi a annulé le rejet de la plainte de M. Schrems et a renvoyé celle-ci au commissaire. Dans le cadre de l’enquête, Facebook Ireland a expliqué qu’une grande partie des données à caractère personnel était transférée à Facebook Inc. sur le fondement des CCT. M. Schrems a fait valoir, notamment, que le droit américain impose à Facebook Inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la NSA et le FBI. Il a soutenu que, ces données étant utilisées dans le cadre de différents programmes de surveillance d’une manière incompatible avec les articles 7, 8 et 47 de la Charte, la décision CPT (décision 2010/87/UE concernant les CCT) ne peut justifier le transfert desdites données vers les États-Unis.

En mai 2016, le commissaire a estimé que les CCT ne sont pas de nature à remédier à ce défaut, dans la mesure où elles confèrent aux personnes concernées uniquement des droits contractuels contre l’exportateur et l’importateur des données, sans toutefois lier les autorités américaines.

Étant d’avis que, dans ces conditions, la plainte reformulée de M. Schrems soulevait la question de la validité de la décision CPT, le commissaire a, le 31 mai 2016, saisi la High Court (Haute Cour), en s’appuyant sur la jurisprudence issue de l’arrêt du 6 octobre 2015, Schrems (C-362/14, point 65), aux fins que cette dernière interroge la Cour sur cette question. Par décision du 4 mai 2018, la High Court (Haute Cour) a saisi la Cour du présent renvoi préjudiciel.

Apport(s)
Transfert de données à caractère personnel vers un pays tiers fondé sur les CCT - 1) Notion de "garanties appropriées" : nécessité d'un niveau de protection substantiellement équivalent à celui du droit de l'UE - 2) Critères d’appréciation Extrait(s) pertinent(s)105. Partant, il y a lieu de répondre [que] l’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du RGPD doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement. Article(s) du RGPD Article 46 – Transferts moyennant des garanties appropriées Fait référence à Autres informations
Contrôle des transferts de données à caractère personnel vers des pays tiers par une autorité - Suspension ou interdiction de tels transferts lorsque les clauses ne sont ou ne peuvent pas être respectées - Obligation, sauf en cas de décision d'adéquation Extrait(s) pertinent(s)121. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la huitième question que l’article 58, paragraphe 2, sous f) et j), du RGPD doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 du RGPD et par la Charte, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci. Article(s) du RGPD Article 45 – Transferts fondés sur une décision d’adéquation Article 46 – Transferts moyennant des garanties appropriées Article 58 – Pouvoirs Fait référence à > CJUE – Schrems – C-362/14 Autres informations
Décision 2010/87/UE instituant des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers - Validité - Conditions d’examen - 1) Insuffisance de la seule circonstance que les autorités du pays tiers ne sont pas liées - 2) Existence de mécanismes permettant d’assurer un niveau de protection requis par le droit de l’Union et de suspendre ou d’interdire de tels transferts en cas de violation desdites clauses Extrait(s) pertinent(s)136. Partant, le seul fait que des clauses types de protection des données figurant dans une décision de la Commission adoptée en application de l’article 46, paragraphe 2, sous c), du RGPD, telles que celles figurant à l’annexe de la décision CPT, ne lient pas les autorités des pays tiers vers lesquels des données à caractère personnel sont susceptibles d’être transférées ne saurait affecter la validité de cette décision. 137. Cette validité dépend, en revanche, du point de savoir si, conformément à l’exigence résultant de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD, interprétés à la lumière des articles 7, 8 et 47 de la Charte, une telle décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer. Article(s) du RGPD Article 46 – Transferts moyennant des garanties appropriées Fait référence à Autres informations
Clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers (" décision CPT") - 1) Vérification de la législation du pays tiers - Obligation - Prise en compte du caractère adéquat de la législation locale - Admission - 2) Information, par le destinataire, responsable de son incapacité à se conformer aux clauses le cas échéant - Obligation Extrait(s) pertinent(s)141 . Il apparaît ainsi que la clause 4, sous a), et la clause 5, sous a) et b), de cette annexe font obligation au responsable du traitement établi dans l’Union et au destinataire du transfert de données à caractère personnel de s’assurer que la législation du pays tiers de destination permet audit destinataire de se conformer aux clauses types de protection des données figurant à l’annexe de la décision CPT, avant de procéder à un transfert de données à caractère personnel vers ce pays tiers. S’agissant de cette vérification, la note en bas de page relative à ladite clause 5 précise que des exigences impératives de cette législation n’allant pas au-delà de celles qui sont nécessaires dans une société démocratique pour sauvegarder, notamment, la sûreté de l’État, la défense et la sécurité publique ne vont pas à l’encontre de ces clauses types de protection des données. À l’inverse, ainsi que l’a souligné M. l’avocat général au point 131 de ses conclusions, le fait de se conformer à une obligation dictée par le droit du pays tiers de destination qui va au-delà de ce qui est nécessaire à de telles fins doit être considéré comme une violation desdites clauses. L’appréciation, de la part de ces opérateurs, du caractère nécessaire d’une telle obligation doit, le cas échéant, tenir compte de la constatation du caractère adéquat du niveau de protection assuré par le pays tiers concerné figurant dans une décision d’adéquation de la Commission, adoptée au titre de l’article 45, paragraphe 3, du RGPD. 142 . Il en résulte que le responsable du traitement établi dans l’Union et le destinataire du transfert de données à caractère personnel sont tenus de vérifier, au préalable, le respect, dans le pays tiers concerné, du niveau de protection requis par le droit de l’Union. Le destinataire de ce transfert est, le cas échéant, dans l’obligation, en vertu de la même clause 5, sous b), d’informer le responsable du traitement de son éventuelle incapacité de se conformer à ces clauses, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat. Article(s) du RGPD Article 46 – Transferts moyennant des garanties appropriées Fait référence à Autres informations
Transfert de données à caractère personnel fondé sur une décision d'adéquation - Caractère contraignant d'une telle décision sur l'Etat Membre et ses organes - Interdiction, pour les autorités de contrôle, de prendre des mesures contraires à une décision d'adéquation non invalidée par la Cour Extrait(s) pertinent(s)156. La décision BPD a un caractère contraignant pour les autorités de contrôle en ce qu’elle constate que les États-Unis garantissent un niveau de protection adéquat et, partant, a pour effet d’autoriser des transferts de données à caractère personnel effectués dans le cadre du bouclier de protection des données Union européenne-États-Unis. Dès lors, aussi longtemps que cette décision n’a pas été déclarée invalide par la Cour, l’autorité de contrôle compétente ne saurait suspendre ou interdire un transfert de données à caractère personnel vers une organisation adhérant à ce bouclier au motif qu’elle considère, contrairement à l’appréciation retenue par la Commission dans ladite décision, que la législation des États-Unis régissant l’accès aux données à caractère personnel transférées dans le cadre dudit bouclier et l’utilisation de ces données par les autorités publiques de ce pays tiers à des fins de sécurité nationale, de respect de la loi ou d’intérêt public n’assure pas un niveau de protection adéquat. 157. Il n’en demeure pas moins que, lorsqu’elle est saisie par une personne d’une réclamation, l’autorité de contrôle compétente doit examiner, en toute indépendance, si le transfert de données à caractère personnel en cause respecte les exigences posées par le RGPD et, dans l’hypothèse où elle estime fondés les griefs avancés par cette personne aux fins de mettre en cause la validité d’une décision d’adéquation, introduire un recours devant les juridictions nationales afin que ces dernières saisissent la Cour d’un renvoi préjudiciel en appréciation de la validité de cette décision. Article(s) du RGPD Article 45 – Transferts fondés sur une décision d’adéquation Fait référence à > CJUE – Schrems – C-362/14 Autres informations
"Privacy Shield" (décision 2016/1250 dite "BPD") - 1) Réglementation "sécurité" limitée au strict nécessaire - Exclusion - Méconnaissance du principe de proportionnalité - 2) Absence de droits opposables aux autorités américaines devant les tribunaux - Mécanisme de médiation - Absence de garanties substantiellement équivalentes - Méconnaissance du droit à une protection juridictionnelle effective - Invalidité Extrait(s) pertinent(s)181. Selon les constatations figurant dans la décision BPD, les programmes de surveillance fondés sur l’article 702 du FISA doivent, certes, être mis en œuvre dans le respect des exigences résultant de la PPD-28. Toutefois, si la Commission a souligné, aux considérants 69 et 77 de la décision BPD, que de telles exigences revêtent un caractère contraignant pour les services de renseignement américains, le gouvernement américain a admis, en réponse à une question de la Cour, que la PPD-28 ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. Dès lors, elle n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte, contrairement à ce qu’exige l’article 45, paragraphe 2, sous a), du RGPD, selon lequel la constatation de ce niveau dépend, notamment, de l’existence des droits effectifs et opposables dont bénéficient les personnes dont les données ont été transférées vers le pays tiers en cause. 182. S’agissant des programmes de surveillance fondés sur l’E.O. 12333, il ressort du dossier dont dispose la Cour que ce décret ne confère pas non plus de droits opposables aux autorités américaines devant les tribunaux. [...] 184. Il apparaît, dès lors, que ni l’article 702 du FISA ni l’E.O. 12333, lus en combinaison avec la PPD-28, ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire. 196. De même, ainsi que M. l’avocat général l’a souligné, au point 338 de ses conclusions, si le considérant 120 de la décision BPD fait état d’un engagement du gouvernement américain à ce que la composante concernée des services de renseignement soit tenue de corriger toute violation des normes applicables détectée par le médiateur du bouclier de protection des données, ladite décision ne comporte aucune indication selon laquelle ce médiateur serait habilité à prendre des décisions contraignantes à l’égard de ces services et ne fait pas non plus état de garanties légales dont serait assorti cet engagement et dont pourraient se prévaloir les personnes concernées. 197. Dès lors, le mécanisme de médiation visé par la décision BPD ne fournit pas de voie de recours devant un organe qui offre aux personnes dont les données sont transférées vers les États-Unis des garanties substantiellement équivalentes à celles requises à l’article 47 de la Charte. Article(s) du RGPD Article 45 – Transferts fondés sur une décision d’adéquation Fait référence à > CJUE – Schrems – C-362/14 Autres informations
Champ d'application du RGPD - Transferts à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur établi dans un pays tiers - Inclusion - Données susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité nationale - Absence d’incidence Extrait(s) pertinent(s)89. Partant, il y a lieu de répondre à la première question que l’article 2, paragraphes 1 et 2, du RGPD doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État. Article(s) du RGPD Article 2 – Champ d’application matériel Fait référence à Autres informations