Article 45 – Transferts fondés sur une décision d’adéquation

Article 45 - Transferts fondés sur une décision d'adéquation

1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.

2. Lorsqu'elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants:

a) l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l'accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l'organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées;
b) l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d'application desdites règles, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres; et
c) les engagements internationaux pris par le pays tiers ou l'organisation internationale en question, ou d'autres obligations découlant de conventions ou d'instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.

3. La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut décider, par voie d'actes d'exécution, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2 du présent article. L'acte d'exécution prévoit un mécanisme d'examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l'organisation internationale. L'acte d'exécution précise son champ d'application territorial et sectoriel et, le cas échéant, nomme la ou des autorités de contrôle visées au paragraphe 2, point b), du présent article. L'acte d'exécution est adopté en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

4. La Commission suit, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3 du présent article et des décisions adoptées sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE.

5. Lorsque les informations disponibles révèlent, en particulier à l'issue de l'examen visé au paragraphe 3 du présent article, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale n'assure plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, la Commission si nécessaire, abroge, modifie ou suspend la décision visée au paragraphe 3 du présent article par voie d'actes d'exécution sans effet rétroactif. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

Pour des raisons d'urgence impérieuses dûment justifiées, la Commission adopte des actes d'exécution immédiatement applicables en conformité avec la procédure visée à l'article 93, paragraphe 3.

6. La Commission engage des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.

7. Une décision adoptée en vertu du paragraphe 5 du présent article est sans préjudice des transferts de données à caractère personnel vers le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou à l'organisation internationale en question, effectués en application des articles 46 à 49.

8. La Commission publie au Journal officiel de l'Union européenne et sur son site internet une liste des pays tiers, des territoires et des secteurs déterminés dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat est ou n'est plus assuré.

9. Les décisions adoptées par la Commission sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément au paragraphe 3 ou 5 du présent article.

En savoir plus...

L'article 45 du RGPD porte sur la question complexe des transferts internationaux de données. Les énormes quantités de données transférées de l'UE vers des pays tiers ont rendu nécessaire l'adoption de dispositions garantissant la mise en œuvre de mesures de précaution pour protéger les transferts. Le niveau de protection à atteindre est promu et délimité au chapitre V du RGPD. Le chapitre V du RGPD crée une structure à trois niveaux pour les bases juridiques des transferts internationaux de données, avec les décisions d'adéquation au sommet, les garanties appropriées au milieu et les négociations à la base. Sur la base de l'article 45, la Commission européenne (Commission) a le pouvoir de déterminer si un pays en dehors de l'UE offre un niveau de protection des données adéquat, « essentiellement équivalent » à celui de l'UE. Le caractère adéquat signifie que les règles mises en œuvre dans les pays tiers ou les organisations internationales sont efficaces dans la pratique.

La Commission a jusqu'à présent reconnu les pays suivants comme offrant une protection adéquate par le biais de « décisions d'adéquation » : Andorre, l'Argentine, le Canada (uniquement les organisations commerciales), les Îles Féroé, Guernesey, Israël, l'Île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée, la Suisse, le Royaume-Uni (en vertu du UK RGPD et de la LED) et l'Uruguay. Ces décisions impliquent que les données à caractère personnel peuvent être transférées de l'UE (ainsi que de la Norvège, du Liechtenstein et de l'Islande) vers ces pays tiers sans garanties supplémentaires, que ces transferts seront assimilés à des transferts de données à caractère personnel, et que les données à caractère personnel peuvent être transférées de l'UE vers ces pays tiers sans garanties supplémentaires.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Décisions d'adéquation]
103. La Commission peut décider, avec effet dans l'ensemble de l'Union, qu'un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale offre un niveau adéquat de protection des données, assurant ainsi une sécurité juridique et une uniformité dans l'ensemble l'Union en ce qui concerne le pays tiers ou l'organisation internationale qui est réputé offrir un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation. La Commission peut également décider, après en avoir informé le pays tiers ou l'organisation internationale et lui avoir fourni une justification complète, de révoquer une telle décision.

[Critères d'évaluation pour les décisions d'adéquation]
104. Eu égard aux valeurs fondamentales sur lesquelles est fondée l'Union, en particulier la protection des droits de l'homme, la Commission devrait, dans son évaluation d'un pays tiers, d'un territoire ou d'un secteur déterminé dans un pays tiers, prendre en considération la manière dont un pays tiers déterminé respecte l'état de droit, garantit l'accès à la justice et observe les règles et normes internationales dans le domaine des droits de l'homme, ainsi que sa législation générale et sectorielle, y compris la législation sur la sécurité publique, la défense et la sécurité nationale ainsi que l'ordre public et le droit pénal. Lors de l'adoption, à l'égard d'un territoire ou d'un secteur déterminé dans un pays tiers, d'une décision d'adéquation, il y a lieu de tenir compte de critères clairs et objectifs, telles que les activités de traitement spécifiques et le champ d'application des normes juridiques applicables et de la législation en vigueur dans le pays tiers. Le pays tiers devrait offrir des garanties pour assurer un niveau adéquat de protection essentiellement équivalent à celui qui est garanti dans l'Union, en particulier quand les données à caractère personnel sont traitées dans un ou plusieurs secteurs spécifiques. Plus particulièrement, le pays tiers devrait assurer un contrôle indépendant effectif de la protection des données et prévoir des mécanismes de coopération avec les autorités de protection des données des États membres, et les personnes concernées devraient se voir octroyer des droits effectifs et opposables ainsi que des possibilités effectives de recours administratif et juridictionnel.

[Prise en compte des obligations internationales pour les décisions d'adéquation]
105. Outre les engagements internationaux pris par le pays tiers ou l'organisation internationale, la Commission devrait tenir compte des obligations découlant de la participation du pays tiers ou de l'organisation internationale à des systèmes multilatéraux ou régionaux, notamment en ce qui concerne la protection des données à caractère personnel, ainsi que de la mise en œuvre de ces obligations. Il y a lieu, en particulier, de prendre en considération l'adhésion du pays tiers à la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et à son protocole additionnel. Lorsqu'elle évalue le niveau de protection offert par des pays tiers ou des organisations internationales, la Commission devrait consulter le comité.

[Surveillance du fonctionnelement des décisions d'adéquation]
La Commission devrait surveiller le fonctionnement des décisions relatives au niveau de protection offert par un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou par une organisation internationale, et surveiller le fonctionnement des décisions adoptées sur la base de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE. Dans ses décisions d'adéquation, la Commission devrait prévoir un mécanisme d'examen périodique de leur fonctionnement. Cet examen périodique devrait être effectué en consultation avec le pays tiers ou l'organisation internationale en question et tenir compte de l'ensemble des évolutions présentant un intérêt dans le pays tiers ou au sein de l'organisation internationale. Aux fins de la surveillance et de la réalisation des examens périodiques, la Commission devrait prendre en considération les observations et les conclusions du Parlement européen et du Conseil, ainsi que d'autres organes et sources pertinents. La Commission devrait évaluer le fonctionnement desdites décisions dans un délai raisonnable et communiquer toute conclusion pertinente au comité au sens du règlement (UE) no 182/2011 du Parlement européen et du Conseil établi en vertu du présent règlement, au Parlement européen et au Conseil.

[Obligations en cas de constatation qu'un pays tiers n'assure plus un niveau adéquat]
107. La Commission peut constater qu'un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale n'assure plus un niveau adéquat de protection des données. En conséquence, le transfert de données à caractère personnel vers ce pays tiers ou à cette organisation internationale devrait être interdit, à moins que les exigences du présent règlement relatives aux transferts faisant l'objet de garanties appropriées, y compris des règles d'entreprise contraignantes et des dérogations pour des situations particulières, soient respectées. Dans ce cas, il y aurait lieu de prévoir des consultations entre la Commission et le pays tiers ou l'organisation internationale en question. La Commission devrait informer en temps utile le pays tiers ou l'organisation internationale des motifs de sa conclusion et engager des consultations avec ceux-ci en vue de remédier à la situation.

Droit souple

Lignes directrices et recommandations

> CEPD - Recommandations 01/2021 - Critères de référence pour l'adéquation dans le cadre de la directive Police-Justice

2 février 2021

> WP29 - Lignes directrices - Critères de référence pour les décisions d'adéquation

WP254, 28 novembre 2017, modifiées le 06 février 2018

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

En savoir plus...

Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations

> CNIL - Recommandations - Vidéosurveillance dans les Ehpad

29 février 2024

> CNIL - Recommandations - Applications mobiles

21 juillet 2023

> CNIL - Recommandations - API

07 juillet 2023

> CNIL - Recommandations - Télésurveillance examens en ligne

8 juin 2023

> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)

7 juillet 2021

> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)

13 avril 2021

> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)

9 mars 2021

> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)

15 décembre 2020

> CNIL - Lignes directrices - Cookies et autres traceurs

17 septembre 2020

> CNIL - Recommandations - Cookies et autres traceurs

17 septembre 2020

> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)

29 janvier 2020

Référentiels

> CNIL - Référentiel - Systèmes d'alertes professionnelles

06 juillet 2023

> CNIL - Référentiel - Officines de pharmacie

18 juillet 2022

> CNIL - Référentiel - Gestion commerciale

03 février 2022

> CNIL - Référentiel - Gestion des impayés

03 février 2022

> CNIL - Référentiel - Protection de l'enfance

20 janvier 2022

> CNIL - Référentiel - Gestion locative

6 mai 2021)

> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté

11 mars 2021

> CNIL - Référentiel - Gestion RH

21 novembre 2019

Guides pratiques

> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales

04 juillet 2022

> CNIL - Guide pratique - Guide pratique du développeur

13 décembre 2021 (sur le github de la CNIL)

> CNIL - Guide pratique - Guide pratique de l'UNAF

Mars 2021 (sur le site de l'UNAF)

> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales

18 septembre 2019

> CNIL - Guide pratique - Guide pratique de l'ordre des médecins

01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année :

Autorité :

Thème :

Secteur :

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Fait référence à	Lien
Avis 2021-082	Avis sur projet de décret "Livret de parcours inclusif (LPI)"	15/07/2021	2021	France	CNIL ou équivalent		Jeunesse et éducation	Traitement visant à améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers - Contrat de sous-traitance - Transfert des données en dehors de l’Union européenne - Interdiction	Afficher Le projet de décret en Conseil d’Etat soumis pour avis le 1er juin 2021 vise à autoriser la mise en œuvre d’un traitement de données à caractère personnel dénommé " Livret de parcours inclusif " (ci-après " LPI "). Cette application, mise en œuvre par le ministère de l’éducation nationale, de la jeunesse et des sports sur le fondement de sa mission d’intérêt public, au sens du règlement général sur la protection des données (RGPD), doit participer au " service public de l’école inclusive ". Elle a pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage. Le LPI devrait ainsi permettre aux personnels concernés, et aux familles qui accepteront de l’utiliser de consulter en temps réel le suivi pédagogique mis en place pour un élève à besoins éducatifs particuliers. D’après le ministère, environ 840.000 élèves, pour la plupart mineurs, sont susceptibles d’être concernés.	Le contrat de sous-traitance conclut entre le ministère et la caisse nationale de solidarité pour l’autonomie prévoit, à l’article 3.5, que " Les parties reconnaissent que l’exécution des prestations selon les modalités envisagées par la CNSA n’implique pas des transferts internationaux de données à caractère personnel " et que " tout transfert de données à caractère personnel en dehors de l’Union Européenne ne pourra avoir lieu qu’après autorisation écrite du ministère (…) et conformément aux dispositions des articles 44, 45 et 46 du RGPD ". Le ministère a à cet égard indiqué qu’il n’était pas prévu de transfert en dehors de l’Union européenne. Compte tenu des données traitées, de la minorité d’un grand nombre de personnes concernées par le traitement, du cadre dans lequel elles sont recueillies et du considérant 38 du RGPD qui indique que " Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ", la Commission considère que le contrat de sous-traitance devrait prévoir l’interdiction de transférer les données en dehors de l’Union européenne.	28, 45	04916498ea30549fb0c0efd996fdc0aa79c67795	/	Accéder à la décision
C-101/01	Bodil Lindqvist	06/11/2003	2003	Suède	Cour de Justice de l'UE	A classer	Technologie	Inscription sur une page internet de données à caractère personnel par une personne qui se trouve dans un État membre - Potentielle consultation par des tiers se trouvant dans des pays tiers - Transfert vers un pays tiers de données - Exclusion	Afficher Mme Lindqvist exerçait la fonction de formatrice de communicants dans la paroisse d'Alseda (Suède). Elle a suivi un cours d'informatique dans le cadre duquel elle devait notamment créer une page d'accueil sur Internet. À la fin de l'année 1998, Mme Lindqvist a créé, à son domicile et avec son ordinateur personnel, des pages Internet dans le but de permettre aux paroissiens préparant leur confirmation d'obtenir facilement les informations dont ils pouvaient avoir besoin. À sa demande, l'administrateur du site Internet de l'Église de Suède a établi un lien entre ces pages et ledit site. Les pages visées contenaient des informations sur Mme Lindqvist et 18 de ses collègues de la paroisse, y compris leur nom complet ou parfois seulement leur prénom. Mme Lindqvist a en outre décrit les fonctions occupées par ses collègues et leurs loisirs en termes légèrement humoristiques. Dans plusieurs cas, leur situation familiale, leur numéro de téléphone et d'autres informations ont été mentionnés. Par ailleurs, elle a indiqué qu'une de ses collègues s'était blessée au pied et qu'elle était en congé de maladie partiel. Mme Lindqvist n'avait ni informé ses collègues de l'existence de ces pages, ni recueilli leur consentement, ni déclaré sa démarche à la Datainspektion (organisme public pour la protection des données transmises par voie informatique). Elle a supprimé les pages visées dès qu'elle a appris que celles-ci n'étaient pas appréciées par certains de ses collègues. Le ministère public a engagé des poursuites à l'encontre de Mme Lindqvist pour infraction à la loi et a conclu à sa condamnation. Après quelques péripéties judiciaires, l'affaire arrive devant la CJUE.	70. Dans ces conditions, il y a lieu de conclure que l'article 25 de la directive 95/46 doit être interprété en ce sens que des opérations telles que celles effectuées par Mme Lindqvist ne constituent pas en elles-mêmes un «transfert vers un pays tiers de données». Il n'est donc pas nécessaire de rechercher si une personne d'un pays tiers a eu accès à la page Internet concernée ou si le serveur de ce fournisseur est physiquement situé dans un pays tiers. 71. Il convient donc de répondre à la cinquième question qu'il n'existe pas de «transfert vers un pays tiers de données» au sens de l'article 25 de la directive 95/46 lorsqu'une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès de son fournisseur de services d'hébergement qui est établi dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers.	45	04916498ea30549fb0c0efd996fdc0aa79c67795	/	Accéder à la décision
MED-2022-005	Société X	03/02/2022	2022	France	CNIL ou équivalent	A classer		Transfert vers les États-Unis - 1) Évaluation du niveau de protection après Schrems II et avant l’adoption du Data Privacy Framework en vue d'utiliser les CCT - 2) Efficacité des « mesures additionnelles » de protection - Notification aux utilisateurs, rapports de transparence ou de politique de gestion des demandes d’accès gouvernementales - Insuffisance - 3) Chiffrement - Obligation pour l'importateur d’accorder l’accès ou de fournir les données importées	Information non disponible	1) Pour les transferts de données à caractère personnel vers les États-Unis encadrés par des garanties appropriées telles que les clauses contractuelles types, il n’est pas nécessaire d’analyser plus en détails le cadre légal applicable aux États-Unis dans la mesure où la Cour a déjà procédé à une telle analyse dans son arrêt du 16 juillet 2020 (C-311/18). En effet, la Cour a constaté, d’une part, que les programmes de surveillance en cause ne correspondaient pas aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’était pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire. D’autre part, la Cour a constaté que le cadre juridique en cause ne conférait pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux, si bien que ces personnes ne disposaient pas d’un droit au recours effectif. 2) En ce qui concerne les « mesures juridiques et organisationnelles » adoptées par un responsable du traitement en complément de clauses contractuelles types pour le transfert de données vers les États-Unis, ni la notification des utilisateurs, ni la publication d’un rapport de transparence ou d’une politique de gestion des demandes d’accès gouvernementales ne permet concrètement d’empêcher ou de réduire l’accès des services de renseignement américains. 3) En ce qui concerne les techniques de chiffrement, telles que celles pour les données entreposées dans des centres de données transférées vers les États-Unis, un importateur établi aux États-Unis a dans tous les cas l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles. Tant qu’un importateur établi aux États-Unis a la possibilité d’accéder aux données des personnes physiques en texte clair, de telles mesures techniques ne peuvent être considérées comme efficaces en l’espèce.	45	04916498ea30549fb0c0efd996fdc0aa79c67795	/	Non publié. Source: CNIL, Tables Informatique et Libertés
C-362/14	Schrems	06/10/2015	2015	Irlande	Cour de Justice de l'UE	A classer	Police-Justice	Niveau de protection « adéquat » - Définition	Afficher Le 25 juin 2013, M. Schrems a saisi le commissaire d’une plainte par laquelle il demandait en substance à celui-ci d’exercer ses compétences statutaires en interdisant à Facebook Ireland de transférer ses données à caractère personnel vers les États-Unis. Il y faisait valoir que le droit et les pratiques en vigueur dans ce pays ne garantissaient pas une protection suffisante des données à caractère personnel conservées sur le territoire de celui-ci contre les activités de surveillance qui y étaient pratiquées par les autorités publiques. M. Schrems se référait à cet égard aux révélations faites par M. Edward Snowden concernant les activités des services de renseignement des États-Unis, notamment celles de la National Security Agency (ci-après la «NSA»). Le commissaire a rejeté la plainte, estimant qu’il n’existait pas de preuves que la NSA ait accédé aux données à caractère personnel de l’intéressé. L'affaire poursuit son chemin et parvient finalement devant la CJUE, avec un certain nombre de questions.	73. Certes, le terme «adéquat» figurant à l’article 25, paragraphe 6, de la directive 95/46 implique qu’il ne saurait être exigé qu’un pays tiers assure un niveau de protection identique à celui garanti dans l’ordre juridique de l’Union. Toutefois, comme l’a relevé M. l’avocat général au point 141 de ses conclusions, l’expression «niveau de protection adéquat» doit être comprise comme exigeant que ce pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive 95/46, lue à la lumière de la Charte. En effet, à défaut d’une telle exigence, l’objectif mentionné au point précédent du présent arrêt serait méconnu. En outre, le niveau élevé de protection garanti par la directive 95/46, lue à la lumière de la Charte, pourrait facilement être contourné par des transferts de données à caractère personnel depuis l’Union vers des pays tiers aux fins de leur traitement dans ces pays.	45	04916498ea30549fb0c0efd996fdc0aa79c67795	/	Accéder à la décision
C-362/14	Schrems	06/10/2015	2015	Irlande	Cour de Justice de l'UE	A classer	Police-Justice	Niveau de protection « adéquat » - Obligations pesant sur la Commission européenne - 1) Evaluation initiale - Prise en compte de toutes les circonstances - 2) Evaluation périodique - Nécessité	Afficher Le 25 juin 2013, M. Schrems a saisi le commissaire d’une plainte par laquelle il demandait en substance à celui-ci d’exercer ses compétences statutaires en interdisant à Facebook Ireland de transférer ses données à caractère personnel vers les États-Unis. Il y faisait valoir que le droit et les pratiques en vigueur dans ce pays ne garantissaient pas une protection suffisante des données à caractère personnel conservées sur le territoire de celui-ci contre les activités de surveillance qui y étaient pratiquées par les autorités publiques. M. Schrems se référait à cet égard aux révélations faites par M. Edward Snowden concernant les activités des services de renseignement des États-Unis, notamment celles de la National Security Agency (ci-après la «NSA»). Le commissaire a rejeté la plainte, estimant qu’il n’existait pas de preuves que la NSA ait accédé aux données à caractère personnel de l’intéressé. L'affaire poursuit son chemin et parvient finalement devant la CJUE, avec un certain nombre de questions.	75. Dans ces conditions, lors de l’examen du niveau de protection offert par un pays tiers, la Commission est tenue d’apprécier le contenu des règles applicables dans ce pays résultant de la législation interne ou des engagements internationaux de celui-ci ainsi que la pratique visant à assurer le respect de ces règles, cette institution devant, conformément à l’article 25, paragraphe 2, de la directive 95/46, prendre en compte toutes les circonstances relatives à un transfert de données à caractère personnel vers un pays tiers. 76. De même, au regard du fait que le niveau de protection assuré par un pays tiers est susceptible d’évoluer, il incombe à la Commission, après l’adoption d’une décision au titre de l’article 25, paragraphe 6, de la directive 95/46, de vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause est toujours justifiée en fait et en droit. Une telle vérification s’impose, en tout état de cause, lorsque des indices font naître un doute à cet égard.	45	04916498ea30549fb0c0efd996fdc0aa79c67795	/	Accéder à la décision
C-362/14	Schrems	06/10/2015	2015	Irlande	Cour de Justice de l'UE	A classer	Police-Justice	"Safe Harbor" (décision 2000/520) - 1) Réglementation "sécurité" limitée au strict nécessaire - Exclusion en l'espèce - Conséquence : atteinte au droit au respect de la vie privée - 2) Réglementation ne prévoyant pas de voies de droit pour accéder aux données, les rectifier ou les supprimer - Atteinte au droit à une protection juridictionnelle effective - 3) Restriction des pouvoirs de contrôle des autorités nationales - Invalidité de la décision	Afficher Le 25 juin 2013, M. Schrems a saisi le commissaire d’une plainte par laquelle il demandait en substance à celui-ci d’exercer ses compétences statutaires en interdisant à Facebook Ireland de transférer ses données à caractère personnel vers les États-Unis. Il y faisait valoir que le droit et les pratiques en vigueur dans ce pays ne garantissaient pas une protection suffisante des données à caractère personnel conservées sur le territoire de celui-ci contre les activités de surveillance qui y étaient pratiquées par les autorités publiques. M. Schrems se référait à cet égard aux révélations faites par M. Edward Snowden concernant les activités des services de renseignement des États-Unis, notamment celles de la National Security Agency (ci-après la «NSA»). Le commissaire a rejeté la plainte, estimant qu’il n’existait pas de preuves que la NSA ait accédé aux données à caractère personnel de l’intéressé. L'affaire poursuit son chemin et parvient finalement devant la CJUE, avec un certain nombre de questions.	1) 93. N’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données. 94. En particulier, une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée, tel que garanti par l’article 7 de la Charte. 2) 95. De même, une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective, tel que consacré à l’article 47 de la Charte. 3) 102. L’article 3, paragraphe 1, premier alinéa, de la décision 2000/520 doit donc être compris comme privant les autorités nationales de contrôle des pouvoirs qu’elles tirent de l’article 28 de la directive 95/46, dans le cas où une personne avance, à l’occasion d’une demande au titre de cette disposition, des éléments susceptibles de remettre en cause la compatibilité avec la protection de la vie privée et des libertés et droits fondamentaux des personnes d’une décision de la Commission ayant constaté, sur le fondement de l’article 25, paragraphe 6, de cette directive, qu’un pays tiers assure un niveau de protection adéquat. 103. Or, le pouvoir d’exécution accordé par le législateur de l’Union à la Commission à l’article 25, paragraphe 6, de la directive 95/46 ne confère pas à cette institution la compétence de restreindre les pouvoirs des autorités nationales de contrôle visés au point précédent du présent arrêt. 104 Dans ces conditions, il y a lieu de constater que, en adoptant l’article 3 de la décision 2000/520, la Commission a outrepassé la compétence qui lui est attribuée à l’article 25, paragraphe 6, de la directive 95/46, lu à la lumière de la Charte, et qu’il est de ce fait invalide.	45	04916498ea30549fb0c0efd996fdc0aa79c67795	[Appréciation de la proportionnalité concernant la conservation de données traitées (services de communication)] CJUE, 8 avril 2014, Digital Rights Ireland e.a., C-293/12 et C-594/12 (points 57 à 61) [Contenu essentiel du droit fondamental au respect de la vie privée - absence d'atteinte en l'absence daccès aux données conservées] CJUE, 8 avril 2014, Digital Rights Ireland e.a., C-293/12 et C-594/12 (points 39) [Contrôle juridictionnel = principe général du droit dans l'UE] CJUE, 23 avril 1986, Les Verts/Parlement, C-294/83 (point 23) CJUE, 15 mai 1986, Johnston, C-222/84 (points 18 et 19) CJUE, 15 octobre 1987, Heylens e.a., C- 222/86, (point 14) CJUE, 11 septembre 2008, UGT-Rioja e.a., C-428/06 à C-434/06 (point 80)	Accéder à la décision
C-362/14	Schrems	06/10/2015	2015	Irlande	Cour de Justice de l'UE	A classer	Police-Justice	Transfert de données à caractère personnel fondé sur une décision d'adéquation - Examen d'une plainte d’une personne physique dont les données ont été transférées depuis l’Union européenne vers les États-Unis et faisant valoir de l'absence de niveau adéquat - Obligation	Afficher Le 25 juin 2013, M. Schrems a saisi le commissaire d’une plainte par laquelle il demandait en substance à celui-ci d’exercer ses compétences statutaires en interdisant à Facebook Ireland de transférer ses données à caractère personnel vers les États-Unis. Il y faisait valoir que le droit et les pratiques en vigueur dans ce pays ne garantissaient pas une protection suffisante des données à caractère personnel conservées sur le territoire de celui-ci contre les activités de surveillance qui y étaient pratiquées par les autorités publiques. M. Schrems se référait à cet égard aux révélations faites par M. Edward Snowden concernant les activités des services de renseignement des États-Unis, notamment celles de la National Security Agency (ci-après la «NSA»). Le commissaire a rejeté la plainte, estimant qu’il n’existait pas de preuves que la NSA ait accédé aux données à caractère personnel de l’intéressé. L'affaire poursuit son chemin et parvient finalement devant la CJUE, avec un certain nombre de questions.	63. Eu égard à ces considérations, lorsqu’une personne, dont les données à caractère personnel ont été ou pourraient être transférées vers un pays tiers ayant fait l’objet d’une décision de la Commission au titre de l’article 25, paragraphe 6, de la directive 95/46, saisit une autorité nationale de contrôle d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de ces données et conteste, à l’occasion de cette demande, comme dans l’affaire au principal, la compatibilité de cette décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes, il incombe à cette autorité d’examiner ladite demande avec toute la diligence requise. [...] 66. Eu égard aux considérations qui précèdent, il y a lieu de répondre aux questions posées que l’article 25, paragraphe 6, de la directive 95/46, lu à la lumière des articles 7, 8 et 47 de la Charte, doit être interprété en ce sens qu’une décision adoptée au titre de cette disposition, telle que la décision 2000/520, par laquelle la Commission constate qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre, au sens de l’article 28 de cette directive, examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n’assurent pas un niveau de protection adéquat.	45	04916498ea30549fb0c0efd996fdc0aa79c67795	[Compétence unique de la CJUE pour contacter l'invalidité d'un acte de l'Union: obligation pour les juridictions de surseoir à statuer si les moyens sont fondés] CJUE, 28 avril 2015, T & L Sugars et Sidul Açúcares/Commission, C-456/13 P (point 48)	Accéder à la décision
C-362/14	Schrems	06/10/2015	2015	Irlande	Cour de Justice de l'UE	A classer	Police-Justice	Transfert de données à caractère personnel fondé sur une décision d'adéquation - Caractère contraignant d'une telle décision sur l'Etat Membre et ses organes - Conséquence : interdiction, pour les autorités de contrôle, de prendre des mesures contraires à une décision d'adéquation non invalidée par la Cour	Afficher Le 25 juin 2013, M. Schrems a saisi le commissaire d’une plainte par laquelle il demandait en substance à celui-ci d’exercer ses compétences statutaires en interdisant à Facebook Ireland de transférer ses données à caractère personnel vers les États-Unis. Il y faisait valoir que le droit et les pratiques en vigueur dans ce pays ne garantissaient pas une protection suffisante des données à caractère personnel conservées sur le territoire de celui-ci contre les activités de surveillance qui y étaient pratiquées par les autorités publiques. M. Schrems se référait à cet égard aux révélations faites par M. Edward Snowden concernant les activités des services de renseignement des États-Unis, notamment celles de la National Security Agency (ci-après la «NSA»). Le commissaire a rejeté la plainte, estimant qu’il n’existait pas de preuves que la NSA ait accédé aux données à caractère personnel de l’intéressé. L'affaire poursuit son chemin et parvient finalement devant la CJUE, avec un certain nombre de questions.	51. La Commission peut adopter, sur le fondement de l’article 25, paragraphe 6, de la directive 95/46, une décision constatant qu’un pays tiers assure un niveau de protection adéquat. Une telle décision a, conformément au second alinéa de cette disposition, pour destinataires les États membres qui doivent prendre les mesures nécessaires pour se conformer à celle-ci. En vertu de l’article 288, quatrième alinéa, TFUE, elle a un caractère contraignant pour tous les États membres destinataires et s’impose donc à tous leurs organes, en ce qu’elle a pour effet d’autoriser des transferts de données à caractère personnel depuis les États membres vers le pays tiers visé par celle-ci. 52. Ainsi, aussi longtemps que la décision de la Commission n’a pas été déclarée invalide par la Cour, les États membres et leurs organes, au nombre desquels figurent leurs autorités de contrôle indépendantes, ne sauraient, certes, adopter des mesures contraires à cette décision, telles que des actes visant à constater avec effet contraignant que le pays tiers visé par ladite décision n’assure pas un niveau de protection adéquat. En effet, les actes des institutions de l’Union jouissent, en principe, d’une présomption de légalité et produisent, dès lors, des effets juridiques aussi longtemps qu’ils n’ont pas été retirés, annulés dans le cadre d’un recours en annulation ou déclarés invalides à la suite d’un renvoi préjudiciel ou d’une exception d’illégalité.	45	04916498ea30549fb0c0efd996fdc0aa79c67795	[Caractère contraignant d'une décision de la Commission pour les Etats Membres] CJUE, 21 mai 1987, Albako Margarinefabrik, C-249/85 (point 17) CJUE, 13 février 2014, Mediaset, C-69/13 (point 23) [Présomption de légalité des actes communautaires jusqu'à ce qu'ils soient retirés ou annulés] CJUE, 5 octobre 2004, Commission/Grèce, C-475/01 (point 18)	Accéder à la décision
C-311/18	Schrems II (Facebook Ireland et Schrems)	16/07/2020	2020	Irlande	Cour de Justice de l'UE	A classer	Police-Justice	Contrôle des transferts de données à caractère personnel vers des pays tiers par une autorité - Suspension ou interdiction de tels transferts lorsque les clauses ne sont ou ne peuvent pas être respectées - Obligation, sauf en cas de décision d'adéquation	Afficher A la suite de l'arrêt "Schrems" (CJUE, 6 octobre 2015, C-362/14), la juridiction de renvoi a annulé le rejet de la plainte de M. Schrems et a renvoyé celle-ci au commissaire. Dans le cadre de l’enquête, Facebook Ireland a expliqué qu’une grande partie des données à caractère personnel était transférée à Facebook Inc. sur le fondement des CCT. M. Schrems a fait valoir, notamment, que le droit américain impose à Facebook Inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la NSA et le FBI. Il a soutenu que, ces données étant utilisées dans le cadre de différents programmes de surveillance d’une manière incompatible avec les articles 7, 8 et 47 de la Charte, la décision CPT (décision 2010/87/UE concernant les CCT) ne peut justifier le transfert desdites données vers les États-Unis. En mai 2016, le commissaire a estimé que les CCT ne sont pas de nature à remédier à ce défaut, dans la mesure où elles confèrent aux personnes concernées uniquement des droits contractuels contre l’exportateur et l’importateur des données, sans toutefois lier les autorités américaines. L'affaire arrive une fois de plus devant la CJUE, la nouvelle décision d'adéquation ayant été prise au milieu de l'affaire.	121. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la huitième question que l’article 58, paragraphe 2, sous f) et j), du RGPD doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 du RGPD et par la Charte, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.	45, 46, 58	04916498ea30549fb0c0efd996fdc0aa79c67795	[Caractère contraignant d'une décision d'adéquation pour les Etats Membres et leurs organes] CJUE, Schrems, 6 octobre 2015, Schrems, C-362/14 (point 51), disponible ici [Interdiction, pour les autorités de contrôle, de prendre des mesures contraires à une décision d'adéquation non invalidée par la Cour] CJUE, Schrems, 6 octobre 2015, Schrems, C-362/14 (point 52), disponible ici [Examen par une autorité de contrôle de la conformité d'un transfert fondé sur une décision d'adéquation] CJUE, Schrems, 6 octobre 2015, Schrems, C-362/14 (points 53, 57 et 65), disponible ici	Accéder à la décision
C-311/18	Schrems II (Facebook Ireland et Schrems)	16/07/2020	2020	Irlande	Cour de Justice de l'UE	A classer	Police-Justice	Transfert de données à caractère personnel fondé sur une décision d'adéquation - Caractère contraignant d'une telle décision sur l'Etat Membre et ses organes - Interdiction, pour les autorités de contrôle, de prendre des mesures contraires à une décision d'adéquation non invalidée par la Cour	Afficher A la suite de l'arrêt "Schrems" (CJUE, 6 octobre 2015, C-362/14), la juridiction de renvoi a annulé le rejet de la plainte de M. Schrems et a renvoyé celle-ci au commissaire. Dans le cadre de l’enquête, Facebook Ireland a expliqué qu’une grande partie des données à caractère personnel était transférée à Facebook Inc. sur le fondement des CCT. M. Schrems a fait valoir, notamment, que le droit américain impose à Facebook Inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la NSA et le FBI. Il a soutenu que, ces données étant utilisées dans le cadre de différents programmes de surveillance d’une manière incompatible avec les articles 7, 8 et 47 de la Charte, la décision CPT (décision 2010/87/UE concernant les CCT) ne peut justifier le transfert desdites données vers les États-Unis. En mai 2016, le commissaire a estimé que les CCT ne sont pas de nature à remédier à ce défaut, dans la mesure où elles confèrent aux personnes concernées uniquement des droits contractuels contre l’exportateur et l’importateur des données, sans toutefois lier les autorités américaines. L'affaire arrive une fois de plus devant la CJUE, la nouvelle décision d'adéquation ayant été prise au milieu de l'affaire.	156. La décision BPD a un caractère contraignant pour les autorités de contrôle en ce qu’elle constate que les États-Unis garantissent un niveau de protection adéquat et, partant, a pour effet d’autoriser des transferts de données à caractère personnel effectués dans le cadre du bouclier de protection des données Union européenne-États-Unis. Dès lors, aussi longtemps que cette décision n’a pas été déclarée invalide par la Cour, l’autorité de contrôle compétente ne saurait suspendre ou interdire un transfert de données à caractère personnel vers une organisation adhérant à ce bouclier au motif qu’elle considère, contrairement à l’appréciation retenue par la Commission dans ladite décision, que la législation des États-Unis régissant l’accès aux données à caractère personnel transférées dans le cadre dudit bouclier et l’utilisation de ces données par les autorités publiques de ce pays tiers à des fins de sécurité nationale, de respect de la loi ou d’intérêt public n’assure pas un niveau de protection adéquat. 157. Il n’en demeure pas moins que, lorsqu’elle est saisie par une personne d’une réclamation, l’autorité de contrôle compétente doit examiner, en toute indépendance, si le transfert de données à caractère personnel en cause respecte les exigences posées par le RGPD et, dans l’hypothèse où elle estime fondés les griefs avancés par cette personne aux fins de mettre en cause la validité d’une décision d’adéquation, introduire un recours devant les juridictions nationales afin que ces dernières saisissent la Cour d’un renvoi préjudiciel en appréciation de la validité de cette décision.	45	04916498ea30549fb0c0efd996fdc0aa79c67795	[Caractère contraignant d'une décision d'adéquation pour les Etats Membres et leurs organes] CJUE, Schrems, 6 octobre 2015, Schrems, C-362/14 (point 51), disponible ici [Interdiction, pour les autorités de contrôle, de prendre des mesures contraires à une décision d'adéquation non invalidée par la Cour] CJUE, Schrems, 6 octobre 2015, Schrems, C-362/14 (point 52), disponible ici [Absence d'obstacle à l'examen par une autorité de contrôle de la conformité d'un transfert fondé sur une décision d'adéquation] CJUE, Schrems, 6 octobre 2015, Schrems, C-362/14 (points 53, 57 et 65), disponible ici	Accéder à la décision
C-311/18	Schrems II (Facebook Ireland et Schrems)	16/07/2020	2020	Irlande	Cour de Justice de l'UE	A classer	Police-Justice	"Privacy Shield" (décision 2016/1250 dite "BPD") - 1) Réglementation "sécurité" limitée au strict nécessaire - Exclusion - Méconnaissance du principe de proportionnalité - 2) Absence de droits opposables aux autorités américaines devant les tribunaux - Mécanisme de médiation - Absence de garanties substantiellement équivalentes - Méconnaissance du droit à une protection juridictionnelle effective - Invalidité	Afficher A la suite de l'arrêt "Schrems" (CJUE, 6 octobre 2015, C-362/14), la juridiction de renvoi a annulé le rejet de la plainte de M. Schrems et a renvoyé celle-ci au commissaire. Dans le cadre de l’enquête, Facebook Ireland a expliqué qu’une grande partie des données à caractère personnel était transférée à Facebook Inc. sur le fondement des CCT. M. Schrems a fait valoir, notamment, que le droit américain impose à Facebook Inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la NSA et le FBI. Il a soutenu que, ces données étant utilisées dans le cadre de différents programmes de surveillance d’une manière incompatible avec les articles 7, 8 et 47 de la Charte, la décision CPT (décision 2010/87/UE concernant les CCT) ne peut justifier le transfert desdites données vers les États-Unis. En mai 2016, le commissaire a estimé que les CCT ne sont pas de nature à remédier à ce défaut, dans la mesure où elles confèrent aux personnes concernées uniquement des droits contractuels contre l’exportateur et l’importateur des données, sans toutefois lier les autorités américaines. L'affaire arrive une fois de plus devant la CJUE, la nouvelle décision d'adéquation ayant été prise au milieu de l'affaire.	181. Selon les constatations figurant dans la décision BPD, les programmes de surveillance fondés sur l’article 702 du FISA doivent, certes, être mis en œuvre dans le respect des exigences résultant de la PPD-28. Toutefois, si la Commission a souligné, aux considérants 69 et 77 de la décision BPD, que de telles exigences revêtent un caractère contraignant pour les services de renseignement américains, le gouvernement américain a admis, en réponse à une question de la Cour, que la PPD-28 ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. Dès lors, elle n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte, contrairement à ce qu’exige l’article 45, paragraphe 2, sous a), du RGPD, selon lequel la constatation de ce niveau dépend, notamment, de l’existence des droits effectifs et opposables dont bénéficient les personnes dont les données ont été transférées vers le pays tiers en cause. 182. S’agissant des programmes de surveillance fondés sur l’E.O. 12333, il ressort du dossier dont dispose la Cour que ce décret ne confère pas non plus de droits opposables aux autorités américaines devant les tribunaux. [...] 184. Il apparaît, dès lors, que ni l’article 702 du FISA ni l’E.O. 12333, lus en combinaison avec la PPD-28, ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire. [...] 196. De même, ainsi que M. l’avocat général l’a souligné, au point 338 de ses conclusions, si le considérant 120 de la décision BPD fait état d’un engagement du gouvernement américain à ce que la composante concernée des services de renseignement soit tenue de corriger toute violation des normes applicables détectée par le médiateur du bouclier de protection des données, ladite décision ne comporte aucune indication selon laquelle ce médiateur serait habilité à prendre des décisions contraignantes à l’égard de ces services et ne fait pas non plus état de garanties légales dont serait assorti cet engagement et dont pourraient se prévaloir les personnes concernées. 197. Dès lors, le mécanisme de médiation visé par la décision BPD ne fournit pas de voie de recours devant un organe qui offre aux personnes dont les données sont transférées vers les États-Unis des garanties substantiellement équivalentes à celles requises à l’article 47 de la Charte.	45	04916498ea30549fb0c0efd996fdc0aa79c67795	[Droit à une protection juridictionnelle effective - Nécessité de prévoir la possibilité pour le justiciable d'exercer des voies de droit] CJUE, Schrems, 6 octobre 2015, Schrems, C-362/14 (point 95), disponible ici	Accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

NOYB – None of your business

23 janvier 2025

Le cloud américain bientôt illégal ? Trump fait un pied de nez à l’accord UE-USA sur les données.

Depuis les révélations de Snowden, nous savons que les États-Unis se livrent à une surveillance de masse des utilisateurs de l’UE en recueillant des données personnelles auprès des grandes entreprises américaines. Le « Privacy and Civil Liberties Oversight Board » (PCLOB) est la principale autorité de contrôle [...]

L’Usine digitale

18 janvier 2025

La Cour suprême valide l’interdiction de TikTok pour des raisons de sécurité nationale

Le recours de TikTok contre la loi l’obligeant à être cédé par sa maison mère ByteDance à une entreprise non chinoise a été rejeté par la Cour suprême. Ainsi, à compter du dimanche 19 janvier, l’application utilisée par 170 millions d’utilisateurs aux Etats-Unis sera interdite. La principale inquiétude portait [...]

PIPC (autorité coréenne)

19 novembre 2024

La PIPC organise un comité d’experts sur le transfert de données à l’étranger pour évaluer la reconnaissance de l’équivalence

La Commission de protection des données personnelles (Président Ko Hak-soo, ci-après dénommée « Commission des données personnelles ») poursuit ses travaux en la matière et a annoncé avoir tenu la troisième réunion du Comité d’experts (composé de 12 experts dans des domaines t [...]

SDTB (autorité allemande de Saxe)

18 novembre 2024

Conférence sur la protection des données en Allemagne : résolutions concernant l’IA, la loi sur la BKA, la loi sur l’accès en ligne et les services numériques

La conférence des autorités indépendantes de protection des données du fédéral et des Länder (« DSK ») a traité une multitude de sujets variés lors de sa 108e conférence, qui s’est tenue les 14 et 15 novembre 2024 à Wiesbaden.
4 sujets en p [...]

Comité européen sur la protection des données (EDPB)

05 novembre 2024

Le CEPD adopte son premier rapport dans le cadre Data Privacy Framework (DPF)

Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a adopté un rapport sur le premier réexamen du cadre de protection des données UE-États-Unis, ainsi qu’une déclaration sur les recommandations du groupe de haut niveau (co-présidé par la Commission et la présidence du Conseil) sur l’accès aux données p [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu