CJUE – Schrems – C-362/14

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-362/14

Nom:

Schrems

Date:

6 octobre 2015

Pays:

Irlande

Lien:

Cliquer ici

Contexte

Le 25 juin 2013, M. Schrems a saisi le commissaire d’une plainte par laquelle il demandait en substance à celui-ci d’exercer ses compétences statutaires en interdisant à Facebook Ireland de transférer ses données à caractère personnel vers les États-Unis. Il y faisait valoir que le droit et les pratiques en vigueur dans ce pays ne garantissaient pas une protection suffisante des données à caractère personnel conservées sur le territoire de celui-ci contre les activités de surveillance qui y étaient pratiquées par les autorités publiques.

M. Schrems se référait à cet égard aux révélations faites par M. Edward Snowden concernant les activités des services de renseignement des États-Unis, notamment celles de la National Security Agency (ci-après la «NSA»). Le commissaire a rejeté la plainte, estimant qu’il n’existait pas de preuves que la NSA ait accédé aux données à caractère personnel de l’intéressé. M. Schrems a introduit un recours devant la High Court (Haute Cour de justice) contre la décision en cause au principal.

La High Court (Haute Cour de justice) considère que cette affaire concerne la mise en œuvre du droit de l’Union au sens de l’article 51 de la Charte, de sorte que la légalité de la décision en cause au principal doit être appréciée au regard du droit de l’Union, raison pour laquelle elle décide de surseoir à statuer.

Apport(s)
Niveau de protection « adéquat » - Définition Extrait(s) pertinent(s)73. Certes, le terme «adéquat» figurant à l’article 25, paragraphe 6, de la directive 95/46 implique qu’il ne saurait être exigé qu’un pays tiers assure un niveau de protection identique à celui garanti dans l’ordre juridique de l’Union. Toutefois, comme l’a relevé M. l’avocat général au point 141 de ses conclusions, l’expression «niveau de protection adéquat» doit être comprise comme exigeant que ce pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive 95/46, lue à la lumière de la Charte. En effet, à défaut d’une telle exigence, l’objectif mentionné au point précédent du présent arrêt serait méconnu. En outre, le niveau élevé de protection garanti par la directive 95/46, lue à la lumière de la Charte, pourrait facilement être contourné par des transferts de données à caractère personnel depuis l’Union vers des pays tiers aux fins de leur traitement dans ces pays. Article(s) du RGPD Article 45 – Transferts fondés sur une décision d’adéquation Fait référence à Autres informations
Niveau de protection « adéquat » - Obligations pesant sur la Commission européenne - 1) Evaluation initiale - Prise en compte de toutes les circonstances - 2) Evaluation périodique - Nécessité Extrait(s) pertinent(s)75. Dans ces conditions, lors de l’examen du niveau de protection offert par un pays tiers, la Commission est tenue d’apprécier le contenu des règles applicables dans ce pays résultant de la législation interne ou des engagements internationaux de celui-ci ainsi que la pratique visant à assurer le respect de ces règles, cette institution devant, conformément à l’article 25, paragraphe 2, de la directive 95/46, prendre en compte toutes les circonstances relatives à un transfert de données à caractère personnel vers un pays tiers. 76. De même, au regard du fait que le niveau de protection assuré par un pays tiers est susceptible d’évoluer, il incombe à la Commission, après l’adoption d’une décision au titre de l’article 25, paragraphe 6, de la directive 95/46, de vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause est toujours justifiée en fait et en droit. Une telle vérification s’impose, en tout état de cause, lorsque des indices font naître un doute à cet égard. Article(s) du RGPD Article 45 – Transferts fondés sur une décision d’adéquation Fait référence à Autres informations
"Safe Harbor" (décision 2000/520) - 1) Réglementation "sécurité" limitée au strict nécessaire - Exclusion en l'espèce - Conséquence : atteinte au droit au respect de la vie privée - 2) Réglementation ne prévoyant pas de voies de droit pour accéder aux données, les rectifier ou les supprimer - Atteinte au droit à une protection juridictionnelle effective - 3) Restriction des pouvoirs de contrôle des autorités nationales - Invalidité de la décision Extrait(s) pertinent(s)1) 93. N’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données. 94. En particulier, une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée, tel que garanti par l’article 7 de la Charte. 2) 95. De même, une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective, tel que consacré à l’article 47 de la Charte. 3) 102. L’article 3, paragraphe 1, premier alinéa, de la décision 2000/520 doit donc être compris comme privant les autorités nationales de contrôle des pouvoirs qu’elles tirent de l’article 28 de la directive 95/46, dans le cas où une personne avance, à l’occasion d’une demande au titre de cette disposition, des éléments susceptibles de remettre en cause la compatibilité avec la protection de la vie privée et des libertés et droits fondamentaux des personnes d’une décision de la Commission ayant constaté, sur le fondement de l’article 25, paragraphe 6, de cette directive, qu’un pays tiers assure un niveau de protection adéquat. 103. Or, le pouvoir d’exécution accordé par le législateur de l’Union à la Commission à l’article 25, paragraphe 6, de la directive 95/46 ne confère pas à cette institution la compétence de restreindre les pouvoirs des autorités nationales de contrôle visés au point précédent du présent arrêt. 104 Dans ces conditions, il y a lieu de constater que, en adoptant l’article 3 de la décision 2000/520, la Commission a outrepassé la compétence qui lui est attribuée à l’article 25, paragraphe 6, de la directive 95/46, lu à la lumière de la Charte, et qu’il est de ce fait invalide. Article(s) du RGPD Article 45 – Transferts fondés sur une décision d’adéquation Fait référence à Autres informations
Transfert de données à caractère personnel fondé sur une décision d'adéquation - Examen d'une plainte d’une personne physique dont les données ont été transférées depuis l’Union européenne vers les États-Unis et faisant valoir de l'absence de niveau adéquat - Obligation Extrait(s) pertinent(s)63. Eu égard à ces considérations, lorsqu’une personne, dont les données à caractère personnel ont été ou pourraient être transférées vers un pays tiers ayant fait l’objet d’une décision de la Commission au titre de l’article 25, paragraphe 6, de la directive 95/46, saisit une autorité nationale de contrôle d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de ces données et conteste, à l’occasion de cette demande, comme dans l’affaire au principal, la compatibilité de cette décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes, il incombe à cette autorité d’examiner ladite demande avec toute la diligence requise. [...] 66. Eu égard aux considérations qui précèdent, il y a lieu de répondre aux questions posées que l’article 25, paragraphe 6, de la directive 95/46, lu à la lumière des articles 7, 8 et 47 de la Charte, doit être interprété en ce sens qu’une décision adoptée au titre de cette disposition, telle que la décision 2000/520, par laquelle la Commission constate qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre, au sens de l’article 28 de cette directive, examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n’assurent pas un niveau de protection adéquat. Article(s) du RGPD Article 45 – Transferts fondés sur une décision d’adéquation Fait référence à Autres informations
Transfert de données à caractère personnel fondé sur une décision d'adéquation - Caractère contraignant d'une telle décision sur l'Etat Membre et ses organes - Conséquence : interdiction, pour les autorités de contrôle, de prendre des mesures contraires à une décision d'adéquation non invalidée par la Cour Extrait(s) pertinent(s)51. La Commission peut adopter, sur le fondement de l’article 25, paragraphe 6, de la directive 95/46, une décision constatant qu’un pays tiers assure un niveau de protection adéquat. Une telle décision a, conformément au second alinéa de cette disposition, pour destinataires les États membres qui doivent prendre les mesures nécessaires pour se conformer à celle-ci. En vertu de l’article 288, quatrième alinéa, TFUE, elle a un caractère contraignant pour tous les États membres destinataires et s’impose donc à tous leurs organes, en ce qu’elle a pour effet d’autoriser des transferts de données à caractère personnel depuis les États membres vers le pays tiers visé par celle-ci. 52. Ainsi, aussi longtemps que la décision de la Commission n’a pas été déclarée invalide par la Cour, les États membres et leurs organes, au nombre desquels figurent leurs autorités de contrôle indépendantes, ne sauraient, certes, adopter des mesures contraires à cette décision, telles que des actes visant à constater avec effet contraignant que le pays tiers visé par ladite décision n’assure pas un niveau de protection adéquat. En effet, les actes des institutions de l’Union jouissent, en principe, d’une présomption de légalité et produisent, dès lors, des effets juridiques aussi longtemps qu’ils n’ont pas été retirés, annulés dans le cadre d’un recours en annulation ou déclarés invalides à la suite d’un renvoi préjudiciel ou d’une exception d’illégalité. Article(s) du RGPD Article 45 – Transferts fondés sur une décision d’adéquation Fait référence à Autres informations